Managed Threat Intelligence & Detection

サイバーインテリジェンスに基づいた、サイバー攻撃検知のためのSIEMプラットフォームを提供します。また、クライアントに想定される具体的な脅威アクター、戦術／技術／手順（TTPs）に対する監視ルールの提供、およびその改善・高度化を支援します。

SIEMによるサイバー攻撃の検知とその課題

多くの企業では日々進化するサイバー攻撃に対応するために、IPSやEDRなどさまざまな対策ソリューションを導入・運用しています。こうした対策ソリューションを最大限活用するためには、各対策製品から発せられるアラートはもちろん、ITシステムが生成する各種ログを横断的に分析し、サイバー攻撃の予兆を検知することが重要です。そしてこうした取り組みを実現するためのソリューションとして、SIEMが採用されています。

SIEMによる監視を行う際には、自社への攻撃が想定される脅威アクターおよび当該アクターが利用する戦術／技術／手順（TTPs）を分析し、対策を実施することが重要となります。脅威アクターによって悪用されるTTPsは異なるため、こうした分析を行わずに監視ルールの設計・運用を行った場合、監視ルールが一般的な攻撃を対象としたものに限定されてしまう可能性があります。さらに、自社で想定されるTTPsへの対応が不十分である、想定されないTTPsへの対応にリソースやコストを割り当てしまうといった非合理性が生じる恐れがあります。

また、SIEMによって検知されたイベントの分析には専門的な知見が必要となるため、多くの企業ではその運用、セキュリティ人材の確保に窮しているのが実情です。

PwCのManaged Threat Intelligence & Detection

このサービスでは、クライアントのITシステムからアップロードされた各種アラート、ログと監視ルールをマッチングすることでサイバー攻撃を検知し、通知します。監視ルールについては、最新のサイバー攻撃、誤検知の発生状況などに基づいて継続的にチューニングを行います。検知事象に関しては、ルールと併せて提供する対処手順に基づいてクライアントに対応していただきますが、本サービスではそのうえでの支援を提供します。

本サービスの特長は以下のとおりです。

サイバーインテリジェンスに基づいたテーラーメイドされたルールの提供
クライアントの活動地域、業種などのビジネス特性に基づいて想定される脅威アクターおよびTTPsを分析し、優先的に対応すべきTTPsを特定します。また、既存のセキュリティ対策製品の導入・運用状況に基づいてルール設計を行い、クライアントに特化したルールを提供します。その上で、日々変化する脅威動向を継続的に分析し、監視ルールの追加・更新を行います。
監視ルールごとの対応手順書の提供
提供した監視ルールごとに、SIEMが検知したイベントに関する対応手順を提供します。クライアントは当該手順書に基づいて調査・分析を行うことでイベントが正常検知なのか、誤検知なのかを判断することができます。正常検知の場合は、組織が整備しているインシデント対応手順に基づいて対応していただきます。
検知された攻撃手法や自社を狙う攻撃者が用いる手法の可視化
SIEMが検知したイベントで用いられた攻撃手法や、企業が進出した国・地域、業種などに応じて脅威アクターが用いる攻撃手法を可視化します。任意の時間内でのコマ送り表示や表示速度調整などインタラクティブな操作が可能で、攻撃の変化の過程を明瞭に把握できます。
直近のインシデントや攻撃キャンペーンの表示とそれらに紐づくIoC情報を提供
直近30日間において脅威アクターが標的とした国や業界を表示します。クライアントは上記に紐づくIoC情報をダウンロードすることで、侵害を検出し、適切な防御措置を講じることができます。