Datadogは12月5日、特定の担当者や専門チームを頼らずにソリューションを有効活用できるCloud SIEM(Security Information and Event Management)の新たなアプローチを発表した。これにより、コストとリソースを大量消費する従来のモデルを変革しながら、オンボーディング、移行のリスク回避、セキュリティ対策の共有を簡単に実現できるという。

最新アーキテクチャと機械学習を活用して課題に対処

従来のSIEMでは、異なるソースからのデータ統合に手間がかかり、可視性が断片化し検知と対応の遅延につながっているほか、組織が成長してデータ量が増加するにつれて、レガシーシステムとそれに必要な専門チームの負担は大きくなり、非効率的なクラウドスケールと運用コストの上昇をもたらすと指摘。また、従来のソリューションは重大ではないアラートを多く発信し、アラート疲れを引き起こし、重大な脅威の検知が見落とされる原因にもなるという。

その点、DatadogのCloud SIEMは最新アーキテクチャと機械学習を活用してこれらの難題に対処し、アジリティ、拡張性、コスト効率、リアルタイムの脅威検知を実現するとのこと。LenovoやFanDuel、Carvana、University of Alabama at Birmingham(UAB)、Vanilla Technologiesなどが採用。

Cloud SIEMの新しい機能として、チームはリアルタイムのシグナルと調査結果をエンティティに関連付け、セキュリティチームが調査の優先順位を合理的に決定することができる。リスクスコアリングには、設定ミスやアイデンティティリスクなどのクラウドセキュリティマネジメントに関する洞察に加え、S3バケット、EC2インスタンス、SAML、Webユーザーなどの拡張エンティティタイプが含まれ、脅威の検出や優先順位付けなどの対応をサポートする。

さらに、15カ月の保持期間を実現し、コストをかけずに脅威検出機能を提供する柔軟で安価なモデルをユーザーに提供。これにより、企業はリソースを最適化しながら必要に応じてセキュリティ運用を拡張することができ、パフォーマンスを犠牲にすることなくコスト効率を高めることを可能としている。

加えて、セキュリティチームのパフォーマンスに関する洞察を提供し、クラウド環境における脅威への対応と解決策がどの程度効果的だったかを評価することに役立つという。これらの指標は、事前に構築されたダッシュボードや詳細レポートを通じて簡単に利用でき、検出ルールの適用範囲、アラートの応答時間、調査結果などの重要なデータを提供することで、チームの脅威対応戦略の継続的な最適化を支援する。

また、主要なテクノロジーと統合することができ、あらかじめ構築された検出ルール、ダッシュボード、ワークフロー自動化ツールにより、企業はすぐに使えるコンテンツを活用して脅威の検知と対応を強化することが可能。

Abnormal Security、Atlassian Organization Logs、Cisco Secure Endpoint、Cisco Umbrella DNS、Gitlab Audit Logs、Imperva WAF logs、Lastpass、Mimecast、SentinelOne、Sophos Central Cloud、Trend Micro Email Security、Trend Micro Vision One XDRなど、過去6カ月で30以上のツールとの統合とコンテンツパックを追加した。

そのほか、Datadogの脅威検知リサーチチームとエンジニアチームのサポートによるCloud SIEM機能で、脅威検知における継続的なイノベーションと能力を保証するという。