SIEM の代替

ある医療提供者は、従来の SIEM 導入に苦労していました。 リーダーがライセンス、ストレージ、統合のコストの膨れ上がりに直面する一方で、セキュリティ アナリストはフィルタリングされていないアラート、忠実度の低いログ データ、実用的な洞察の完全な欠如に圧倒されていました。問題をさらに悪化させるのは、リソースの制約により、セキュリティ チームがシステムを効果的に保守または調整できないことです。その結果、最小限の運用価値しか提供しない高価なツールが作成されました。 

主な問題点:

• 1 日あたり数千万件のイベントが発生し、SIEM 取り込みコストが上昇
• インシデントへの事後対応 – リアルタイムの予防ツールや態勢がない
• セキュリティ チームに大量のアラートが殺到 – 誤検知を優先順位付けしたり削減したりする方法がない
• SIEM ツールを通じて脅威インテリジェンスを運用する方法がない
• インシデントトリアージおよびインシデントトリアージでの SLA の未達応答

同社は、コスト効率の高い SIEM の代替手段として、CleanINTERNET Enterprise と Fusion を導入しました。ログの関連付けよりも脅威の防御を優先することで、CleanINTERNET はほぼ即時にメリットをもたらしました。

• ノイズの削減: CleanINTERNET は、既知の脅威がネットワークに到達する前に 99% ブロックし、後でそれらのイベントを検出してログに記録する必要がなくなりました。
• 劇的に削減された SIEM 負荷: CleanINTERNET は、悪意のあるトラフィックをアップストリームでフィルタリングすることにより、負荷を軽減しました。イベントの取り込みを最大 90% 削減することで、企業は SIEM ライセンスをスケールバックしたり廃止したりすることができます。
• 組み込みのイベント ロギングとレポート機能: Centripetal は、外部 SIEM を必要とせずに、完全な脅威の可視性、イベントの概要、PCAP、実用的なダッシュボードを提供しました。
• ローカル インテリジェンス: Fusion は内部アラートを統合し、 ISAC フィードとグローバル脅威インテリジェンスによるテレメトリにより、これまで検出されなかった高度な脅威のコンテキストに富んだ検出が可能になります。
• リアルタイムの強制 + コンテキストの可視性: 事後にログを関連付けるのではなく、CleanINTERNET は、脅威のソース、対象となる資産、関与する IOC など、コンテキストの詳細を含むインライン検出とブロック アクションを提供しました。
• マネージド サービス + 月次ブリーフィング: Centripetal の専任インテリジェンス運用チームは、継続的なイベント監視、チューニング、脅威トリアージ、脅威ハンティング、定期的なアップデートを提供し、手動によるチューニングと維持の必要性を排除しました。

CleanINTERNET は、SIEM に代わるプロアクティブなインテリジェンス主導型の代替手段を提供します。エッジでの脅威を防ぎ、運用上の負担を軽減し、レガシー インフラストラクチャに影響を与えることなく完全な可視性を実現します。