Categories: セキュリティ

Cybersecurity Defenses に関するアライアンス

この記事は、セキュリティ テクニカル アライアンス エコシステム担当プロダクト マネジメント&ビジネス デベロップメント ディレクターである Scott Pope によるブログ「How Alliances Strengthen Your Cybersecurity Defenses(2018/9/19)の抄訳です。

数年前に Cisco Security Technology Alliance(CSTA)を立ち上げたとき、私たちはこのアライアンスがこれほどの短期間で幅広いシスコ セキュリティ ポートフォリオにわたる大規模なテクノロジー エコシステムに成長を遂げるとはまったく想像していませんでした。セキュリティは統合システムとして機能するときに最も効果を発揮するため、私たちは急速なペースで統合を推進してきました。

GlobalData 社のシニア エンタープライズ セキュリティ アナリストである Eric Parizo 氏は、「シスコのベスト オブ ブリードのセキュリティ製品とサードパーティのポイント ソリューションの統合を促進する取り組みは、エンタープライズ セキュリティ業界においてはほぼ類を見ない」とシスコのコミットメントを正しく評価しています。業界として攻撃者たちを倒そうとするなら、私たちは協力し合い、あらゆるところでセキュリティ担当者同士が連携する必要があります。

2018年9月シスコは、新しい 57 のテクノロジーとの統合、そして CSTA に加わったセキュリティのあらゆる領域の 23 社の新規ベンダー パートナーを発表しました。今回は、これまでで最も幅広い最大規模の CSTA 参加ベンダーの発表となりました。この結果、シスコのアライアンスに参加するパートナーは 160 社以上、製品プラットフォームの統合は 280 を超えました。2013 年後半のアライアンス設立時の 22 社のパートナーとの統合から考えると、非常に大きな躍進と言えます。

テクノロジーの統合は、セキュリティ オーケストレーション、分析およびレポート(SOAR)システムから、デセプション テクノロジー、IoT 視覚化プラットフォームまで、連動してお客様のサイバー防御を強化する 15 を超えるテクノロジー領域にわたっています。

サイバーセキュリティは、現在これまでにない変化の時代を迎えています。新しいテクノロジー、新たな脅威、お客様の新しい期待、新しい規制によって、既存のアプローチは急速に破壊されつつあります。組織がサイバー犯罪から資産を保護するためには、迅速に適応するという選択肢しか残されていません。CSTA の設立時から見てきたように、シスコのオープンな API と SDK を使用したシスコとパートナー間の技術的な統合は、シスコとパートナーの共通のお客様のネットワークの強化に貢献しています。結果として、統合によるきめ細かい可視性、信頼性の高い分析、マルチベンダーのセキュリティ環境をまたがった脅威の調査と緩和アクションの自動化が実現しています。その効果は数字が物語っていて、280 を超えるテクノロジーが統合されています。

では、最近の状況を紹介します。

Cisco pxGrid パートナー、pxGrid 2.0IoT セキュリティの爆発的な成長

Cisco pxGrid エコシステムには、新たに 20 の統合パートナーが加わり、新しいテクノロジー領域である IoT の可視性が追加されました。このエコシステムでは、バージョン 2.0 で追加された pxGrid の拡張機能を利用して、Armis 社、Claroty 社、CyberMDX 社、Cynerio 社、Medigate 社、Nozomi 社、SecurityMatters 社、ZingBox 社の 8 つのテクノロジーが統合され、Cisco ISE にネットワーク内の IoT デバイスの強力な可視性を提供します。pxGrid を採用している他のベンダーには、Acalvio 社、BlackRidge 社、Demisto 社、Digital Defense 社、LogZilla 社、Luminate 社、Rapid7 社、Siemplify 社、Syncurity 社、Tanium 社、VU Security 社があります。Splunk 社も Cisco ISE App for Splunk によって統合を更新しました。

シスコ次世代ファイアウォールにサードパーティ脅威インテリジェンスを提供

サードパーティの脅威フィードから脅威インテリジェンスを取り込むことで、Cisco Firepower 次世代ファイアウォール Cisco Threat Intelligence Director(CTID)機能が脅威インテリジェンスと Firepower Management Console 内のイベントを相関付けできるようになり、脅威の調査が簡易化されました。CTID は、新たに IntSights および Visa Threat Intelligence の 2 つのテクノロジーと統合されました。

シスコ次世代ファイアウォール向けのマルチベンダー脅威イベント&プラットフォーム管理機能

Cisco Firepower は、その非常に強力なイベント API を通じて、新しいパートナーの eStreamer と統合されました。現在は、Syncurity 社と Skybox が Firepower 次世代ファイアウォールと脅威コンテキストを活用して、ネイティブの脅威分析機能を補完しています。シスコ ファイアウォールのお客様は、新しい Firepower REST API バージョン 6.3 を活用した統合により、Tufin 社、Algosec 社、Firemon が提供するファイアウォール プラットフォーム管理ソリューションを活用して、ポリシーおよび構成管理を行うことが可能になりました。ファイアウォールはほかにも新たに Claroty、RedSeal、Siemplify、HoB Security と統合され、ArcSight との統合も更新されました。

Cisco Threat Grid 脅威インテリジェンスの共有

強力で実用的な Cisco Threat Grid API 7 を使用した、CyberSponseDemistoExabeamIBM QRadarIBM ResilientSiemplifySyncurity を含む Cisco Threat Grid エコシステムの新しい統合が発表されました。この統合エコシステムは、Threat Grid 脅威インテリジェンスをパートナーのプラットフォームに直接組み込むことで、共通のお客様の脅威調査を簡素化します。

新しい Cisco Advanced Malware ProtectionAMPfor Endpoints の統合

Cisco AMP for Endpoints API を使用したパートナーとの統合により、アナリストは豊富な脅威情報の入手と、エンドポイント情報の取得、エンドポイントの指標の追跡、イベントの検索といったエンドポイント イベントに対するアクションの実行が可能になりました。AMP for Endpoint のお客様は、CyberSponseExabeamIBM QRadarLogRhythmSiemplifySyncurity の 6 つのテクノロジーと統合することができます。これらの統合では、ストリーミング API を介してすべての AMP for Endpoint のイベント データが収集され、関連付けやその他の用途でこのデータを使用できます。

Cisco Security ConnectorCSC)の統合

Cisco Security Connector for Apple iOS は、組織が自信を持ってモバイル デバイスの導入を加速するために必要な可視性と制御を提供します。CSC は、Apple 社に承認された監視対象 iOS デバイス向けの唯一のセキュリティ アプリケーションで、クラス最高の MDM/EMM プラットフォームと統合します。CSC には、IBM MaaS360 および JAMF のサポートが追加されました。

Cisco クラウド セキュリティの統合

Cisco クラウド セキュリティ エコシステムも、CybersponseEfficientIPIBM QRadarIBM ResilientMenlo SecurityRapid7RSA および Syncurity との統合によってさらに拡張されました。これらの統合は、組織による IOC の管理、優先順位付け、緩和に役立つだけでなく、複数の脅威ライフサイクル ワークフローを自動化するメカニズムも提供し、脅威の検出と対応に要する平均時間と総合的な SOC の有効性を効果的に改善します。

お分かりいただけるように、私たちは CSTA エコシステムを拡大するために業界パートナーとの協業に尽力しています。ビジネス ニーズに対応するセキュリティ アーキテクチャを構築するお客様を支援する新しい統合は 50 を超えています。

このお知らせで紹介した各パートナーとの統合の詳細については、以下に記載されているパートナーごとの情報を参照してください。

統合のメリットをご活用いただければ幸いです。

 

シスコの新しいパートナーと統合に関する詳細情報:

[1]  Cisco Firepower : Cisco Threat Intelligence Director(CTID) 連携

IntSights社は、最適な脅威インテリジェンスを自動化されたセキュリティ アクションに転換することによってプロアクティブな防御を推進する脅威インテリジェンス/緩和プラットフォームを企業に提供します。Firepower Management Center の一部をなす Cisco Threat Intelligence Director(CTID)をご利用の共通のお客様は、IntSights を活用して自社のデジタル フットプリントを標的とする確認済みの脅威(漏えいしたクレデンシャル、詐欺、ソーシャル エンジニアリング、フィッシング攻撃など)を特定します。そして Firepower アプライアンス上で該当のドメインとアプリケーションをブロックすることにより、リアルタイムでこれらの新しい脅威を自動的に緩和できます。

Visa Threat Intelligenceは、大規模な顧客ベースに脅威フィードを提供しており、先頃 CSTA プログラムに参加しました。Firepower ソリューションを使用する共通のお客様は、Firepower Management Center の一部をなす CTID を使用して、Visa から自動的に最新の脅威情報を収集できます。この情報は、回線を通じて Firepower ポリシーに適用されるため、新たな脅威を即座に検出してブロックできます。

[2]  Cisco Firepower マネージメント連携

AlgoSec 社は、オンプレミスとクラウドのネットワーク セキュリティ ポリシー管理の自動化とオーケストレーション機能を提供します。シスコのお客様はセキュリティとコンプライアンスを確保しながら、迅速かつ簡単にビジネス アプリケーションを提供することができます。Algosec Firewall Analyzer(AFA)は、Cisco ASA、Firepower 次世代ファイアウォール、スイッチ、ルータからポリシーおよび構成情報を収集して監査を行います。

Claroty プラットフォームは、非常に高度な可視性、比類のないサイバー脅威検出機能、セキュアなリモート アクセス、産業用制御ネットワーク(ICS/OT)のリスク アセスメントを提供する統合型サイバーセキュリティ製品です。Claroty の産業および重要インフラストラクチャ環境の脆弱性アセスメント機能は、Cisco Firepower の侵入ポリシーの調整やイベント情報の優先順位付けに役立ちます。

FireMon 社のソリューションは、ネットワーク セキュリティ インフラストラクチャ、ポリシー、リスクの継続的な可視化および制御機能を提供します。FireMon Security Manager は、Cisco Firepower と Cisco ASA からポリシーおよび構成情報を収集できるポリシー/リスク管理ソリューションです。

HOB 社の WebTerm Express は、Cisco ASA ファイアウォールと基盤のシングルサインオン機能を通じて、RDP ターゲット、Web アプリケーション、内部ファイル サーバへの安全なアクセスをユーザに提供するエンタープライズ HTML5 ゲートウェイです。

 

Micro Focus 社の Security ArcSight ESM は、リアルタイムで脅威を特定して優先順位付けする機能を装備しているため、ユーザは脅威に素早く対応して修復することができます。ArcSight ESM は、内外の脅威の検出と対応を支援し、対応時間を数時間や数日から数分に短縮するほか、人員を増やさずに 10 倍の脅威に対処できます。CEF と Cisco Firepower の eStreamer NGFW イベントをサポートする新しい Firepower-Arcsight コネクタの利用が可能になりました。

RedSeal 社のネットワーク モデリング/リスク スコアリング プラットフォームは、組織のハイブリッド データセンターの正確な最新のモデルを構築します。このモデルを活用してポリシーを検証し、調査を迅速化し、到達可能な最も重要な資産に影響を及ぼす問題に優先的に対応できます。RedSeal 社は、Cisco Firepower Management Center REST API と Firepower デバイス管理 API を使用して構成およびセキュリティ ポリシー情報を収集することにより、脅威の検出およびブロック方法に対する理解を促進します。

Skybox 社は、攻撃ベクトルの排除とビジネス データ/サービスの保護に必要なサイバーセキュリティ管理ソリューションをセキュリティ リーダーに提供します。Skybox 社のソリューション スイートは、Firepower Management Center の REST API との統合を通じて、Cisco Firepower のお客様の効果的な脆弱性/脅威管理、ファイアウォール管理、継続的なコンプライアンス モニタリングを促進します。

Siemplify 社が提供する包括的なセキュリティ運用プラットフォームを使用するセキュリティ アナリストは、よりスマートに作業して迅速に対応することができます。Siemplify 社は、セキュリティ オーケストレーションおよび自動化機能と、特許取得済みのコンテキスト調査およびケース管理機能を独自に統合することにより、直感的で一貫性のある測定可能なセキュリティ運用プロセスを提供します。Cisco Firepower のお客様は、Siemplify 社と Firepower プラットフォームの REST API との統合を活用して、手動/自動で重大なイベントに対応できます。たとえば、侵害されたデバイスをブロックして脅威を封じ込める対応をユーザが開始することも、自動的に行うことも可能です。

Syncurity 社は、俊敏なインシデント対応プラットフォームの提供を通じて、人、プロセス、テクノロジーを統合、最適化し、サイバーセキュリティの効果を高めるとともにセキュリティ運用チームを高速化します。Syncurity 社は、Firepower REST API を活用した初の CSTA パートナーで、この API を通じてオーケストレーション プラットフォームである IR Flow 上でトリガーされた重要なセキュリティ イベントに対応するブロック ルールの呼び出しを行います。

Tufin 社は、セキュリティ ポリシー オーケストレーションソリューションにより、Cisco ASA と Cisco Firepower が含まれる複雑な異種環境におけるセキュリティ ポリシーの管理を合理化します。Tufin では、アプリケーション層からネットワーク層までのネットワーク セキュリティの設定変更で、設計、プロビジョニング、分析、監査が正確かつセキュアに自動化されます。現在 Tufin 社は、ASA から Firepower に移行するために必要な時間と労力を大幅に削減する SecureMigrate という移行ツールを提供しています。

[3]  Cisco ISE : pxGrid連携

Acalvio ShadowPlexは包括的な分散型デセプション プラットフォームで、オンプレミスとクラウド両方にわたるエンタープライズ ネットワーク全体に動的かつインテリジェントで拡張性の高いデセプション機能を容易に導入できるように設計されています。ShadowPlex は、豊富なデセプション機能を利用して攻撃者に魅力的なターゲットを提示し、信頼性の高いアラートを生成します。ShadowPlex は、pxGrid を介して Cisco ISE と統合することで Rapid Threat Containment を活用し、悪意のあるアクティビティが観察されたホスト マシンを分離します。

Armis エージェントレスセキュリティ プラットフォームは、ネットワーク内外を問わず環境内のすべてのデバイスを検出して分析し、不正利用と攻撃から組織を保護します。Cisco ISE はロールベース アクセス制御を適用し、ネットワーク ポリシーのきめ細かさと精度を高めるために Armis から取得したデバイスに関するインサイトを使用します。Armis 社とシスコは連携を通じて、Bluetooth の周辺機器、IoT デバイス、不正なアクセス ポイントなどの管理対象外デバイスを含むあらゆるデバイスの完全な可視性と制御を提供します。

BlackRidge 社は、pxGrid を介して Cisco ISE と統合し、ソフトウェア定義型の境界をプライベート クラウドとパブリック クラウド、IoT、その他のネットワーク環境に拡張します。BlackRidge Transport Access Control(TAC)は ISE の ID およびアクセス ポリシーを使用して、ネットワーク接続の最初のパケットでアクセスを認証します。BlackRidge TAC は、クラウドベースのリソースとサービスをプロアクティブに分離して保護するために、ポート スキャン、サイバー攻撃、不正アクセスを阻止します。

Claroty 社は、産業用制御ネットワークに詳細な可視性と包括的な保護を提供します。Claroty プラットフォームが完全な資産の詳細情報を Cisco ISE に提供するため、ISE は資産プロファイルに基づいて特定のアクセス ポリシーを割り当てることができます。Claroty によって、pxGrid と ISE を使用している組織は OT ネットワークにセグメンテーションを実装できます。Claroty が ICS ネットワークの動作に基づいて自動的にマイクロセグメントを検出するので、ISE はセグメンテーション ポリシーを作成して適用できます。

CyberMDX社は医療機関向けサイバーセキュリティ ソリューションのパイオニアとして、接続された医療機器と臨床資産の可視性と脅威防御機能を提供します。CyberMDX 社は、CyberMDX の AI 搭載エンジンを通じて Cisco ISE の臨床機器分類機能を強化します。pxGrid を使用する組織も、機器の可視性とリスク アセスメントを活用してマイクロセグメンテーションのプロセスを自動化できます。pxGrid と ISE を介して導入することで手動プロセスが自動化されるため、人的資源を節約し、人的ミスを削減できます。

Cynerio 社は業界をリードする医療機器と IoT セキュリティ ソリューションのプロバイダーです。医療機関主導の動作分析に基づいて構築された Cynerio 社のテクノロジーによって、臨床エンティティに関する優れた可視性と、接続デバイス通信の関連リスク情報が提供されるため、Cisco ISE を使用して簡単かつ安全にアクセス ポリシーを適用することができます。

セキュリティ チームは、Demisto と Cisco ISE の統合を活用することにより、統合されたセキュリティ データの可視性を取得し、セキュリティ環境全体でのインシデント対応を調整することができます。セキュリティ オーケストレーション ソリューションである Demisto を使用するユーザは、pxGrid を通じて幅広いシスコ製品と接続される体系的で自動化可能なプレイブックを作成できるので、単一のウインドウで調査を実施して迅速に問題を解決できます。

Cisco ISE の強力な自動化機能と Digital Defense 社の Frontline Vulnerability Manager™ を統合することで、優れたデバイスの可視性とネットワーク アクセス制御が実現し、ワークフローを改善するとともに、インフラストラクチャの脅威に素早く対応することが可能になります。ISE は、Digital Defense の受賞歴のある脆弱性スキャナとの統合によって強力なパワーを追加し、組織のデバイス ポリシーに従ってスキャンを自動的に実行します。デバイスのスキャン結果の重大度に基づいて、デバイスを自動的にネットワークから削除またはセグメント化できるため、組織の資産を迅速に保護し、ネットワークへの侵入者を防止できます。

LogZilla 社は Cisco pxGrid を活用して LogZilla プラットフォームと Cisco ISE 間でデータを交換することで、NetOps、SecOps および ITOps のインテリジェントな意思決定の自動化を実現します。LogZilla プラットフォームは、LogZilla UI 内の直感的なダッシュ ボードで ISE コンテキスト情報を提供します。このダッシュボードには、成功および失敗した認証、デバイスの概要、コンプライアンス、TrustSec、MDM などの重要な情報が表示されます。またこのプラットフォームにより、LogZilla 管理者は複数の異なるソースの情報を自動的に関連付けた後、Adaptive Network Control(ANC)の緩和アクションを右クリックし、Rapid Threat Containment(RTC)を実行することができます。

Luminate Security により、セキュリティ チームと IT チームはゼロ トラスト アプリケーション アクセス アーキテクチャを構築し、エージェントレスのクラウド ネイティブ方式で、オンプレミスとクラウド内の企業アプリケーションに、使用するデバイスを問わずすべてのユーザを安全に接続できます。pxGrid を介して Cisco ISE と統合する Luminate は、ユーザ アイデンティティ、デバイス ポスチャ、場所、動作のパターンを活用して、コンテキストに応じた企業リソースへのアクセスを提供できます。

接続型医療機器を保護するには、NAC に臨床コンテキストを追加する必要があります。Medigateを使用すれば、医療機器に対する完全な可視性が得られるため、機器のタイプやベンダーごとにプロファイルおよびポリシーを作成できます。Medigate は、臨床ワークフローと通信プロトコルの詳しい知識に基づいて動作の異常を検出します。次に Cisco ISE が、Medigate からの臨床ベース情報に基づくアラートを通じて予防的なセキュリティ機能を有効化し、新しいレベルの脅威防御を実現します。

ICS サイバーセキュリティのリーダー企業である Nozomi Networks 社は、SCADAguardian、Central Management Console(CMC)などのリアルタイムの可視性/セキュリティ ソリューションを提供しています。これらのソリューションは、Cisco ASA および Cisco ISE 製品のプラットフォームと統合します。私たちは連携して OT ネットワークに対する可視性をさらに拡張し、統合された IT/OT 脅威インテリジェンスと ICS サイバーセキュリティを通じてサイバー復元力を強化します。

Rapid7 社は、セキュリティ、IT、開発の各チームを統合する共有型の可視性、分析、自動化機能を提供して SecOps のプラクティスを強化します。Rapid7 社の InsightVM と InsightIDR は、脆弱性と脅威の特定と優先順位付けに役立つ強力な分析を提供します。InsightVM および InsightIDR と Cisco ISE との統合により、セキュリティ チームと IT チームは脆弱性がある資産や侵害を受けた資産をブロックまたは隔離することが可能になり、セキュリティをさらに強化できます。

SecurityMatters 社の SilentDefenseは、ICS ネットワーク内の脅威と欠陥の特定、分析、対応機能の提供を通じて、重要インフラの運用組織と製造業者をサポートします。また、自動的に ICS エンドポイントを検出し、製造元、モデル、シリアル番号、ファームウェア/ハードウェアのバージョン、脆弱性、Purdue レベルなどの重要情報を収集します。この情報はシスコの pxGrid との統合を通じて Cisco ISE にプッシュ配信されるため、ICS の可視性が強化されるとともに、オールインワンのコンプライアンス/ネットワーク セグメント化/脅威封じ込めソリューションが実現します。

Siemplify 社のセキュリティ オーケストレーション/自動化/インシデント対応プラットフォームを使用するセキュリティ運用チームは、少ない労力でより迅速に脅威の調査と分析を実施し、対応することができます。Siemplify 社は、Cisco ISE との統合を通じて、完全な脅威の実例の作成や、決然としてインシデント対応と封じ込めを行うために必要な重要なコンテキストを提供します。

Splunk Add-on for Cisco ISEを使用することで、Splunk ソフトウェアの管理者は ISE syslog データを収集できます。これらのログは、Splunk プラットフォームを使用して直接分析することも、コンテキスト データ ソースとして活用し Splunk プラットフォームで他の通信/認証データと関連付けることもできます。このアドオンは、Splunk Enterprise Security、Splunk App for PCI Compliance などの他の Splunk アプリと連動するための情報や CIM 互換ナレッジを提供します。

Syncurityは、アナリストのためにアナリストによって構築され、サイバー リスクを低減する俊敏性に優れた SOAR プラットフォームを提供します。Syncurity は Cisco pxGrid を介して Cisco ISE と統合されていて、SOC および IR のアナリストにエンドポイントの素早い封じ込めや分離オプションを提供できます。それにより ISE は既知のホストの MAC アドレスに基づいてスイッチ ポートをバウンスまたはシャットダウンし、新しいポリシーをホストに適用する隔離信号を送信できます。

Tanium 社は、すべての接続デバイスの管理性と大規模な保護の提供を通じてビジネスの復元を実現することを使命として掲げています。Tanium 社は、最大級のグローバル ネットワークにわたる場合でも、すべてのエンドポイントを管理するために必要な可視性と制御をセキュリティ チームと IT 運用チームに提供します。Tanium プラットフォームは、Cisco pxGrid を介して Cisco ISE と統合されていて、状態に応じて管理対象および管理対象外のエンドポイントに Rapid Threat Containment ポリシーを適用します。

VU Securityは、お客様のビジネスのデジタル ライフサイクルのすべての段階に対応する製品と、俊敏で素早い標準化された方法を通じたあらゆる既存テクノロジーとの統合性を提供します。VU Behavior & Fraud Analysis プラットフォーム(機械学習および人工知能テクノロジーを含む)は pxGrid を介して Cisco ISE と統合されているため、お客様はデジタル ID と関連トランザクションをより効率的に制御および保護することができます。

Zingbox IoT Guardianは、IoT 資産と管理対象外のネットワーク接続デバイスを検出、分類、管理、保護、最適化する動作分析プラットフォームです。機械学習を活用する Zingbox により、IoT 資産が動的にマイクロセグメント化されるため、Cisco ISE と pxGrid を使用してセキュリティ リスクを軽減し、ビジネス継続性を確保できます。また Zingbox は、アクセス制御を適用して信頼できる動作のみを許可し、ゼロデイ攻撃を含む脅威を封じ込めます。

[4]  Cisco Threat Grid 連携

CyberSponse と Cisco Threat Grid の統合により、アナリストはデトネーションのサンプルの送信、ステータスと詳細/概要形式でのレポートの読み込み、特定の指標のレポート検索やフィードに対するレポート検索、IOC 関連のサンプルの取得などのアクションを活用し、CyOPs Playbooks を使用したマルウェア調査/脅威インテリジェンス シナリオの自動化に役立てることができます。CyOPs は 250 以上のセキュリティ ツールと統合されているため、業界で最も包括的なサイバーセキュリティ ワークベンチがアナリストに提供され、SOC チームは非常に有意義に自動化のパワーを活用できます。

Demisto は、Cisco Threat Grid との統合によってマルウェア防御を自動化し、インシデント対応を迅速化します。Demistoのオーケストレーション機能を活用するセキュリティ チームは、自動化されたワークフロー タスクとして幅広い Threat Grid アクションを含めることができます。Threat Grid のアクションとその他のセキュリティ製品が組み込まれた Demisto プレイブックは、対応を決定する基盤となる強力な可視性とコンテキストをセキュリティ チームに提供します。

Exabeamは、お客様の環境内の Threat Grid、AMP for Endpoints などのシスコ ソリューションのデータを統合することで、高度な脅威を検出します。Exabeam は、この統合データと特許取得済みの機械学習技法を使用して、ユーザとマシンの動作のベースラインを作成します。その結果 Exabeam は、お客様が効果的に措置を講じられるように素早く、通常とは異なるリスクのあるユーザの行動を特定できます。Exabeam によって Threat Grid のネットワークレベルの分析データと、ユーザレベルの行動データが統合されるため、脅威の完全な影響を理解し、企業ネットワークから攻撃者を完全に排除することが可能になります。

[1] IBM QRadar + Cisco Threat Grid:高度なサンドボックス、マルウェア分析、脅威インテリジェンスが統合された単一のソリューションを使用して高度な脅威を素早く特定して理解し、対応できます。Threat Grid のサンドボックス分析から得られた詳細情報は、組織内の潜在的な脅威が悪意のあるものか無害かを見極めるために QRadar によって使用されます。Threat Grid を右クリックすると完全なマルウェア レポートが表示されるため、アナリストは脅威の範囲と状況に対する理解を深め、QRadar で検出された優先順位が付けられた脅威を迅速に解決することができます。

[2] IBM Resilient IRP + Cisco Threat Grid:素早いインシデント対応と緩和に役立つ実用的なインサイトを提供します。Resilient を使用するセキュリティ アナリストは、素早くドリルダウンして Threat Grid の脅威インテリジェンス内で IOC を調査し、サンドボックス テクノロジー内で疑わしいマルウェアを自動的にデトネーションし、結果をインシデント レポートに抽出できます。Threat Grid 内のインシデント データ(例:影響を受けた資産、関連するシステム情報、フォレンジックの証拠および脅威インテリジェンス)は Resilient のオーケストレーションおよび自動化機能と統合されるため、さまざまなツールを行き来する必要がなくなり、インシデント対応時間が改善されます。

Siemplify 社のセキュリティ オーケストレーション、自動化、インシデント対応プラットフォームを使用するセキュリティ運用チームは、少ない労力でより迅速に脅威の調査と分析を実施し、対応することができます。Cisco Threat Grid との統合により、セキュリティ運用チームは迅速に堅牢な脅威インテリジェンスを適用してマルウェアを分析できるため、調査が効率化し、適切な対応と修復の決定を下すことができます。

Syncurity™ は、サイバー リスクを軽減する、俊敏性に優れたセキュリティ オーケストレーション/自動化/対応プラットフォームを提供します。緊密に統合されたアラートおよびインシデント対応ワークフローを使用して、より効率的で効果的なセキュリティ オペレーション センター(SOC)を実現します。Syncurity の IR-Flow との統合により、Cisco Threat Grid のお客様は自動的に分析のためのマルウェアを送信し、その分析結果を活用して SOC とインシデント対応のワークフローを強化できます。その結果、時間とアナリストの労力を節約できるため、アナリストはマルウェア サンドボックス分析の結果を待機している間に次のタスクに着手できます。またアナリストは、Threat Grid にアドホックでファイルを送信し、即座に既存のワークフローにピボットできます。

[5]  Cisco Advanced Malware Protection(AMP)for Endpoints 連携

CyberSponse と Cisco AMP for Endpoints との統合により、エンドポイント情報の取得、エンドポイントの指標の追跡、イベントの検索、ファイル リストの管理、グループの管理、ポリシーの詳細情報の取り込みなど、CyOPs Playbooks を通じた調査および修復シナリオの自動化に役立つ 20 を超える専用アクションがアナリストに提供されます。CyOPs は 250 以上のセキュリティ ツールと統合されているため、包括的なサイバーセキュリティ ワークベンチがアナリストに提供され、SOC チームは非常に有意義に自動化のパワーを活用できます。

Exabeam は、お客様の環境内の Threat Grid、AMP for Endpoints などのシスコ ソリューションのデータを統合することで、高度な脅威を検出します。Exabeam は、この統合データと特許取得済みの機械学習技法を使用して、ユーザとマシンの動作のベースラインを作成します。その結果 Exabeam は、お客様が効果的に措置を講じられるように素早く、通常とは異なるリスクのあるユーザの行動を特定できます。たとえば Exabeam は、Cisco AMP からログ データを取り込み、そのアクティビティを他の動作(GitHub のソース コードへのアクセス、Salesforce の顧客データへのアクセスなど)と関連付けることができます。

IBM QRadar + Cisco AMP for Endpoints:単一のソリューションに IBM QRadar + Cisco AMP for Endpoints の高度な脅威の防止、検出、対応機能を統合します。この統合では、パブリックまたはプライベート クラウドの導入を通じて Windows、Mac、Linux、Android、iOS デバイスを保護します。QRadar はデバイス サポート モジュール(DSM)を使用して AMP for Endpoints から高度なコンテキスト ログ情報を収集し、QRadar で解析します。これにより、セキュリティ アナリストは脅威の範囲と状況に対する理解を深め、脅威を迅速に検出し、解決することができます。

LogRhythm 社は、広範なシスコの製品ポートフォリオをサポートして統合し、シスコ製品スイート全体から取得したログ、フロー、およびイベント データを自動的に取り込んで正規化し、コンテキスト化します。LogRhythm は、REST ベースの API を介して Cisco AMP for Endpoints と統合し、AMP 環境からデータを引き出して取り込みます。次に LogRhythm は、このデータと環境全体から取得した他のログやマシン データにシナリオと動作ベースの分析を適用することにより、包括的な可視化を提供します。セキュリティ チームは、LogRhythm の一元管理コンソール内の AMP 固有のダッシュボードで、優先度の高いイベントを視覚化できます。この組み合わせに加え、LogRhythm が統合するシスコ製品ポートフォリオ内のデバイスとログ ソースが強力にサポートされているため、セキュリティ プロフェッショナルは脅威の検出と迅速な対応に必要なツールを利用できます。

Siemplify 社のセキュリティ オーケストレーション、自動化、インシデント対応プラットフォームを使用するセキュリティ運用チームは、少ない労力でより迅速に脅威の調査と分析を実施し、対応することができます。Siemplify は Cisco AMP for Endpoints とのシームレスな統合により、防止および検出機能を強化し、対応と修復にかかる時間を大幅に短縮します。

Syncurity™ は、サイバー リスクを軽減する、俊敏性に優れたセキュリティ オーケストレーション/自動化/対応プラットフォームを提供します。緊密に統合されたアラートおよびインシデント対応ワークフローを使用して、より効率的で効果的なセキュリティ オペレーション センター(SOC)を実現します。Syncurity IR-Flow は Cisco AMP for Endpoints と統合し、AMP for Endpoints で実行する一般的な封じ込めおよび修復タスクに要する時間を短縮します。お客様は、ブラックリストへのファイル ハッシュの送信やハッシュの検索を実行できるので、疑わしいエンドポイントのアクティビティの封じ込めと分析をスピードアップできます。アナリストは、ファイル検索結果を活用して SOC のワークフローを強化および改善できます。Syncurity IR-Flow のお客様も、AMP for Endpoints API から悪意のあるアクティビティのアラートを取得し、IR-Flow のアラートとして取り込んで、手動または自動分析のために活用できます。また IR-Flow によって、ホストを AMP for Endpoints 管理コンソールの別のグループに移動するアクションがトリガーされるため、アナリストはホストを素早く隔離することができます。

[6] Cisco Security Connector連携

IBM MaaS360 with Watsonは、統合エンドポイント管理(UEM)にコグニティブ/AI アプローチをもたらします。クラウドから提供される MaaS360 は、高速かつシンプルで柔軟な導入モデルが高く評価されています。オープン プラットフォームを提供する MaaS360 は、既存のアプリケーションやシステムとシームレスに簡単に統合できます。このたび Cisco Security Connector に MaaS360 のサポートが追加されました。

Jamf 社は、Jamf Pro および Jamf Now 製品、そして 60,000 以上のメンバーを有する Jamf Nation を通じて、エンド ユーザにパワーをもたらし、ビジネス、教育機関、政府組織に優れた Apple エクスペリエンスを提供する IT の実現に向け取り組んでいます。現在 15,000 社以上の世界中のお客様が、Jamf の製品を活用して 1,000 万台を超える Apple デバイスを管理しています。Jamfと Cisco Security Connector の統合は、Jamf Pro クラウドとオンプレミスの両方でサポートされています。

[7]  Cisco Cloud Security (Umbrella / Cloudlock )連携

CyberSponseは Cisco Umbrella との統合により、Umbrella Enforcement プラットフォーム上の特定の URL、IP、ドメインのブロック/ブロック解除などのアクションをアナリストに提供します。

Cisco Umbrella と EfficientIP DNS Guardian の組み合わせによって、セキュリティ境界を拡張し、ネットワーク防御を強化できます。この相補的なテクノロジー アライアンスでは、脅威インテリジェンス サービスを組み合わせ、クライアントの動作と適応型セキュリティに基づいて攻撃を検出することで、悪意のあるドメインから組織を保護します。この共同ソリューションは、最も包括的な脅威防御を実現するために、かつてないレベルの詳細な可視性と DNS セキュリティ サービスを提供します。内部/外部サービスの継続性の確保、データの機密性の保護、居場所を問わないユーザの保護を実現する上で、これ以上優れた方法はありません。

[1] QRadar Cloud Security:QRadar 向け Cisco Cloud Security アプリケーションは、クラウド セキュリティ管理を新しいレベルに引き上げます。このアプリケーションは、Cisco Umbrella、Investigate API、および Cloudlock を活用して、インターネット脅威の検出、クラウド インフラストラクチャのセキュリティ、クラウド アプリケーションの可視性、DNS ログ分析、および一連のダッシュボードの高度なコンテキスト インテリジェンスを統合します。ユーザは、ボタンをクリックするだけで脅威の軽減や異常の調査を実行可能で、合理されたワークフローを維持して将来発生する脅威に先手を打つことができます。

[2] Resilient & Umbrella:Umbrella プラットフォームに含まれる Cisco Umbrella エンフォースメント API は、IBM Resilient インシデント対応プラットフォームと直接統合します。このアプリケーションにより、悪意のあるドメインベースの脅威緩和が合理化され、ネットワークおよびオンプレミス ベースのインテリジェンスと脅威封じ込め機能をユーザが作業する場所に拡張できます。

[3] Resilient & Investigate:このアプリケーションは、Cisco Umbrella Investigate API と、業界をリードする人/プロセス/テクノロジーのオーケストレーション プラットフォームである IBM Resilient インシデント対応プラットフォームを統合します。この統合には、単一のワークベンチで脅威分析を提供する設定済みのワークフローや、Resilient 管理者がカスタム ワークフローに容易に導入できる一連のさまざまな機能が含まれています。

Menlo Securityとの統合により、Cisco Umbrella のお客様は、個人メールや未分類の Web サイトなどのカテゴリへのユーザ アクセスを許可し、これらのセッションをポリシー経由で Menlo Security Isolation Platform(MSIP)にルーティングできます。MSIP によってセッションが分離されると、Web サイトのすべてのアクティブなコンテンツは Isolation Platform で実行され、ユーザのブラウザには安全な視覚コンポーネントのみが送信されます。ユーザはネイティブ ブラウザでシームレスなエクスペリエンスを確保することができ、企業は潜在的なすべての Web の脅威から保護されます。

 

Rapid7 社は、セキュリティ、IT、開発の各チームを統合する共有型の可視性、分析、自動化機能を提供して SecOps のプラクティスを強化します。Rapid7 社のセキュリティのオーケストレーションおよび自動化ソリューションを通じて、ユーザは Cisco Umbrella をその他の数百にのぼるセキュリティおよび IT ツールと統合し、優れた相互運用性を確保することができます。

DNS およびプロキシのログは、クラウド上の悪意のあるアクティビティの詳細な可視性とコンテキストを提供する S3 バケットから取得できます。このログは、RSA NetWitness プラットフォームを介してクラウドやオンプレミスの多くのイベント ソースから収集したイベントとの相関付けや、これらのイベントの強化に使用できます。これらの情報と RSA NetWitness Platform が提供する完全な可視性を組み合わせて、プライベート クラウドとパブリック クラウド環境両方のログ、ネットワーク、エンドポイントから脅威を検出し、対応できるため、クラウドの保護がシンプル化されます。

Syncurity の IR-Flowとの統合により、Cisco Umbrella のお客様は Cisco Umbrella に自動的にドメインを送信してブロックすることや、ドメインがすでにブロックされているかを確認することができます。これらの統合のアクションを通じて、Cisco Umbrella のお客様は、Cisco Umbrella 外部で発見された悪意のある URL の封じ込めや、ドメインがすでにブロックリストに含まれているかの確認にかかる時間を短縮できます。ドメインがすでにブロックされている場合、アナリストは Cisco Umbrella がすでに組織を保護しているかの調査にかかる時間を短縮できます。

 

坂本 祐一

2008 年シスコシステムズ入社。大手企業を担当するエンジニアとして、金融からクラウド関連企業まで幅広く担当。ルータ&スイッチ・サーバー・セキュリティ・サービス プロバイダー関連など幅広く製品や技術を扱う。

その後セキュリティ事業部に所属。サイバーセキュリティに関連する事案や製品など調査・検証・提案する立場として活動。