Cortex XSIAMとは何ですか？AI主導のプラットフォーム

XSIAM（Extended Security Intelligence and Automation Management）は、最新のセキュリティ・オペレーション・センター（SOC）の機能とプロセスを密接に統合・自動化することで、セキュリティの成果を飛躍的に向上させるセキュリティ・オペレーションへの新しいアプローチです。

Cortex XSIAM：AI主導のセキュリティ・プラットフォーム

XSIAMは、幅広い機能を全体的なソリューションに統合することで、SIEMや専門製品に代わるSOC活動の中心となるよう設計されています。XSIAMの機能には、データの一元化、インテリジェントなステッチング、分析ベースの検知、インシデント管理、脅威インテリジェンス、自動化、アタックサーフェス管理などが含まれ、これらはすべて直感的でタスク指向のユーザーエクスペリエンスの中で提供されます。

XSIAMは、XDRの実績ある脅威検知と対応能力をベースに、お客様のセキュリティ体制を維持します。一元化されたデータストアと統合されたSOC機能により、XSIAMは従来のセキュリティ情報・イベント管理（SIEM）ソリューションからの明確な移行パスを提供します。

セキュリティ情報・イベント管理（SIEM）とは?

Palo Alto Networksが2022年に初めて発表したXSIAMは、未来の自律型セキュリティプラットフォームを実現するために設計された新しいカテゴリーです。

なぜXSIAMセキュリティが必要なのですか？

セキュリティオペレーションセンター(SOC)に対する現在の要求は変化していますが、セキュリティ情報とイベント管理(SIEM)とSOCの構造は停滞したままです。

エンドポイントがアンチウイルスからエンドポイント検知応答（EDR）や拡張検知応答（XDR）へと移行し、ネットワークが継続的な「ハードシェル」境界からゼロトラストやセキュアアクセスサービスエッジ（SASE）へと移行し、ランタイムがデータセンターからクラウドへと移行するなど、セキュリティシステムの他の重要なコンポーネントが近代化を遂げる一方で、SOCは20年前に考案されたSIEMモデルで運用を続けています。

統合性の低いセキュリティ製品で防御されたインフラに対して敵が攻撃を自動化する中、 セキュリティ運用 チームにはこれまで以上に迅速な対応が求められています。一方、コンテナワークロードと継続的インテグレーション/継続的デプロイメント（CI/CD）環境の刹那的な性質により、セキュリティチームは、セキュリティ体制を刻々と維持することが課題となっています。

その副産物として、組織防衛のための追加リソースをスケーラブルに提供するマネージド・サービスが増加していますが、このような追加費用が発生しても、多くの組織は負担を感じています。

過去10年間、こうした課題に対する防御側の重要な変化は、 エンドポイント検知・対応（EDR ）と拡張検知・対応（XDR）ソリューションの進化です。

現在、多くの組織がこのような機能の恩恵を受けていますが、他の多くの組織では、ログデータを一元管理し、セキュリティやコンプライアンスで頻繁に使用される追加ログを集約するために、SIEMを使用しています。残念ながら、SIEMは、ログの取り込みと検出ルールの手動設定、およびアラートのトリアージと修復に依存することがよくあります。

XSIAMは、これらのプロセスを製品化し、それらを統合してほぼリアルタイムのセキュリティ運用成果を提供することで、手動プロセスへの依存を軽減しようとしています。

XSIAMの仕組み

XSIAMは、今日のセキュリティ製品のアナリスト主導型モデルから脱却するため、インテリジェントな自動化を採用したユニークな運用方法を採用しています。システムは継続的に、あらゆるソースから深いテレメトリー、アラート、イベントを収集します。その後、自動的にデータを準備し、充実させ、セキュリティ・インテリジェンスに独自につなぎ合わせ、機械学習による検出分析を即座に適用します。

アラートはインシデントにグループ化され、関連するコンテキストで完全に強化されます。定期的なインシデントを認識し、処理し、解決します。ダッシュボードは、影響を受けるユーザー、資産、インフラストラクチャの関連するすべての側面をまとめます。組み込まれた自動化とインライン・プレイブックはアクションをスピードアップし、時間の経過とともに自己学習します。あらゆる点で、XSIAMはアナリストのタスクを最小限に抑え、システムが自ら実行できない作業だけに集中できるようにします。

Cortex XSIAMの主な統合機能

Cortex XSIAMは、これらの主要なSOC製品の機能を単一の統合プラットフォームに統合しています：

• セキュリティ情報とイベント管理（SIEM） ログ管理、相関とアラート、レポート、長期データ保持など、一般的なSIEM機能をすべて提供します。
• 脅威インテリジェンスプラットフォーム（TIP） 業界をリードするUnit42 ^®脅威フィードを含む脅威インテリジェンスデータを集約、スコアリング、サードパーティツールに配信し、コンテキストとアトリビューションのためにアラートを強化します。
• Extended Detection and Response (XDR) あらゆるソースからのテレメトリを収集し、比類のない検出範囲と精度を実現します。2022年のMITRE ATT&CK評価において、テクニックレベルの検出数が最も多くなっています。
• エンドポイント保護プラットフォーム (EPP) エクスプロイト、マルウェア、ファイルレス攻撃をブロックし、検出と対応のために完全なテレメトリを収集する実績のあるエンドポイントエージェントでエンドポイント攻撃を防止します。
• アタック・サーフェス管理（ASM） アセットディスカバリー、脆弱性評価、リスク管理など、組織に対する攻撃者の視点を提供するアタック・サーフェス管理（ASM）機能を内蔵しています。
• Identity Threat Detection and Response (ITDR) 機械学習と行動分析を使用して、ユーザーとエンティティのプロファイリングを行い、侵害されたアカウントや悪意のあるインサイダーを示す可能性のある行動について警告します。
• Security Orchestration, Automation, and Response (SOAR)は、何百ものビルトイン・プレイブックでほぼすべてのユースケースを自動化し、ビジュアルなドラッグ＆ドロップ・プレイブック・エディタでカスタマイズできます。
• クラウドの検知と対応（CDR） クラウドの監査、フロー、コンテナホストのログを、他のソースからのデータとともに分析し、ハイブリッドエンタープライズ全体で全体的な検知と対応を行います。
• 管理、レポート、コンプライアンス エンドポイントポリシーの管理、オーケストレーション、レスポンスなど、すべての設定、監視、レポート機能を一元化し、運用を簡素化します。

Cortex XSIAM｜最新のSOC向けプラットフォーム

Cortex XSIAMは 、現代のSOCが、増え続ける脅威に対応するために大規模化できない、反応的で人間優先のアプローチから、AI主導の自律型SOCのビジョンへと進化するのを支援します。XSIAMは可能な限り自動化と分析を組み込み、SOCコストを削減し、SecOpsプロセスを自立させます。

Cortex^® XSIAM^™は、組織が以下のようなメリットを享受できるようにすることで、SecOpsを変革します：

• 統合プラットフォームでセキュリティ運用を簡素化 - データとSOCのすべての機能を1つのプラットフォームに統合します。XDR、SOAR、ASM、SIEMなどのSOC機能を単一のプラットフォームに統合することで、コンソールの切り替えが不要になり、セキュリティ運用が合理化されます。

• AI主導の成果で脅威を大規模に阻止 - すぐに使えるAIモデルは、従来の検知方法を超えて、さまざまなデータソースのイベントを結びつけて、脅威を大規模に正確に検知し、阻止します。

• 自動化優先のアプローチでインシデントの修復を加速 - アナリストがインシデントを確認する前に、自動的にアクションを実行します。セキュリティ・タスクを自動化することで、手作業を減らし、インシデント対応と修復を迅速化します。

私たちがAI駆動型と言うのは、ただリアルタイムで動作するという意味です。

Cortex XSIAMに関するFAQ