真夜中に悪意あるIPがサーバーをヒットしたという連絡が入りました。状況のトリアージを行い、「誰が、何を、どこで、いつ、なぜ」をできる限り早く、詳細に突き止める必要があります。
トリアージの結果によって、次にとるべきステップは、「警告は誤検知と判断する」から「上位に報告し、企業内のオンコールスタッフを夜中に起こして警告する」までの間のどこかになります。
同様の状況を経験したことのある人なら誰しも、手元にセキュリティツールがあれば対処が遥かに容易になることを知っています。自社で稼働しているすべてのエンドポイント、システム、業務について完全な可視性を提供してくれる単一のプラットフォームがあれば百人力です。
Cloudflareは、アプリケーションサービス(DNS、CDN、WAFなど)を通してお客様のアプリケーションを保護します。Zero Trust製品やAccess、Gatewayなど、企業アプリケーションを保護する製品もあります。それらの製品はそれぞれログを生成し、お客様の環境で何が起こっているのかを可視化します。当社のお客様の多くは、Cloudflareのサービスをエンドポイント管理、コンテナ型システム、自社サーバーなど他のネットワークサービスやアプリケーションサービスと併用されています。
Cloudflareのお客様が、ログをIBM Security QRadar SIEMへ直接プッシュできるようになったことを発表でき、嬉しく思います。この直接統合で、クラウドストレージを介する必要がなくなるため、CloudflareとQRadar SIEMのお客様にとってはコスト削減と迅速なログ配信が実現します。
Cloudflareは、IBM QRadar SIEMチームからパートナーをお招きし、この統合により共通のお客様で可能になる能力開放についてお話しいただきました。
IBM QRadar SIEM
QRadar SIEMは、すべてのユーザー、エンドポイント、クラウド、アプリケーション、ネットワークをまとめて可視化し、インサイトを提供して、企業全体での脅威の検出、調査、対応を支援します。QRadar SIEMは、数千から数百万のイベントを管理可能な数の優先警告事項にまとめ、AIを活用して自動化したエンリッチメントと原因分析によって調査を加速することで、セキュリティチームが迅速かつ効率的に作業できるようにします。QRadar SIEMで自社チームの生産性を高め、重要なユースケースに対応し、自社のセキュリティ業務を成熟させましょう。
Cloudflareのリバースプロキシ製品と企業セキュリティ製品は、お客様の環境の重要な一部です。セキュリティ分析で、それら製品が生成するログとネットワーク全体のツールから得られるデータを可視化し、検出と対応のワークフローを構築することができます。
IBMとCloudflareは長年にわたり、お客様に単一の管理画面を提供すべく提携してきました。このたび新たに統合を強化したことで、QRadar SIEMのお客様はCloudflareのログを、CloudflareのLogpush製品から直接取り込めるようになります。QRadar SIEMは、S3ストレージを介した既存の統合を活用するお客さまも引き続きサポートします。
この新たな統合の使い方について詳しい情報をお求めの方は、Cloudflare Logs DSMガイドをご参照ください。また、QRadar Communityブログに投稿されるブログ記事もご確認ください。