もしあなたが私たちのリリースノートや最近のブログのいくつかを見ているならば、私たちが今年の初めに製品に追加した新しい機能、Content Packsについて言及していることに気づいたかもしれません。例えば、Bruce Snellによってリリースされたブログは、Industroyer2の脅威ハンティング活動を実施するためのContent Packの使用法を強調しており、私たちのLog4jContent Packブログは、フォレンジック調査のためのContent Packの活用について論じています。
しかし、コンテンツ・パックとは一体何なのでしょうか?このブログでは、その疑問にお答えするとともに、コンテンツパックを作成し、ご自身の組織で活用する方法をご紹介します。
コンテンツパックとは?
私たちの製品のクエリとレポート機能が年々成長するにつれて、私たちは多くの顧客、見込み客、そして私たち自身の担当者までもが、様々なレポートの作成を求めていることに気づきました。ある人はあるタイプのレポートを望み、ある人は別のタイプのレポートを望み、またある人はレポートをある形にしたいが、それは他の人のフィードバックと相反するものであった。ニーズは明確でした。市場に対応するために画一的なレポートを作ろうとするよりも、協力してクエリーとレポートを作成する方が良い解決策になるはずです。そこで私たちは、これを可能にするためにレポーティング・エンジンを進化させ、次のステップへの土台を築きました。
ユーザが新しいレポート機能とクエリ機能を使い始めると、私たちはテンプレートを1つのファイルにパッケージ化し、配布、共有、改良、再利用できるようにしたいと考えました。これは特に、政府規制への準拠や特定の脅威の調査など、より大規模で複雑なレポート要件に適しています。このような種類の出力には、複数のシステム、あるいは複数の顧客にまたがって整理して転送する必要のある複数のレポートやクエリーを活用することができる。
チームでの共同作業を容易にするために、ユーザーがタスクを完了するために必要なすべての情報を含む単一のファイルを作成できるコンテンツパック機能を展開しました。1つのコンテンツパックには、1つまたは複数のクエリやレポートが含まれます。コンテンツパックはJSONファイル形式を使用しているため、テキストリーダーで開いて簡単に読むことができます。さらに、ファイルは拡張可能です。つまり、Content Packに他のJSON形式の情報を追加することができます。Nozomi Networks 製品がそのデータを理解または受け付けない場合は、無視され、ファイルの解析が続行されます。つまり、コンテンツパックに他のシステムで使用できるデータを自由に追加することができます。
コンテンツパックは誰が利用できますか?
私たちがContent Packに求めた要件のひとつは、ユーザーコミュニティーの誰もが簡単に作成、インポート、エクスポートできることでした。 プロセスをシンプルかつ直感的にすることで、複雑さを排除しつつも、付加価値を与えるに十分なパワーを維持できるようにしたかったのです。
Guardian にログインできる人なら誰でも、Content Pack を作成できます。私たちのエンジニアも、あなたのエンジニアも、あなたも、私も、Content Packを作成し、共有し、使用することができます。
コンテンツパックの作成方法を教えてください。
コンテンツパックに追加したいレポートやクエリを作成したら、まずそれらを専用のレポートグループやクエリグループに配置するのが最も簡単です。
コンテンツパックを作成する:
- にログインする。Guardian
- 管理部門に移動する
- システム選択
- エクスポートを選択
次に、追加したいレポートとクエリのグループを選択します:
データをエクスポート」をクリックすると、.JSONファイルがローカルマシンにダウンロードされます。このファイルがあなたのコンテンツパックです。
コンテンツパックのインポート方法を教えてください。
コンテンツパックのインポートは、コンテンツパックの作成よりもさらに簡単です。エクスポートボタンのすぐ下にインポートボタンがあります。画面の下に、コンテンツパックのファイルをドロップできるボックスがあります:
コンテンツパックを追加すると、インポートされた内容の概要がGUIに表示されます:
コンテンツ・パックの典型的な用途は?
コンテンツパックを使用することで、持ち運びが容易になり、より高度な標準化が可能になることを考えると、その可能性は無限大です。 いくつかのシナリオを紹介しよう:
チャレンジ
世界的な大企業であるAcme Manufacturing社は、特定の政府規制や業界規制(NIST、ISA/IEC、FDA、NERCなど)に準拠したいと考えています。同社は、Nozomi Networks プラットフォーム内のデータを活用し、社内のコンプライアンスチーム向けに事実を要約しています。さまざまな事業部門が、工場の生産管理システム、企業のビル管理システム、その他インフラの一部にプラットフォームを導入している。その結果、コンプライアンス・チームが使用する前に標準化しなければならない情報が大量に発生する可能性がある。
ソリューション
Nozomi Networks 企業全体に配布する単一のコンテンツパックを作成することで、データの出所に関係なく、正規化されたデータセットが可能になる。Acmeは、社内で「Acme Regulation X Content Pack」を作成し、組織内で配布することができる。
チャレンジ
システムインテグレーター、サービスパートナー、MSSP、またはその他のサービス指向の企業であるAcme Servicesは、その部門または市場でNozomi Networks プラットフォームを実行している複数の顧客を抱えている。彼らは、顧客の環境に実装されたNozomi Networks ソリューションを使用して、安全性チェックや健康チェックなどの標準化されたサービスを顧客に提供したいと考えている。
ソリューション
アクメ社は、標準化されたフォーマットで、顧客向けのレポート、エンジニアが何に重点を置くべきかを知るための複数のクエリ、およびリスク低減のための推奨事項を含む「アクメ・サービス・ヘルスチェック」コンテンツ・パックを作成することができる。Acme Service Health-Check Content Pack は、Acme 社内で共有され、顧客ベースへのサービスをより簡単に、より効率的に、そして予測可能にすることができる。
チャレンジ
毎晩のニュースで、Acme Corp.の首脳部は、最近発見された、自分たちの組織が使用しているようなシステムに対して行われている非常に破壊的な攻撃について知り、警戒を強める。彼らは、その結果業務にもたらされるすべてのリスクを、すべての事業部門にわたって洗い出したいというのだ。
ソリューション
アクメ社内のサイバーセキュリティ・スタッフが協力して、Guardian :
- 脆弱なシステムの特定
- 早期の偵察活動、活発な感染、横方向への移動、その他の侵害の兆候を示すアラートを強調表示します。
- 脅威ハンティングクエリの導入
- 運転上の異常を評価し、さらなる検査が必要かどうかを確認する。
この組織は、コンテンツ・パックをGuardian に配布し、それをインポートし、クエリーとレポートを実行することで、OT からIoT から BMS まで、すべてのテクノロジーを含む一貫したデータを手に入れることができる。
コンテンツパックで他に何ができますか?
コンテンツパックは拡張できるように設計されているため、クリエイターはNozomi Networks Guardian の製品に特化したコンテンツ以外のコンテンツを追加することができ、そのコンテンツパックがGuardian にインポートされると、不明なコンテンツは無視されます。つまり、ユーザーは、画像、URL、メモなどをJSONファイルに埋め込むことができ、別のシステムで使用したり、社内のメモや参照に使用したりすることもできる。可能性は無限です。
私たちは、Content Packsに大きな計画を持っています。近い将来、私たちはContent Packsのための追加機能を明らかにし、私たちが最近公開したLog4jとIndustroyer2のパックに似た、より多くのContent Packsをリリースするでしょう。
