ゼロ トラスト フレームワークを使用してインフラストラクチャを評価および監視する
インフラストラクチャの評価は、インフラストラクチャの監視とも呼ばれ、サーバー、アプリケーション、仮想マシン、データベース、コンテナー、その他のバックエンド IT コンポーネントなど、IT インフラストラクチャの容量とパフォーマンスを評価、管理、分析できるプロセスです。 組織は構成管理を実装して、すべてのソフトウェアとハードウェアの設定と構成を定義します。 構成管理の主な目的は、組織がインフラストラクチャの要件と構成を計画、監視、制御、および決定できるようにすることです。
インフラストラクチャの監視
インフラストラクチャの監視を成功させるには、組織が測定および監視対象のパラメーターとその方法を明確に定義する必要があります。 ベスト プラクティスを実装し、効果的なインフラストラクチャ監視に使用できる適切なツールを使用することで、組織はコストと時間を節約できます。 セキュリティ操作を最適化し、明確な可視性を確保するために、リアルタイムの監視と分析を提供する次のテクノロジを実装できます。
セキュリティ情報イベント管理
セキュリティ情報イベント管理 (SIEM) は、セキュリティ情報管理 (SIM) とセキュリティ イベント管理 (SEM) の組み合わせです。 SIEM ソリューションは、ユーザーの動作の異常に基づいて脅威と脆弱性を特定することで、セキュリティ認識を強化します。 SIEM ソフトウェアは、コンプライアンスと監査を目的として、さまざまなセキュリティ デバイスからデータを追跡、ログ記録、収集します。 潜在的な脅威、セキュリティ侵害、または規制とコンプライアンスの問題について組織に警告します。
セキュリティ オーケストレーション、自動化と応答
セキュリティ オーケストレーション、自動化と応答 (SOAR) は、脅威と脆弱性の管理 (オーケストレーション)、セキュリティ操作の自動化、セキュリティ インシデント対応を 1 つのプラットフォームに結合します。 SOAR テクノロジは、脅威の調査と対応の手動タスクを調整し、自動化します。
- セキュリティオーケストレーション は、脆弱性スキャナー、ファイアウォール、ユーザー動作統計、侵入検出および防止システム、SIEM プラットフォームなど、さまざまなセキュリティと生産性のツールを調整して統合します。
- セキュリティ オートメーション は、セキュリティ オーケストレーションから収集されたデータを分析し、脆弱性スキャン、ログ分析、監査などの標準的なワークフローとタスクを自動化します。 セキュリティ アラートと潜在的な侵入をトリガーします。
- セキュリティ対応は、自動化されたプロセスと手動プロセスの両方で動作し、インシデントを計画、管理、監視、および報告して、セキュリティの脅威に対するタイムリーな対応をサポートします。
SOAR プラットフォームと SIEM プラットフォームの両方が、複数のソースからデータを収集、監視、分析します。 ただし、各プラットフォームでセキュリティ プロセスを実行する方法と実行する方法には、いくつかの違いがあります。 たとえば、SIEM システムはデータを収集し、異常を特定し、脅威を評価し、潜在的な脅威がある場合にセキュリティ アナリストにアラートを送信します。 SOAR システムは、同じタスクを処理しながら、広範な内部ツールと外部ツールとアプリケーションを統合します。 SOAR テクノロジでは、人工知能を使用して、脅威の検出とインシデント対応を自動化します。 これにより、セキュリティ インシデントが発生する前にアラートを送信できます。 両方のプラットフォームを組み合わせて、全体的なセキュリティ操作に使用できます。
エンドポイントの検出と対応
エンドポイントの検出と対応 (EDR) は、エンドポイントで発生する潜在的な脅威や疑わしいアクティビティを監視して検出するテクノロジです。 EDR ソリューションの主な目的は、攻撃が発生した場合に、脅威と組織への影響に対するリアルタイムのアラートと可視性を提供することです。
ワークロードの動作の評価
ゼロ トラスト アプローチにより、オンプレミス、クラウド、ハイブリッド ワークロードの脅威に対するプロアクティブなセキュリティが保証されます。
疑わしい動作に自動的にフラグを設定する
不審な動作の例として、ユーザーの通常とは異なるサインイン時間や場所、またはアプリケーションまたはソフトウェアの一部を使用する異常な方法が考えられます。 組織は、ゼロ トラスト戦略に沿って脅威インテリジェンスと対応ソリューションを展開し、攻撃者から防御します。 脅威インテリジェンスと応答ツールは、リソースで発生した疑わしい動作やアクティビティにフラグを設定します。 これは、セキュリティ インシデントまたはコンプライアンスの問題が検出されたときにアラートを生成することによって行われます。
危険な動作を自動的にブロックする
独自のデバイス (BYOD) やリモートワークフォースなどの傾向により、ユーザーの動作の変化は自然であり、必ず行われます。 信頼しないというゼロ トラスト原則は、常に検証し、人間の行動の特定と評価を含むリスク管理戦略を実施することを組織に奨励します。 セキュリティで保護された構成を適用し、拒否またはブロックオプションを有効にすると、重大なセキュリティ インシデントの脅威を軽減できます。