Blog

MSSP の焦点: SIEM (NG-SIEM も含む) が成長能力を損なう 3 つの理由

今日の非常に競争の激しい MSSP 市場では、事業主は自社の製品を顧客にとってより魅力的にし、SOC をより効果的にする方法を探しています。 そのために、MSSP はセキュリティ サービス スタックに新しいテクノロジーを追加し、見込み顧客がこの追加を、セキュリティ監視の一部またはすべてを外部委託する機会と見なすことを期待しています。 その戦略にはある程度の妥当性があります。 残念なことに、新しいテクノロジーは、多くの場合、規定されたメリットを提供できず、顧客離れの増加につながります。 そのため、テクノロジー チームとセキュリティ チームが最新かつ最高のセキュリティ テクノロジーに遅れないようにすることが不可欠である一方で、セキュリティ スタックに既にあるものを確認する必要がある場合もあります。

私が具体的に言及しているテクノロジーの 1 つは、SIEM です。 誰と話しているかにもよりますが、私たちは現在、SIEM テクノロジーの第 3 世代または第 4 世代にいます。 しかし、実践者と話をすると、SIEM に対する彼らの不満のレベルは Defcon レベルです。

1. MSSP は SIEM を使用し続けていますが、これは、必要なものを提供していない SIEM を使用しています。これは、同じような失望をもたらす可能性のあるものに置き換えて置き換えるために時間とリソースが必要なためです。

この古い SIEM (またはそれほど古くない SIEM でさえも)が、あなたが思っているよりも多くの害を引き起こしている 3 つの理由について話しましょう。

 

SIEMは怠惰です

MSSP Focus: Three ways your SIEM (even NG-SIEM) is hurting your ability to grow
と言いましたが、最近まで SIEM がよりスマートに機能することはなく、よりハードに作業できるようになったことは誰もが知っています。 あらゆる種類のログを収集し、さまざまなセキュリティ コントロールからのアラートを相互に関連付けることはできましたが、得られる結果は、最も独創的なセキュリティ アナリストと同じくらい優れていました。 彼らが脅威の状況を深く理解し、インテリジェントな相関ルールを作成する方法を知っているセキュリティ忍者である場合、SIEM を気に入っていることでしょう。

企業が最高のプレイヤーを追い払おうとしようとしているチームのほとんどと同じであれば、去った場合、Siemsの有効性に劇的な変化が見られるでしょう。 はい、NG-SIEMプロバイダーは、より多くのボックスコンテンツを提供することにより、この問題に対処しようとしています(ju審員はまだ有効性について出ています)。 それにもかかわらず、オレオの子供のパッケージがオープンで正しく閉じることを忘れているように、そのコンテンツはすぐに古くなり、インポートできるコンテンツのために新しいルールを作成したり、コミュニティを探したりするタスクを残します。 結論として、SIEMは、NG-SIEMでさえ、チームに重いものを持ち上げて、この負担なしにチームの数を処理できる顧客の数を追加する能力を妨げています。

 

SIEM はデータ豚です

SIEMs are Data Hogs
今日のサイバーセキュリティはデータの問題です。それは、BIG BIG データの問題です。非常に多くの製品が毎日使用されているため、典型的な中規模企業が生成するログの量はばかげています。特定の業界では、さまざまな規制に準拠するために完全なログ収集とレビューが必要ですが、MSSP を検討している多くのお客様は、コンプライアンスの問題を解決しようとはしていません。代わりに、多くの企業は、脅威がビジネスに損害を与える前に、脅威を特定して軽減するためのより良い仕事をしようとしています。 SIEM には、完全なデータ収集に対する固有のバイアスが組み込まれているため、脅威を特定しようとするセキュリティ チームは、危険を発見することを期待して、無関係なログ データの海を歩き回ることになります。おそらく今日これを行っているので、不可能な作業ではありませんが、1840 年代に金を探している 49er だったと想像してみてください。鍋を使って少量の沈泥をふるいにかけ、金を得る代わりに、その貴重な鉱物を狙って巨大なバケツを使うことにしました。どちらが長くかかると思いますか?もちろん、これはアップル同士の比較ではないことは承知しており、当社の高度なコンピューティング機能によりプロセスが高速化されます。ただし、特に 10 人、20 人、または 50 人のセキュリティ アナリストがいる SOC では、1 日に数分の節約が積み重なります。結論 – SIEM はすべてのログ データを収集するため、純粋なコンプライアンスのユースケースを解決するのに優れていますが、通常販売しているセキュリティのユースケースでは、関連するセキュリティ ログと無関係なログの違いを理解する技術が必要です。必要なものを収集します。

 

SIEM は全員を好まない


私が別のベンダー (名前は明かさない) の製品マーケティングを行っていたとき、最も一般的な質問の 1 つは、「XYZ 製品をサポートしていますか?」というものでした。 または「ABC製品からデータを取り込めますか?」 経験豊富なセキュリティ バイヤーは、ベンダー サーカスを 1、2 回回った経験があるため、セキュリティ ベンダーが製品への事前構築された統合の欠如をいかに軽視するかを理解しています。 彼らは、「私はあなたのためにそれを手に入れることができます、問題ありません」または「私はそれが途中であると確信しています。 ただし、実際には、特に四半期の数値を達成するために取引を成立させる必要がある場合は、統合チームに戻って新しい統合を懇願する必要があります。 現在、統合チームの誰かが、あなたの製品から SIEM バックエンドに流れるデータを示す 1 回限りのスクリプトを作成しています。 繰り返しますが、あなたが 1 分間このサイトを訪れたことがあるなら、これはおなじみのことだと思います。

悲しい現実は、データモデルの根底にある複雑さを考えると、ほとんどのSIEMが統合するのが難しいということです。 統合を書くことができるかもしれません。もしそうなら、それは素晴らしいことですが、SIEMベンダーが新しいバージョンを展開して統合を破るとどうなりますか? 図面に戻ってきました。 ボトムライン – 機能するSIEMへのすぐに統合されているのは、SIEMベンダーに期待するものです。 それが今日得ているものではない場合、顧客のオンボーディング時間は苦しみ、最悪の場合、あなたはあなたがうまくいくことを望んでいる統合を提供するためにあなたのSiemベンダーが提供するビジネスで負けます。

多くのMSSPが、古いまたはそれほど古くないSiemをリッピングし、それをStellar Cyber  Open XDRプラットフォームに置き換えることの利点を見るのを支援しました。 私たちのプラットフォームを使用すると、次のようになります。

– 必要な場所に適切な自動化 Stellar Cyber の目標は、脅威の検出、調査、修復を可能な限り自動化することです。 Stellar Cyber に移行すると、相関ルールが古くなることを心配する日々は終わりです。 Stellar Cyber は手間のかかる作業を行い、より迅速な顧客獲得を可能にします。

– インテリジェントなデータ収集: AI/MLの脅威検出エンジンを可能にするセキュリティ関連データを収集して、脅威をできるだけ早く特定できるようにします。 数秒が重要な場合、Stellar Cyberは、得られるすべての秒があることを確認します。

– 誰もが歓迎されています: あなたの SIEM と Stellar Cyber の両方がパーティーを開くとしたら、私たちのパーティーは、誰もが人生の時間を楽しんでいる同窓会のように見えます。 SIEM パーティーは、会ったことのない人々の集まりのように見えるかもしれません。 言い換えれば、Stellar Cyber のアーキテクチャはオープンであり、一般的なセキュリティ、IT、および生産性ツールのほぼすべてと統合されているため、顧客のオンボーディングとビジネスの成長がこれまで以上に高速化されます。

私たちは SIEM に多くの恩恵を受けています。 彼らは私たちにデータ分析の重要性を認識させてくれましたが、今日、あなたが使用している SIEM よりも優れたことができます。Stellar Cyber の詳細については、MSSP 向け 5 分間のツアーをご覧ください。