すべてのアラートに対応する、AIのTier 3アナリスト
誤検知とMTTIを削減するインテリジェントなトリアージ
エクサボットトリアージは、IaaS、SaaS、アイデンティティ、エンドポイント、コード、およびSplunkやCrowdStrikeなどのサードパーティツール全体にわたるシグナルを相関分析します。誤検知を抑制し、ビジネス固有のコンテキストに基づいて優先順位付けを行い、適切な作業を適切な担当者に割り当てることで、Tier 1~3の分析を数分で実行します。
誤検知とノイズの削減
エクサボットトリアージは、SIEM、EDR、ネットワークセキュリティツールなどにわたる関連アラートを単一の検出結果に集約し、重複を排除します。さらに、環境に応じた分析、履歴分析、およびビジネスコンテキストルールを適用して、誤検知や無害なアクティビティを除外します。これにより、無関係なアラートを最大80%削減し、アナリストが明確で価値の高い対応に集中できるようにします。
スタック全体にわたる高度なコンテキスト強化
エクサボットは、クラウド、SaaS、AI、コード、およびエンドポイントシステムから、アイデンティティ、セッション、構成、アクティビティのデータを取得し、エージェントが生成する設計時の問いに回答します。これらは、シニアアナリストが実際に行う重要な問い、すなわち「誰が」「何を」「どこで」「どのように」、そしてそのアクティビティが通常の挙動と一致しているかどうかといった観点です。その上で、アラートに優先順位を付け、迅速なトリアージのために調査内容を要約します。
説明可能で信頼性の高い判断
すべてのトリアージ結果には、簡潔で平易な英語による根拠、判断の根拠となった主要な指標、影響を受けたプリンシパルおよびリソース、ならびにログや証拠へのリンクが含まれます。アナリストや監査担当者は、アラートが誤検知または無害と判断された理由、あるいはエスカレーションされて対応・解決された理由を正確に把握できます。
アラートを単一の攻撃ストーリーに統合する攻撃チェーン
エクサフォースは、SIEM、アイデンティティプロバイダー、EDR、メール/フィッシング対策ツール、およびエクサフォースの検知全体にわたる関連アラートを相関分析し、証拠と元データへのドリルダウン(ピボット)を含む、エンドツーエンドの単一ストーリーとしてAttack Chainsを自動的に構築します。これにより、アナリストは初期アクセスから権限昇格、ラテラルムーブメント、影響に至るまでの一連のアクティビティを可視化し、数分で完全な調査ストーリーを整理できます。
カスタマイズ可能なトリアージロジック
特定のアラートタイプに合わせたカスタム質問を追加することで、エクサボットの調査機能を拡張できます。組織固有の情報を収集する質問を設定することで、トリアージの精度を高め、誤検知を削減し、経験豊富なアナリストの調査ノウハウをロジックとして組み込むことができます。
主要なトリアージ機能
ノイズを削減し、意思決定を迅速化するために設計されています
ノイズ削減エンジン
誤検知の自動削減と重複アラートの抑制
検出結果の重複排除
同一の根本原因を持つ複数のアラートを重複排除し、無駄な作業を削減
アタックチェーン
複数のソースにまたがる脅威を連鎖的に関連付け、攻撃の全体像を可視化
ビジネスコンテキストルール
環境固有の知識をルールとして組み込み、無害なアラートを削減し、環境に即したコンテキストでトリアージを実施
履歴分析
ナレッジモデルに蓄積された過去の結果を活用し、分析と推奨を継続的に改善
サードパーティのインテリジェンスソースによるコンテキスト強化
PerplexityやAbuseIPDBなどの脅威インテリジェンスフィードからのコンテキストを、すべてのアラートに自動的に付与
CFSはエクサフォースのAgentic SOCプラットフォームを活用しており、調査時間の短縮に貢献しています。場合によっては、数時間から数分へ短縮されました。プラットフォームによるアラートの自動トリアージにより、手作業が大幅に削減され、貴重な時間を節約できています。過去1年間、エクサボットは24時間365日のMDR機能を提供し、当社環境を継続的に監視しながら、セキュリティエンジニアリングチームと運用チームを支援してきました。
