こんにちは、CS部のK.M.です。ようやくエアコンを切って過ごせるくらいの気温にはなってきましたね。
今回は、直近でリリースされたRapid7社の新しいソリューションについて、いったい何なのか紐解いてみたいと思います。
新ソリューション「Incident Command」概要
以前紹介した「Exposure Command」に続き新しい「Command」シリーズのようですね。。。
一体何が違うのでしょうか。Incidentと書いてあるのでIncidentレスポンスに関係していそうですね。まずは公式サイトの情報を基に調べてみることにします。
公式サイトによると、「AIを搭載した次世代SIEM」とのことです。
正直最近のソリューションはAIを搭載と謳っているメーカーも多いのであまり驚きはありませんね。
これ以外にも情報あるか見てみましょう。
今度はSOCというキーワードが出現しました。冒頭の推測通り、やはりインシデントレスポンスに関係するソリューションみたいですね。
次は実際どんなことができるのか、より具体的に見ていきたいと思います。
Incident Commandとその内容
まず、Incident Commandの構成要素から見ていきましょう。
構成要素
- サイバー資産アタックサーフェス管理(CAASM)
- 外部アタックサーフェス管理(EASM)
- 自動化と対応(SOAR)
- ログ管理、検知トリアージ、調査、報告(SIEM)
- ユーザー行動分析(UBA)
- AI支援アラートのトリアージと処理(AI-SOC)
- エンドポイントでの検知と対応(EDR)
- ネットワークにおける検知と対応(NDR)
- 侵入検知システム(IDS)
- ホステッドDFIRフレームワーク
- ディセプション技術
特定のジャンルごとに羅列してみましたが、思ったよりカバー範囲が多いのでびっくりしました。
簡単にまとめると、資産の把握とその検知対応がまとめてできるプラットフォームといったところでしょうか。
その他の要素も以下に記しておきます。
その他要素
- リスクの優先順位付け
- Rapid7エージェント
- Remediation Hub
- カスタマーサポート
- 検知ルールライブラリとカスタムルールの作成
- AI手動の自然言語検索(脅威ハンティング)
- Rapid7 Labsからの脅威インテリジェンス
- 調査と対応のプレイブック
- Intelligence Hub
各項目の細かい内容については今回は割愛させていただきますが、脅威インテリジェンスや優先順位付け等、運用をする際にサポートしてくれるような機能が実装されているみたいですね。
提供形態は?
かなり多くの要素を含んでおり、場合によっては既に導入しているツールと機能が被ってしまったり、一度にそこまでできないという方も多いかと思いますが、そこは段階的に実施できるようなプランが用意されているみたいです。
用意されているプランはEssentials、Advanced、Ultimateの3種類で、EDRやAI-SOC、NDRなどが含まれるないものもあるようですね。
また、ライセンスとしてはアセット数が費用算出の要素になっており、意外とシンプルな形態をしていることがわかりました。
※アセットの定義:ワークステーションまたはサーバー・オペレーティング・システムを実行しているホストのこと。これには、サーバー、デスクトップ、ラップトップ(物理および仮想)、POSシステムなどが含まれます。
まとめ
今回のブログでは、最近リリースされたRapid7のIncident Commandについて簡単にまとめてみました。このAI-SIEMという領域のツールで実際にどんなことができるかについてはより具体的な情報がそろったらまた紹介してみようと思います。
