アラートトリアージAIは、受信セキュリティアラートを自動的に分析し、脅威インジケーター、資産の重要度、履歴パターンに基づいて優先度スコアを割り当てます。これにより、最も重要なアラートに注意を集中させ、アナリストのワークロードを軽減します。
主な機能
- マルチファクタースコアリング: 脅威インジケーター、資産の重要度、ユーザーコンテキスト、環境要因を使用してアラートをスコアリング
- コンテキストエンリッチメント: 脅威インテリジェンスフィード、資産インベントリデータ、履歴パターンによる自動エンリッチメント
- 誤検知削減: 履歴分析とパターンマッチングによる既知の誤検知の特定と抑制
- 自動エスカレーション: 特定の条件が満たされた場合のルールベースによる上位重大度へのエスカレーション
- MITRE ATT&CKマッピング: アラートのMITRE ATT&CKテクニックおよび戦術への自動マッピング
仕組み
- アラート取り込み — 検出ルール、NDR、接続されたセキュリティツールからの新しいアラートがトリアージキューに入る
- コンテキスト収集 — エージェントが関連コンテキストを収集:資産の重要度、ユーザー行動履歴、関連アラート、脅威インテル
- 重大度評価 — マルチファクター分析により優先度スコアと推奨重大度レベルを生成
- エンリッチメント — IOCルックアップ、MITREマッピング、類似する履歴アラートでアラートをエンリッチ
- ルーティング — 高優先度アラートは即座に表示され、低優先度アラートはレビュー用にバッチ処理
スコアリングファクター
| ファクター | 重み | 説明 |
|---|
| 脅威インテルマッチ | 高 | 既知の脅威データベースに対するIOCマッチ |
| 資産の重要度 | 高 | 影響を受ける資産のビジネス上の重要性 |
| 履歴パターン | 中 | 過去に確認された脅威との類似性 |
| ユーザー行動 | 中 | 通常のユーザーパターンからの逸脱 |
| 環境コンテキスト | 低 | 時間帯、ネットワークロケーション、ピアアクティビティ |
サービスティア別機能
| 機能 | Detect | Respond | Hunt |
|---|
| 自動トリアージ | あり | あり | あり |
| AI搭載分析 | 基本スコアリング | 高度なコンテキスト | プレミアム+カスタムモデル |
| カスタムトリアージルール | なし | 制限付き | あり |
| 履歴分析深度 | 7日 | 90日 | 2年 |
