UEBAハンズオンを終えて

徐々に定番になりつつあるSOCYETIのハンズオンイベント。今回はパロアルトネットワークス社の全面協力のもと開催させていただきました。

ハンズオンだけでなく、パロアルトネットワークス本社のSecurity Operationの中心メンバーにより、リアルなインシデント事例を踏まえながら、クイズ形式でその一端を体感できるようなコーナーも設けていただき、大盛況でした。

Intelligence-Driven Security Operationという、実際の攻撃事例からインテリジェンスを得ながらオペレーションしていく概念についての説明もありました。アタックライフサイクルの前半はなるべく自動的に検知できるようにして、マルウェアが入り込んできた後など後半に人的な分析・調査のウェイトを置けるようにしていこうというトレンドを改めて感じました。ここでもATT&CK（本サイトでも日本語抄訳しております）が取り上げられていました。かなり急速に普及しているようです。

ちなみにオススメの本は「Intelligence-Driven Incident Response」だそうです。

そして後半はMagnifierのハンズオン。これまでEDRのハンズオンをしてきたので、エンドポイントを起点にして脅威の全体を捉える流れでしたが、Magnifierはネットワーク側の挙動を起点としたアプローチからエンドポイントに入っていくので、NWベースのセキュリティを扱うSOCのメンバーは、馴染みやすい部分もあったようです。

自由に触れる環境を用意いただいたので、参加者もかなり深く利用してみていたようで、厳しい突っ込みをして講師を困らせるような場面もありました。逆に、こちらの期待を良い意味で裏切る回答もあったりして、これこそがSOCYETIが求めているサプライヤーとアナリスト・オペレーターの関係だと思うので、主催側としてはとてもよかったかなと思います。

今回のような機会をご提供いただいたパロアルトネットワークス社には、この場を借りて改めて感謝申し上げます。

---

SOCYETIでは、SOCの最前線で業務を行う各社のアナリストやオペレーターと様々なプロダクトやサービスが出会い、高め合える場も用意して行きたいと考えております。このような営みにご興味のあるサプライヤーの方がおりましたら、ぜひinfo@socyeti.jpまでご連絡ください。

もちろん、最新の技術、プロダクトに触れたいというSOCアナリスト・オペレーターのみなさまのご参加もお待ちしております！