クラウドネイティブのデータウェアハウスベンダーであるSnowflakeとEdgeDeltaは、セキュリティ情報およびイベント管理(SIEM)製品での分析のアプリケーションを拡大すると主張する新しいSecOpsアーキテクチャを生み出しました。
SecOpsチームは一般に、エッジでのコンピューティングの魅力に賢明です。ネットワークまたはサーバー上のイベントのログが、事前にプログラムされた基準に従って悪意のあるアクティビティの警告をトリガーする場合があります。
Edge Deltaは、機械学習をエッジデータに適用して、データを一元化する前に並列に前処理します。 しかし、それはすべての生データをどうするかという問題を残し、後で役立つかもしれません。
Snowflakeによると、ユーザーは多くの場合、高価なデータウェアハウス製品または安価なオブジェクトストレージのいずれかを選択する必要があるため、さらなる分析が困難になります。
Snowflakeのサイバーセキュリティ戦略の責任者であるOmerSingerは、次のように述べています。
「この「最善の希望」戦略は、クラウドの前に開発されたソリューションの技術的限界のために彼らに課せられています。
「EdgeDeltaは、重要なイベントをSIEMに送信し、すべてのイベントをSnowflakeに送信する技術を共有してくれました。また、共同ソリューションがお客様に与える影響を認識しました。」
この戦略を使用すると、SecOpsチームはリアルタイムの監視とセキュリティアラートを有効にし、Singerによれば、他のベンダーの技術と比較してコスト削減を実現できます。 「ある顧客は、切り替えを行う際に年間12万ドルから2万ドルを費やしていました」と彼は主張しました。
クラスターの光沢
すべてのログデータをオブジェクトストレージにダンプするだけでは役に立ちません。ユーザーはクエリエンジンまたはデータウェアハウスから意味のあるものを取得する必要があるためです。
スノーフレーク氏によると、一般的なアプローチは、セキュリティチームが時間順に整理されたオブジェクトストレージに圧縮ログを保存することです。 その後、Elasticsearchなどの検索ツールにログをロードすることで特定の日を検索できます。 ただし、Elasticsearchクラスターにはノード数に応じた容量制限があるため、多くのインシデント対応状況に必要な時間範囲で検索するには、S3から複数のデータセットをロードおよびアンロードする必要があります。
ベンダーを組み合わせて使用する利点は、違反が疑われる場合、調査期間中、たとえばスノーフレーク倉庫などでSecOpsが起動する可能性があることです。 次に、セキュリティチームは、関係する可能性のあるXNUMXのコマンドアンドコントロールサーバーを一覧表示し、SQL JOINを使用して、過去XNUMX年間にEdgeDeltaによって収集されたネットワーク通信ログと比較します。
どの内部システムが違反に関与したかを示す一致が返されます、と彼は言いました。 Snowflakeは、製品エンジニアリング担当副社長のAmit Mathur、米国でXNUMX番目に大きいテレビ局オペレーターであるSinclair BroadcastGroupのデジタルメディア部門であるSinclairDigitalを含め、このアプローチに対する顧客の承認を引用しています。
「エッジデルタとスノーフレークの統合は、制限を根本的に取り除き、まったく新しい可能性を開く可能性を秘めた新しいアプローチです」と彼は言いました。
OmdiaのアナリストであるRoyIllsley氏は、多くの組織がセキュリティの異常を検出するためにネットワークとインフラストラクチャのエッジで機械学習を行っていると述べました。 ただし、すべてのログを同時にデータウェアハウスに送信する機能は興味深いかもしれません。
「エッジでの事前分析で注意すべきことは、ノード間に存在する可能性のあるパターンを検出できない可能性があるため、すべてのデータを含むデータウェアハウスがそのタイプの分析に役立つことです」と彼は言いました。 ®