メインコンテンツへスキップ
ランタンホーム

Splunk Lantern

リスクベースアラート (RBA)

  1. 最後の更新
  2. PDFとして保存

セキュリティオペレーションセンターの主な目的の1つは、生成されたアラートの確認と優先順位付けです。アラートは、潜在的な脅威、異常、またはインシデントをチームに通知します。時間が経つにつれて、新しいデータソース、アプリケーション、またはクラウド環境を追加すると、アラート処理に負担がかかったり、焦点が変わったりすることがあります。セキュリティアナリストは、アラートを優先度とリスクレベル別に分類する方法を持っている必要があります。アラートの中には、システムの重要度に応じて緊急度が高くなるものもあります。たとえば、メールサーバーではなく、本番環境のウェブサーバーに関連するアラートの優先度を高くすることができます。 Splunk Enterprise Security には、ビジネスに対するリスクの評価に基づいてアラートの優先度を変更する機能があります。

緊急度による優先順位付け

Splunk Enterprise Security 注目すべきイベントには、「不明」、「低」、「中」、「情報」、「高」、または「重大」の緊急度が割り当てられます。これらは相関検索の特定の設定に基づいて自動的に割り当てられ、イベントの分類、追跡、および割り当てに役立ちます。次のことができます。 デフォルト設定をカスタマイズできます。 優先度を変更するため。

リスク別の優先順位付け-リスクベースのアラート

の「インシデントレビュー」ページで Splunk Enterprise Security 環境内の脅威を特定するためのカスタムリスクノートを作成できます。ノートでは、以下のフィールドを設定できます。 risk_object だけでなく risk_score 。これにより、最も重要な資産のスコアを高く設定し、アラートを優先して最も重要な脅威への対応時間を短縮できます。

どのようなリスクベースのアラートとリスク優先順位付けプロセスを導入できますか?