統合検出パイプライン
-
テレメトリジャーニーとパイプライン
統合のテレメトリジャーニーからこのページにアクセスした場合は、次のことを理解しておく必要があります。
- ジャーナルのデータ収集とは、ここでは「取り込みおよびフィルタ処理」の段階を意味します。
- ジャーナルのデータ処理とは、ここでは「クリーン」、「相関」、および「エスカレーション」の段階を指します。
このページでは、ソフォス製品の統合が検出を取り込む方法、フィルタリングする方法、消去する方法、相関する方法、およびエスカレーションする方法について説明します。
ステップ 1: 取り込みおよびフィルタ処理
テレメトリを取り込み、不要なノイズをフィルタリングします。
以下のいずれかを実行します。
- オンプレミス版: お客様のネットワーク上のログコレクタは、警告を Sophos Central に転送します。
- クラウド内: API は Sophos Central に警告を送信します。
注
すべてのユーザーのサービスが継続するように保護するために、ソフォスは顧客のデータ入力をフィルタリングまたはサンプリングすることがあります。これは、取り込み段階と処理段階での警告ボリューム間の一時的な差異として表示されます。また、データが再度キューに追加される場合もあるため、データを再処理して顧客に包括的な情報を提供できます。
ステップ 2: 標準化
取り込んだデータは標準化されていないため、ソフォスは一貫性のある正規化されたスキーマへの処理を開始します。
ステップ 3: 相関
これで、一見無関係に見える生の警告を、関連する警告クラスタにグループ化し始めます。
警告のグループ化には、次の基準を使用します。
- ソフォスでは、それぞれの警告クラスタが関連するアクティビティを表すようにすることを目指しています。
- 警告は、MITRE ATT&CK 手法および類似の感染の痕跡 (IoC) またはエンティティに基づいて、時間ごとにグループ化されます。
- MITRE フレームワークを使用して、特定の脅威のユースケースに基づいてイベントをグループ化します。
ステップ 4: エスカレーション
このロジックで、詳細な調査のためにアナリストにエスカレーションするクラスタが決定されます。
必要に応じてアナリストが調査を行い、調査についてお客様に通知します。
通常、次の情報を提供します。
- インシデントの説明。
- 最も深刻な脅威を示すと思われる特定の警告の詳細。
- 脅威にさらされている特定のインフラストラクチャ。
- イベントが発生した特定の時刻。
- 脅威の深刻度を判断します (重大な問題であるか、誤検知であるか、すべての警告が実行されているかどうか)。
- 回避策。