Apache Metron
Apache Metron は、ビッグデータのサイバーセキュリティアプリケーションフレームワークで、大規模な多様性に富むストリーミングセキュリティデータに対するシングルビューを提供します。これによりセキュリティ運用センターは、脅威の迅速な検知と対応が可能になります。
Apache Metron の機能
Apache Metron は、セキュリティ運用担当者による迅速かつ容易な業務の遂行を可能にする、ストリーミング分析アプリケーションです。これは、さまざまなオープンソースビッグデータテクノロジーを、セキュリティの監視と分析のためのツールとして1つに統合した、次世代の SOC (セキュリティオペレーションセンター) のデータ分析と対応のためのアプリケーションです。
Metron は、セキュリティデータフィード、ログ、ネットワークメタデータなど、多様なデータを大規模に取り込んで、処理、保存するための機能を提供します。また、ログの集約、キャプチャしたパケットのインデックス付け、ストレージ機能、高度な行動分析、データの補完なども可能です。さらに、1つのプラットフォームの中で、セキュリティテレメトリに最新の脅威インテリジェンス情報を適用することもできます。
Apache Metron 概要
Apache Metron の主な 4つの機能:
セキュリティデータレイク (Security Data Lake)を使って、長期間にわたる高度なテレメトリや PCAP データなど、広範な業務データとセキュリティデータを合わせ、優れたコスト効果で保存することができます。このデータレイクは、ディスカバリ分析に必要なデータのコーパスや、運用分析ための検索やクエリを行うメカニズムを提供します。
プラガブル・フレームワーク (Pluggable Framework) は、一般的なセキュリティデータソース (pcap、netflow、bro、snort、fireye、sourcefire) のための豊富なパーサーを提供するだけではありません。新しいデータソースに対するカスタムパーサーや、ローストリーミングデータをコンテクスチュアルな情報で補強するためのサービス追加や、脅威インテリジェンスのフィードのためのプラガブルエクステンション、セキュリティダッシュボードのカスタマイズ機能などを提供します。機械学習やその他のモデルもまた、リアルタイムストリームにプラグインすることが可能で、これにより拡張性が大幅に向上します。例えば、ビルトインスクリプトとユーザー定義関数使ってデータ変換行うような、カスタム機能の追加といった容易な拡張が可能です。
脅威検知プラットフォーム (Threat Detection Platform) は、イベントがストリーミングで入ってくると、機械学習アルゴリズムや異常値検知を適用します。
インシデント対応アプリケーションは、SOC 分析に一般に使用される、パケットリプレイユーティリティやエビデンスの保存、ハンティングサービスなど、SIEM 機能 (アラート発生、脅威インテリジェンスフレームワーク、データソース取り込みのためのエージェント) の進化版です。