皆さん、こんにちは。
アイネットテクノロジーズ 丸田です。

企業の皆様は普段どのような監視・分析サービスを利用いただいておりますでしょうか。

当社では、主に Microsoft 365 E5に含まれる Defender 製品群を相関的に分析し対応を行う、Modern SOC(MSOC)サービスを提供しております。

　

SOCとMSSと言う用語をご存じでしょうか。
SOCとは、Security Operation Center の略で、ネットワーク機器やサーバー、セキュリティ機器のログを監視、検知したアラートを分析し、対策を講じる専門の組織です。一方でMSSとは、SOCの対象となっているネットワーク機器やサーバー、セキュリティ機器のセキュリティ運用を加えた、セキュリティ運用管理を実施するサービスです。

大きな違いは、SOCから通知された対策や対応はお客様担当者が実施しますが、MSSでは、被害を最小化するため攻撃手法に応じた一次対応から恒久対応までMSSで実施するところにあります。

SOC/MSSサービスの内容については、事業者によって様々なものとなりますが、当社のModern SOC(MSOC)サービスは、MSSサービスをご提供させていただいており、サービスのご契約後に監視と並行して、運用設計も実施させていただいております。

【主な流れ】
運用コンサルティング（オプション）
↓
ご契約
↓
監視準備　※監視アカウントご準備、連絡方法/連絡先の確認etc
↓
監視開始
↓
運用設計　※インシデント発生時の体制、障害発生時の体制etc
↓
運用開始（適宜チューニング）

運用設計を実施させていただくことで、お客様毎に異なる運用に合せた最適なセキュリティ運用を実施することが可能です。
例えば近年コミュニケーションツールとして、メールではなくチャットツールを利用している企業が多くなっているため、通報やシステム利用者様との連絡をチャットツールで行うといった対応が可能となっております。

さて、この業界に詳しい皆様には釈迦に説法かもしれませんが、Microsoft 365 のセキュリティ製品群であるMicrosoft Defender 製品は、多層防御を前提としています。Modern SOC(MSOC)サービスでは、複数製品の相関分析を実施しています。単一製品で検知したアラート内容から正しくインシデントと判断することはできないためです。

可能性の一つとして調査・分析のきっかけにはなりますが、誤検知・過検知であることがほとんどです。

この誤検知・過検知を早期に判断するために必要なのが相関分析です。
相関分析を行うことで、インシデントが発生している可能性が高いお客様へ迅速に連絡が行えるため、結果として人的リソースの最適化にもつながり生産性向上が見込めます。そのため、Modern SOC(MSOC)サービスでは、基本的には必ず、複数製品をスコープ(監視範囲)とさせていただき相関分析を実施しています。

以下、スコープと体制の一例また、クラウド製品とはいえシステム障害は必ず発生します。この場合、他社様ではサービス対象外として復旧まで待機していることが多いようですが、当社ではクラウド事業者への問い合わせも代行させていただくサービスメニューなどもございます。

是非、お気軽にお問い合わせください。

株式会社アイネットテクノロジーズ
info@inet-tech.jp