新たな脅威や攻撃的な脅威との戦いにおいて、1つだけはっきりとしたことがある。それは、セキュリティ・チームが効率的であればあるほど、脅威の影響を最小限に抑えたり、脅威を完全に回避したりするチャンスが増えるということだ。
NetWitnessは、可視化と効率化を使命として、次のリリースを発表しました。 NetWitness Orchestrator 6.3.
NetWitness Orchestrator 6.3は、2つの重要な機能を提供します:
- 脅威ライブラリ内の脅威の分類を改善する新しい脅威グループ分け。
- ワークフロー指標は、組織がいかに効果的に問題を検出し、解決しているかを測定するものであり、また、偽陽性の割合と実際の侵害の指標の割合についても報告する。
これらの主要な脅威と対応機能はいずれも、組織の効率を高め、SOCの有効性を向上させる。
拡張されたグループタイプ
以前は、アナリストがNetWitness Orchestratorで特定の脅威タイプを分類する方法はやや限られていました。一般的な分類に頼るか、意味のないカテゴリに脅威データを配置しなければならないことが多く、情報が一致せず、重要な脅威データやフィールドが削除されていました。
新しいグループオブジェクトの追加により、この問題は解決された。
あるグループがマルウェアファミリーなのか、MITREのATT&CK手法なのか、脅威行為者グループなのかを判断しようとする代わりに、セキュリティアナリストは閲覧しているセキュリティ情報を迅速に確認し、明確に理解することができるようになった。
長い時間をかけて、STIXは脅威情報の分類の標準となりました。これらの新しいグループ オブジェクトにより、NetWitness OrchestratorはSTIX分類法との整合性が向上し、脅威ライブラリのマッピングと管理が容易になります。
- 新しいグループ・オブジェクト
- 攻撃パターン
- マルウェア
- 脆弱性
- 戦術
- 工具
- 行動方針
これらの新しいグループにより、NetWitness OrchestratorはSTIXオブジェクトに効率的にマッピングできるようになり、将来的にCollective Analytics Layer(CAL)からさらに多くのデータを公開するために必要な基盤が構築されます。最終的には、NetWitness Orchestrator内の脅威ライブラリがアクセス可能で、照合され、セキュリティ チームが最も必要とするときに役立つようになります。
ワークフロー指標
セキュリティ・チームは、常に効率を高めようとしている。しかし、結果を測定する機能がなければ、どこを改善すべきかを理解することは困難です。NetWitness Orchestrator 6.3にWorkflow Metricsが追加されたのはそのためです。これらのレポートでは、以下を測定することで、セキュリティ運用が脅威にどの程度対処できているかを知ることができます:
- 平均検出時間: セキュリティ上の脅威やインシデントを発見するまでの平均時間
- 平均回答時間: 脅威の制御と修復に要する平均時間
- 偽陽性率: 調査の結果、有効な脅威ではないことが判明したアラートの割合
チームリーダーやマネージャーは、明確で現実的な短期/長期戦略を定義するために、その環境にあるツール、プロセス、人材について、より詳細な情報を必要とすることがよくあります。6.3リリースの一部であるこれらのメトリクスは、導入されたツール、プロセス、自動化が期待された結果をもたらしているかどうかを識別するのに役立ちます。
新しいグループタイプとワークフローメトリクスは、脅威データを分類し、運用効率を向上させるように設計されているため、セキュリティ運用は効果的に脅威を検出し、より効率的に解決することができます。
詳しくは NetWitness Orchestrator ページを参照されたい。