This post is also available in: English (英語)
SOCメトリクスに関する以下の投稿は、効果的で拡張可能なセキュリティ運用の構築と最適化に役立つガイド『Elements of Security Operations(セキュリティ オペレーションの要素)』からの引用です。今すぐダウンロードしてください。
セキュリティ オペレーション センター(SOC)でパフォーマンスを評価するために幅広く使用されているメトリクスの中には、悪い行為を促す可能性のあるものがあります。
1つの例として挙げられるのが、平均解決時間(MTTR)です。これは(稼働時間が重要な)ネットワーク オペレーション センターで使用される場合は優れたメトリクスになりますが、SOCで使用されると悪影響をもたらす可能性があります。セキュリティ アナリストにMTTRの責任を取らせると、やりがいのある詳細な調査をし、今後の攻撃を防止するために、調査から得られた知識を制御にフィードバックするのではなく、大急ぎでインシデントを終わらせようとします。同様に、処理したインシデント数によって実績をランク付けすると、アナリストは迅速に解決できると知っているインシデントを「えり好み」する可能性があります。これにより良い結果が生み出されたり、ビジネスのリスクが軽減されたりすることはありません。
別の不適切なメトリクスでは、導入されているファイアウォール ルールの数をカウントします。10,000個のファイアウォール ルールを設定できますが、最初のルールが残りのルール(any-anyなど)をバイパスすると、10,000個のファイアウォール ルールは役に立ちません。セキュリティ情報とイベント管理(SIEM)プラットフォームへのデータ フィードの数を測定するのも、これと同様です。SIEMへのデータ フィードは15ありますが、ユースケースが1つのみの場合は、データ フィードが使用されることはなく、かなりコストの高い無駄になる可能性があります。
企業に適したメトリクスを決めるときは、SOCの目的とSOCが企業にもたらす価値を必ず念頭に置いてください。企業は、SOCが攻撃を防ぎ、違反が発生した場合は、チームがそれに迅速に対処して影響を最小限にし、そこから学習できるという確信を持ちたいと考えています。優れたメトリクスは、企業が確信を持つべきかどうかのインサイトを提供する必要があります。注目すべき確信には、構成上の確信と運用上の確信の2種類があります。
構成上の確信とは、攻撃を防ぐためにテクノロジーが適切に構成されている、自動的に修正できる、人間が分析するために適切な情報を収集できることに間違いはないと考えることです。次のような質問をします。
運用上の確信とは、違反が発生した場合に、その違反に対処する適切な人材とプロセスが配置されていることに間違いはないと考えることです。次のような質問をします。
このブログは、『Elements of Security Operations』という本に基づいたシリーズの第2弾です。最初の投稿「効果的なセキュリティ運用の6つの柱」をお読みください。
メトリクスを使用すると、保護機能を向上させ、セキュリティ運用組織が、量だけでなく質の測定が必要になる任務を遂行しているという確信を企業にもたらします。各メトリクスには特定の限定された価値があります。全体像を示すメトリクスはありませんが、各メトリクスを組み合わせると、継続的な向上を促進し、違反の回避と封じ込めのための準備が企業で適切に行われているという確信を高めることができます。効果的なセキュリティ運用を構築するベスト プラクティスについては、無料提供の『Elements of Security Operations』をダウンロードしてください。
『Elements of Security Operations(セキュリティ オペレーションの要素)』に関するKerry Matreのシリーズの今後の投稿にご注目ください。次は、「3 SecOps Strategies to Enable Your Smart People to Focus on Smart Things(有能な人材が知的業務に集中できるようにするためのSecOpsの3つの戦略)」です。
By submitting this form, you agree to our Terms of Use and acknowledge our Privacy Statement. Please look for a confirmation email from us. If you don't receive it in the next 10 minutes, please check your spam folder.