ネット管理者

7 つの最高のインシデント対応ツール

最高のインシデント対応ツール



インシデント対応サイバー攻撃を特定し、ブロックし、被害から回復するプロセスです。 インシデント対応ツール これには、サイバー攻撃の特定に役立つサポート ソフトウェアとサービス、および攻撃を自動的にブロックするツールが含まれます。

インシデント対応は自動化する必要はありません。ただし、侵入またはマルウェア活動の検出時に独自にアクションをトリガーするソフトウェアが利用可能になりつつあります。このタイプのインシデント対応システムはと呼ばれます 舞い上がる 、「」の略です セキュリティのオーケストレーション、自動化、および対応 ”。



SOAR システムは、分析ユーティリティを介して攻撃識別子を防御システムに接続し、攻撃をシャットダウンし、発生した被害を回復します。 SOAR は、侵入防御システム (IPS) とほぼ同義です。ただし、SOAR には、別の主要な攻撃検出標準が統合されています。 シェムリアップ

以下に、最高の 7 つのインシデント対応ツールのリストを示します。

  1. SolarWinds セキュリティ イベント マネージャー 編集者の選択 インシデント対応ツールとなる分析とアクショントリガーを備えた SIEM ツール。 30 日間の無料トライアルを開始してください。
  2. クラウドストライク Falcon Insight (無料トライアル) ネットワーク上のすべてのエンドポイントから収集されたイベント データを調整することにより、攻撃検出をサポートするハイブリッド ソリューション。 15 日間の無料トライアルを開始してください。
  3. ManageEngine Log360 (無料トライアル) この SIEM は、インシデント対応のためにサービス デスク システムへの通知を生成します。 Windowsサーバー上で動作します。 30 日間の無料トライアルを開始してください。
  4. AT&T サイバーセキュリティ USM どこでも AlienVault OSSIM を中心に構築された完全なクラウドベースの SOAR サービス。
  5. スプランクファントム 攻撃調査システムと対応自動化ツール。このシステムは、標準の Splunk ツールまたはその他の SIEM システムにアドオンとして接続されます。
  6. 私は出発します SIEM、分析、自動化されたインシデント対応を含む SaaS セキュリティ プラットフォーム。
  7. ログリズムSIEM ユーザーとエンティティの行動分析、脅威ハンティング、SOAR を含む次世代 SIEM プラットフォーム。

SIEMとは「 セキュリティ情報とイベント管理 ”。これは SOAR の検出部分を形成し、次の 2 つの戦略に依存します。 セキュリティ情報管理 、ログ ファイルを調べて悪意のあるアクティビティの兆候がないかどうかを調べます。 セキュリティイベント管理 、ネットワーク上のトラフィック パターンやその他のライブ インジケーターを調べます。



SIEM は SOAR の主要部分であるため、SIEM ツールのベンダーは SOAR の最先端にあり、脅威分析とインシデント対応の分野に専門知識を拡大しています。インシデント対応分野における他の大手企業は、ウイルス対策システムのメーカーです。これらの企業は、長年にわたってマルウェアを探し出して削除することに取り組んできました。完全なインシデント対応ツールを提供するには、ハッカーの活動と侵入に対する防御機能を武器庫に追加するだけです。

最高のインシデント対応ツール

業界は破壊的で革新的な新規参入者によってひっくり返されることがよくありますが、専門知識を新しい技術に適応させた確立された経験豊富な企業が一般に普及しています。インシデント対応の分野では、次のようなソフトウェア ハウスがあります。 サイバーセキュリティ システムにおける強力な背景 最高のインシデント対応ツールを提供します。

インシデント対応システムを選択するための方法論

私たちはインシデント対応ツールの市場を調査し、次の基準に基づいてオプションを分析しました。

  • 検出システムから解決システムへのリンク
  • アクセス権マネージャーおよびファイアウォールとの調整
  • カスタマイズ可能なアクションルール
  • アクションのログ記録
  • ライブステータスレポート
  • リスクのない評価機会のための無料トライアルまたはデモ オプション
  • 自動化システムによりリーズナブルな価格で提供されるコストパフォーマンス

この一連の基準を使用して、ネットワーク上ですでに運用されているセキュリティ サービスと統合できるさまざまなインシデント対応サービスを探しました。

1. SolarWinds セキュリティ イベント マネージャー (無料トライアル)

Solarwinds セキュリティ イベント マネージャー

ソーラーウィンズ はシステム監視に優れており、その出発点からインシデント対応ツールの開発に取り組みました。と呼ばれているにも関わらず、 セキュリティ イベント マネージャー (SEM)、このツールはセキュリティ情報マネージャー ( はい )。ログ ファイルを検索して、潜在的な悪意のあるアクティビティを特定します。これにより、このツールはセキュリティ ソリューションの SIEM カテゴリに分類され、SolarWinds はこの形式の境界を押し広げ、インシデント対応の領域に到達しました。

主な特徴:

  • Windows Server のオンプレミス
  • 脅威の優先順位付け
  • カスタマイズ可能なルール
  • Active Directoryと統合
  • ファイアウォールに接続します

SolarWinds には、SEM と呼ばれるモジュールが含まれています。 アクティブな応答 。これは、SEM を完全なインシデント検出および対応サービスにするための最終フェーズです。 SIM は異常を検出し、脅威の優先順位を調整し、 警告メカニズム 。アラートは、緩和アクションを決定する立場にあるオペレーターに通知するためだけに残すことができます。ただし、アクティブ レスポンスをオンにすると、イベントに応答するための手作業の多くを排除できます。

アクティブレスポンスは イベントとアクションをトリガーするルールベース – トリガー A はアクション X を起動します。システム ツールに応答を実装させることは危険であると考えられる場合があります。ただし、これらのアクション ルールはカスタマイズ可能であり、オペレータは SEM が応答システムを実行する際にどこまで実行するかを決定できます。 SEM が起動できるアクションの種類には、トレースの起動、Active Directory でのユーザー アカウントの一時停止、特定の IP アドレスからのアクセスをブロックするファイアウォール テーブルの更新などが含まれます。これらのアクションはすべて文書化されているため、元に戻すことができます。

長所:

  • インシデント対応ツールと自動修復および予防の両方を提供します
  • 幅広い統合を備えたエンタープライズ向けの SIEM
  • シンプルなログフィルタリング、カスタムクエリ言語を学ぶ必要なし
  • 数十のテンプレートにより、管理者はほとんどセットアップやカスタマイズをせずに SEM の使用を開始できます
  • 履歴分析ツールは、ネットワーク内の異常な動作や外れ値を見つけるのに役立ちます

短所:

  • SEM はプロフェッショナル向けに構築された高度な SIEM 製品であり、プラットフォームを完全に習得するには時間がかかります

SolarWinds Security Event Manager のソフトウェアは次の場所にインストールされます。 Windowsサーバー 。 30 日間の無料トライアルを利用して、そのペースを試してみることができます。

編集者の選択

SolarWinds セキュリティ イベント マネージャーネットワーク上のどこにいてもセキュリティ イベントを見逃すことはありません。 SEM は、アクションをトリガーするルールを設定できる Active Response モジュールを使用して、脅威にリアルタイムで対応するのにも最適です。必須のツールです。

30 日間の無料トライアルを開始する:Solarwinds.com/security-event-manager/use-cases/incident-response-software

あなた:Windowsサーバー

二。 CrowdStrike Falcon Insight (無料トライアル)

クラウドストライク ファルコン インサイト

CrowdStrike Falcon の洞察インシデント対応サービス 。これは、セキュリティ侵害後の後始末を請け負うことができる人間ベースのコンサルティング会社です。顧客がそのサービスに連絡するのは、すでにセキュリティ インシデントが発生していることがわかった場合のみです。

主な特徴:

  • ハイブリッドシステム
  • エンドポイント上のイベントを調整します
  • オフラインのエンドポイントで実行されます
  • 技術対応チーム

CrowdStrike のインシデント対応チームの技術者が使用するツールは、セキュリティ ソフトウェア スイートの一部として企業にも販売されています。 クラウドストライク ファルコン

CrowdStrike Falcon はセキュリティ プラットフォームです。これには多くの要素が含まれており、それぞれがセキュリティ研究のためのインフラストラクチャまたはサービスのさまざまな側面をカバーしています。 Falcon プラットフォームのモジュールはすべて、システムを完全に保護するために連携して動作します。

ファルコンインサイト エンドポイント検出および応答サービス (EDR) です。これは進化したウイルス対策システムです。ただし、Falcon スイートには、と呼ばれるネット世代 AV が含まれているため、AV に代わるものではありません。 ファルコン・プリベント 。 Falcon Insight の特殊な役割は、ネットワーク上の多くのエンドポイント間の防御戦略を調整することです。

Falcon プラットフォームは、オンプレミス ソフトウェアとクラウド ベースの要素を組み合わせて、セキュリティ サービスに 2 つの焦点を当てます。インストールされた要素は、ウイルス対策システムに合格するものです。各エンドポイントにソフトウェアをインストールする利点は、インターネット接続が切断されたり、ネットワークに問題が発生したりした場合でも、ソフトウェアが動作し続けられることです。サービスのクラウド部分 データを集約する サイト上のすべてのエンドポイントからアクセスして、ネットワーク アクティビティのビューを作成します。 Falcon Insight は、これら 2 つの要素の間の橋渡しをします。

エンドポイント ソフトウェアは即時保護を提供し、中央データ コンソリデータは SIEM ツールとして機能し、エンドポイント エージェントによってアップロードされたイベント レコードを分析して、 行動パターン これは、侵入またはその他のタイプのシステム全体にわたる攻撃を示します。また、中央の Falcon サービスは、新しい検出戦略ですべてのエンドポイントを更新するため、多くのインスタンスの調整によりセキュリティ ネットワークが作成されます。

Falcon Insight は、プラットフォーム内の他の要素と連携して機能し、 舞い上がる 。このチーム プロジェクトにおける Falcon Insight の優先タスクは、潜在的な脅威を特定し、優先順位を付けることです。これは「」として知られています。 トリアージ インシデント対応で。さらに拡大する可能性のある活動の最も可能性の高いポイントを特定することで緩和時間を短縮し、新たな攻撃の発生場所を特定する防御戦略を可能にします。

CrowdStrike は、Falcon プラットフォームをパッケージで販売しています。すべてのパッケージには、次世代ウイルス対策システムである Falcon Prevent が含まれています。 CrowdStirke が提供する 4 つのプランは次のとおりです。 ファルコンプロファルコンエンタープライズファルコンプレミアム 、 そして ファルコンコンプリート 。 Falcon Pro を除くこれらのエディションにはすべて Falcon Insight が含まれています。

全体として、プラットフォーム内のサービス スイートの各要素には独自の専門的な方法論があり、これらを組み合わせることで、部分の合計よりも強力な統合セキュリティ サービスが作成されます。

長所:

  • 脅威の検出にはログ ファイルのみに依存せず、プロセス スキャンを使用して脅威を即座に検出します
  • ハイブリッド SIEM/SOAR 製品として機能します
  • 異常な動作を時間の経過とともに追跡して警告することができ、ネットワークを監視する時間が長ければ長いほど改善されます
  • オンプレミスまたはクラウドベースのアーキテクチャに直接インストール可能
  • 軽量エージェントはサーバーやエンドユーザーのデバイスの速度を低下させません

短所:

  • 試用期間を長くするとメリットが得られる

Falcon プランは、月ごとのエンドポイントごとの料金でサブスクリプションによって課金されます。得られる15日間の無料トライアルFalcon システムの機能ですが、これには Falcon Prevent のみが含まれます。

ファルコンインサイト これは、1 つのサイバーセキュリティ ソフトウェア (AV) が、システム全体の調整を追加することでどのようにインシデント対応ツールに強化されるかを示しているため、もう 1 つの優れたインシデント対応ツールです。 Falcon Insight は、デバイスを保護する AV とファイアウォールの従来のアクティビティを SIEM ツールのデータ スキャン機能と組み合わせます。これは、プラットフォーム戦略を通じて強化された防御システムを提供する既存のテクノロジーを想像力豊かに再解釈したものです。

15 日間の無料トライアルを利用する : go.crowdstrike.com/try-falcon-prevent.html

あなた:Windows、macOS、Linux

3. ManageEngine Log360 (無料トライアル)

ManageEngine Log360 ダッシュボード

エンジンログ360の管理 は、複数のシステムからデータを収集し、ログ メッセージのプールから攻撃の兆候を検索するオンプレミスの SIEM です。このツールは応答を直接実装しませんが、サービス デスク システムを通じて通知を送信し、システム技術者の即時の注意を引きます。

主な特徴:

  • サイトとクラウド プラットフォームを検索します
  • ログ形式を統合
  • 脅威の検出
  • ログ管理

Log360 パッケージには、オペレーティング システムごとに 1 つと、クラウド プラットフォーム用のエージェントのライブラリが含まれています。 AWS そして アズール 。各エンドポイントとクラウド アカウントにエージェントをインストールします。次に、オペレーティング システムとソフトウェア パッケージからすべてのログ メッセージを収集します。ツールは取得します Windowsイベント Windows システムから、および シスログ Linux からのメッセージ。エージェントは 700 以上のソフトウェア パッケージと対話して運用データを抽出できます。

エージェントはログ メッセージを中央サーバーに転送します。 ログサーバー 。これにより、到着するすべてのメッセージが標準形式に変換されます。ログが標準化されているため、Log360にまとめて収集できます。 データビューア ログファイルにもあります。ログ サーバーはログ ストレージを管理し、ファイルをローテーションして意味のあるディレクトリ構造に保存します。データ保護標準の認定を受ける必要がある場合は、コンプライアンス監査のためにログにアクセスできる必要があるため、これは重要です。 Log360 パッケージには以下が含まれます コンプライアンスレポート HIPAA、PCI DSS、FISMA、SOX、GDPR、GLBA に対応。

ダッシュボードに表示されるのは、 ライブ統計 ログ メッセージのスループットと脅威検出スキャンの結果について。コンソールには、ログ メッセージが到着すると表示されるデータ ビューアが備わっています。ログファイルに読み込むことも可能です。データビューアには以下が含まれます 分析用のツール

ManageEngine が提供するのは、 脅威インテリジェンス 世界中で発生しているハッカー攻撃や侵入イベントに関する情報を照合するフィード。現在の攻撃戦略に関する情報を取得すると、Log360 の脅威ハンティング機能で何を探すべきかについてより適切なアイデアが得られます。このシステムは絶えず追加される大量のデータを処理し、最初に何を探すべきかについての指示を得ることで、脅威の検出プロセスをスピードアップします。

Log360 の脅威ハンターは不審なアクティビティを発見すると、アラートを生成します。アラートはダッシュボードで表示できますが、サービス デスク システムにアラートを送信することもできます。このツールは次のものと連携できます マネージ エンジン サービス デスク プラスはい 、 そして Kayoko 。サービス デスク システム内で Log360 に与えられる優先順位は、チーム管理ツールで設定したポリシーによって決まります。 Log360 アラートを特定のチーム メンバーにルーティングすることを決定したり、優先度の評価を追加したりすることもできます。

長所:

  • 多くのソースからのログを統合
  • Syslog、Windowsイベント、アプリケーションログを収集します。
  • サービスデスクシステムを通じて通知をルーティングします
  • コンプライアンス報告

短所:

  • Linux用のサーバーソフトウェアはありません

ManageEngine Log360 のサーバーは次の場所にインストールされます。 Windowsサーバー 。パッケージを評価するには、30日間の無料トライアル

ManageEngine Log360 30 日間の無料トライアルを開始する

四。 AT&T サイバーセキュリティ USM どこでも

AT&T サイバーセキュリティ USM どこでも

最近まで、このシステム セキュリティ パッケージは AlienVault の統合セキュリティ管理 。 AlienVault は 2018 年に AT&T に買収され、新しい所有者は古い AlienVault ブランドを廃止しました。

主な特徴:

  • クラウドベース
  • OSSIMに基づく
  • プロアクティブなシステム強化

どこでもUSM 広く賞賛されている無料のオープンソースの有料バージョンです AlienVault OSSIM – AT&T はその製品に AlienVault の名前を残しました。 「」のOSSIM規格 オープンソースのセキュリティ情報管理 ”。これは広く使用されている SIEM ツールであり、USM Anywhere の中核を形成します。

USM Anywhere の OSSIM セクションは、データ収集および脅威アナライザーです。このサービスはログ ファイルを検索し、ネットワーク トラフィックをスキャンして悪意のあるアクティビティの兆候を探します。 USM Anywhere を使用すると、OSSIM のシステム監視機能がハードウェアとソフトウェアで強化されます。 資産の発見 さらに、プロセス全体から始まる在庫管理。 SIEM システムはログ メッセージを統合してファイルし、並べ替え機能や検索機能を備えたビューアを介してこれらのレコードにアクセスできるようにします。

USMどこでも追加 脆弱性評価 アルゴリズムをネットワーク スキャン ルーチンに追加します。資産管理と脆弱性スキャンにより、システム管理者はシステムを強化するために対処できる構成の弱点を認識できるようになります。

システム監視はクラウド上の AT&T サーバーから制御されます。このサービスは、複数の場所を含む加入企業のすべての資産を保護することができます。 AWS そして アズール クラウドサーバー。

USM Anywhere は、サードパーティ ソースからのデータ収集、脅威インテリジェンス フィード、脅威の優先順位付け、および 自動応答 これには、ファイアウォールなどの他のサービスとの対話が含まれます。脅威インテリジェンスのフィードは、 オープン脅威交換 (OTX) 、AlienVault が管理し、クラウドが提供する脅威情報プラットフォームです。

長所:

  • Mac と Windows で利用可能
  • ログ ファイルをスキャンし、ネットワーク上でスキャンされたデバイスとアプリケーションに基づいて脆弱性評価レポートを提供できます。
  • ユーザー主導のポータルにより、顧客は脅威データを共有してシステムを改善できます
  • 人工知能を使用して、管理者による脅威の追跡を支援します

短所:

  • 試用期間をもっと長くしてほしい
  • 他のセキュリティ ツールへの統合オプションをさらに増やしたいと考えています

これは、ストレージ スペース、レポート エンジン、サイバーセキュリティ サービスを含むクラウド サービスです。データ セキュリティ標準に合わせてフォーマットされたレポート テンプレートがパッケージに含まれています。 AT&T サイバーセキュリティ USM Anywhere は サブスクリプションサービス 3 つのエディション: 不可欠標準 、 そして プレミアム 。これらのプランの主な違いは、データ保持期間にあります。 Essentials プランには、自動化されたインシデント対応メカニズムや、オーケストレーションのためのサードパーティ ユーティリティとの対話は含まれていません。

5. スプランクファントム

スプランクファントム

スプランクファントムSOARシステム これは、Splunk Security Operations Suite と呼ばれるより広範なプラットフォームの一部です。自動化されたインシデント対応は、Splunk Phantom 機能に含まれています。

主な特徴:

  • オンプレミスまたはクラウド
  • 応答プレイブック
  • ガイド付きの根本原因分析

Splunk Phantom システムの中心となるのは、「 プレイブック ”。これらは、利用可能なツールを選択して展開することで異常を検出するためのプロセス チェーンを作成する自動化されたワークフローです。ワークフローには、緩和アクションの開始につながる条件分岐が含まれています。これらのワークフローは手動で起動することも、ループで継続的に実行するように設定して問題を探すこともできます。

ユーザーが組み立てることができます カスタムプレイブック グラフィカルな編集画面から。デザイナーはフローチャート エディターのように見えます。プレイブック内の各ボックスはプロセスを表します。フローは分岐して、同時に実行される個別のスレッドを作成できます。

インシデント対応は自動的に開始される必要はありません。 Phantom システムには、インシデント管理をサポートするコラボレーション モジュールが含まれています。このノート メーカー システムは、チームが調査プレイブックの出力を探索するのに役立ちます。

ファントムミッションのご案内 分析のための直感的なガイドです。このシステムは、発見の考えられる説明を提案し、可能性のあるシナリオを確認または除外するためのさらなる分析を促します。

長所:

  • 根本原因分析を提供して迅速な修復を実現
  • マネージャーは脅威のハンドブックを設計できる – 新しいチームメンバーに最新の情報を提供するのに最適
  • Windows、Linux、macOS、その他のさまざまな環境をサポート
  • 無料バージョンをサポート – テストに最適

短所:

  • 企業ネットワークに最適

Phantom はシステムを自動的に監視しません。のメインシステムが必要です スプランク データソースとして。ただし、2 つのツールにお金を払いたくない場合は、Splunk の無料版を入手できます。 Splunk Phantom には無料版はありません。 Splunk および Splunk Phantom は次の場所にインストールできます。 ウィンドウズLinuxマックOSFreeBSDソラリス11 、 そして AIX

6. 私は出発します

私は出発します

エグザビームは セキュリティオペレーションスイート それはSIEMに基づいています。このサービスはホストされているため、Exabeam サーバー上の処理能力とストレージ スペースも利用できます。 SIEM では、データ収集エージェントをオンサイトにインストールする必要があります。これらはログ メッセージを収集し、Exabeam サーバーにアップロードします。このソースデータを照合して統合して、 Exabeam データレイク これは、Exabeam コンソールの SIEM 機能と分析機能の両方のソースです。

主な特徴:

  • クラウドベース
  • SOARの実装
  • 応答プレイブック

セキュリティスイートには以下が含まれます ユーザーとエンティティの行動分析 (UEBA) モジュール、と呼ばれる Exabeam の高度な分析 これは、典型的なアクティビティを検査してベンチマークを設定し、その標準からの逸脱を特定する AI ベースの機械学習プロセスです。

インシデント対応はコンソールから手動で開始することも、Exabeam を通じて自動的に実行されるように設定することもできます。 舞い上がる 機構。の インシデントレスポンダーについて説明します に基づいています。 プレイブック ”。これらは、特定のイベントの検出時に起動されるアクションを定義するワークフローです。プレイブックでは、手動応答ワークフローのアクション ガイダンスを作成することもできます。プレイブックの各ステップの完了がログに記録され、次のことが提供されます。 監査証跡 コンプライアンス報告のため。

Exabeam は、UEBA および SOAR システムと SIEM を組み合わせることにより、優れたコストパフォーマンスと優れた閉ループ サービスを提供します。多くの競合製品はモジュールごとに個別に料金を請求します。

オンラインサービスなのでソフトウェアのメンテナンスの心配もありません。コンソールには、標準のブラウザを通じてアクセスできます。 Exabeam も提供しています アーカイブサービス これを Exabeam パッケージに追加して、ログファイルのアーカイブを保持できます。

長所:

  • インシデント対応ワークフロー、プレイブック、自動化をサポート
  • 大規模なデータセットをフィルタリングするための便利なクエリ機能を提供します
  • HIPAA、PCI DSS などのコンプライアンスレポートや内部監査に使用できます。
  • データアーカイブをサービスとして提供 - 脅威データを記録したい企業に最適

短所:

  • インターフェースには、レイアウトの簡素化、グラフの改善などの改善が必要になる可能性があります。

Exabeam SaaS は以下で利用可能です 無料トライアル

7。 ログリズムSIEM

ログリズムダッシュボード

LogRhythm 次世代 SIEM プラットフォーム セキュリティの脅威を検出してシャットダウンするサービスのモジュールを提供します。このシステムには、ユーザーに追加のサービスを提供すると同時に、SIEM にフィードする情報を収集するライブ監視ツールが含まれています。これらは ネットモン ネットワーク監視と システムモン エンドポイント監視用。 SysMon は、LogRhythm サーバーにアップロードするログ メッセージも収集します。受信ログサーバーが呼び出されます。 アナリティックス

主な特徴:

  • クラウドベース
  • SOARを使用
  • 修復ワークフロー

AnalytiX は、検索や並べ替えなどの基本的な分析ツールを備えたデータ ビューアーを提供します。 LogRhythm SIEM の最後の 2 つのモジュールは次のとおりです。 ディテクトX 、脅威ハンティング システムです。 応答X それがSOARです。自動インシデント対応サービスは RespondX に含まれています。 LogRhythm の購読者には、追加することで DetectX をアップグレードするオプションがあります。 ユーザーXDR 、これは、異常検出を改良するためのユーザーとエンティティの行動分析システムです。

RespondX は SOAR として、ファイアウォールなどのサードパーティ ツールと対話してロックダウン ルーチンを実装できます。 SOAR の中核となるインシデント対応モジュールは次のように呼ばれます。 スマートレスポンスの自動化 。これにより、事前設定またはカスタマイズされたルールに従って自動的にトリガーされるワークフロー オプションが提供されます。

長所:

  • シンプルなウィザードを使用してログ収集やその他のセキュリティ タスクをセットアップし、より初心者に優しいツールとなっています。洗練されたインターフェイス、高度にカスタマイズ可能、視覚的に魅力的です。動作分析に人工知能と機械学習を活用しています。ライブ データ処理で優れた仕事をします。

短所:

  • トライアルオプションを確認したい

LogRhythm は次のように利用できます クラウドベースのサービス 。で実行されるソフトウェアを使用してオンプレミスにインストールするために取得することもできます。 Windowsサーバー 。 LogRhythm は次のように配信することもできます。 ネットワークアプライアンス

インシデント対応ツールの選択

インシデント対応ツールの優れたソースは、コア製品を拡張して SOAR プラットフォームを作成した SIEM サプライヤーから提供されます。インシデント対応ツールのサプライヤーのもう 1 つの主要カテゴリは、次のようなサービスを提供するサイバーセキュリティ サービス会社です。 攻撃軽減サービス 。これらの企業の技術者は業務用に社内ツールを開発しており、その多くはより広範なビジネス コミュニティにもリリースされています。セキュリティ ソフトウェアのあらゆるソースを調査し、非常に優れたオプションをいくつか特定しました。

インシデント対応システムに関するよくある質問

クラウド インシデント対応で最も広く使用されているツールは何ですか?

インシデント対応ツール市場は、SIEM システムが独占しています。近年、SIEM ツールのプロバイダーはソフトウェアをクラウドに移行しています。これらのツールは、1 つのアカウントから複数のサイトとクラウド リソースのセキュリティを監視できます。

インシデント対応の 7 つのステップとは何ですか?

インシデント対応の 7 つのステップは次のとおりです。

  1. 準備する
  2. 識別する
  3. 含む
  4. 根絶する
  5. 復元する
  6. 学ぶ
  7. テストと繰り返し
^