CardinalOpsは、SIEM側で取得しているログやMITRE ATT&CK®フレームワークのカバー範囲を分析し、ルールDBからおすすめの新ルールを提案します。
ユーザはCardinalOps上からワンクリックで新ルールを迅速にレビュー・テストし、SIEMに適用することができます。
Webコンソール上から項目を選択
おすすめの新ルールはRecommendationにカウント
CardinalOpsが提案してくれる
おすすめの新ルールを確認
和訳:Windows - Findstrを使用したLSASSプロセスの偵察
新ルールの内容を確認、OKであれば
ワンクリックでそのままSIEMに適用
新ルール適用後は、対象項目が色なし(カバー率0%)から緑(カバー率高/リスク低)の状態になったことをCardinalOps上で確認することができます。
また、右上の全体のCOVERAGEとHEALTHもあわせて上昇します。
このCardinalOpsからの提案とユーザの適用ルールの選択を繰り返すことで、利用するSIEMのMITRE ATT&CK®フレームワークのカバー範囲を広げ、SIEM環境をアップデートし続けることが可能です。
【適用前】
【適用後】
CardinalOpsはSIEM既存ルールに不備がある場合やルールが壊れている場合、修正ルールを提案します。
ユーザはCardinalOps内でルールが機能していない理由、修正ルールの内容を確認することができます。
単に問題箇所を指摘するだけでなく、 SIEMに即時反映できる形で修正ルールを提案してくれるのが特徴です。
Webコンソール上から項目を選択
機能していない既存ルールは
Issue(問題箇所)にカウント
ルールが機能していない
理由を確認
和訳:ソースタイプ aws:cloudtrail が欠落しているためルールが壊れている
CardinalOpsが提案する
修正ルール案を確認、SIEM側で適用
CardinalOpsをご利用にあたり、SCSKセキュリティでは初期構築や運用をサポートする技術支援サービスをご用意しております。
これらのサービスをご活用いただくことで、CardinalOpsを安心してご導入・ご利用いただくことが可能です。
また、SIEMに関する支援サービスも併せてご提供しておりますので、CardinalOpsとSIEMを一括して、SCSKセキュリティにて包括的にサポートさせていただくことが可能です。
| 初期構築支援 |
|
|---|---|
| 運用支援 |
|
|
その他
(SIEM支援) |
|
Copyright © SCSK Security Corporation
