Zeekの単一センサー比で5倍の効果、脅威ハンティングを変えるメタデータの進化

要約

　セキュリティアナリストや脅威ハンターは、企業内のトラフィックから取得したメタデータを使って明確な根拠に基づくインシデント調査を実施する必要がある。しかし、現在のセキュリティデータはバラバラに散在しており、特にZeekを採用している企業では、煩雑な設定や既存ツールとの連携に多くのリソースを割かれている状況にある。

　そこで注目されているのが、最新のセキュリティ情報で強化したネットワークメタデータをSIEMやデータレイクに転送するアプリケーションだ。検索可能なメタデータをKafka、syslog、Elasticなど好みのデータストアにZeekフォーマットで転送できるため、既存のZeekツールを全て活用できる上、ネットワーク上でIPを使用する全てのデバイスを特定し、トラッキングすることが可能となる。

　これにより、セキュリティチームはZeekを管理するためのオーバーヘッドを生じさせることなく、調査に集中することができるという。本資料では、パフォーマンスのチューニングや継続的な保守が不要でありながら、Zeekの単一センサーに比べて5倍以上のパフォーマンスを発揮するとう同ソリューションの仕組みについて詳しく解説する。