さよなら SIEM, こんにちは SOAPA

f:id:sunrise683:20170107220918j:plain

セキュリティ関連の記事の中に面白い記事があったので、メモ。

www.networkworld.com

記事の題目からも分かるけどSecurity Information and Event Management(SIEM)からSOAPA(Security Operations and Analytics Platoform Architecture)へと移行しつつあるよという記事。確かにSIEM製品はだいぶ淘汰が終わり、LogRhythm, McAfee(aka:Nitro Security), HP(aka:ArchSight), IBM(aka:Readar), SplunkがLegacy Productとなりつつある、たぶんもう流れは変わらない。

だけどSIEM製品が成熟したと同時に、SIEM製品だけでは今日のCyber Securityの成長ペースに追いつかないという問題点も出てきた。そこでSIEMを含めた統合的なSOAPAというアーキテクチャが必要だよな、という話。

SOAPAで使われるテクノロジ一覧

  • Security Information and Event Management(SIEM): Splunk, Qradar
  • Endpoint Detection/Response tools(EDR) : CarbonBlack
  • Incident Response Platforms(IRPs): ServiceNow
  • Network security analytics : BlueCoat, Cisco
  • User behavior Analysis(UBA)/Machine learnings algorithms : N/A
  • Vulnerability scanners and security asset managers : Qualys
  • Anti-malware sandbox : FireEye
  • Threat Intelligence : ServiceNow

ServiceNowはもともとIT Opsのシステム監視系が強いと思っていたけど、Security Intelligenceとしても強いんだな。。記事の中では各ベンダのM&AもこのSOAPAに従って進み、Trend MicroやPalo AltoがLogほにゃららを買収するかも、、っという面白い話もあったりする。