Falcon LogScaleを利用すると、分散したシステム全体にわたるリアルタイムのオブザーバビリティを提供する、強力で柔軟、かつ直感的なプラットフォームにより、有用なインサイトが得られます。このテクノロジーは、ストリーミングデータをリアルタイムで集約できるほか、取り込んだデータの保管場所を自由に選べるハイブリッドオプションも備えています。Falcon LogScaleの革新的なインデックスフリーのアーキテクチャにより、データを平均15分の1に圧縮できるため、データ保管に伴う課題も解決できます。

Falcon LogScaleを利用すると、以下が可能になります。

• さまざまなソースから受信した大量のストリーミングログデータを集約し、取り込んで、分析する
• データを1か所に保存することで、データの信頼性と一意性を高めることができるとともに、システム全体に対する分析を通して相関性のあるイベントを特定する
• 1秒未満のレイテンシーにより効率的にログデータをクエリできるため、大規模なデータでも簡単かつ費用対効果に優れた形で管理する
• コンピューティングリソースへの負荷を最小限に抑えつつ、業界をリードするデータ圧縮率を実現する
• すべてのログを漏らさず調査し、サイバー攻撃の全貌を高い確度で明らかにする
• ITチームが複雑なシステムを簡単に可視化して分析できる、設定可能な共有ダッシュボードを作成する
• アプリケーションレイヤーのデータと、インフラストラクチャレベルの情報の両方を調査し、すべてのマイクロサービスにわたる完全なオブザーバビリティを獲得できる
• アップストリームとダウンストリームの両方のイベントを関連付けてインサイトを獲得し、問題を防止する

最新のIT環境においてはデータ量が指数関数的に増加しており、これらのデータを活用するニーズが拡大しています。しかし従来のログ管理ソリューションは、このようなニーズに対応できるだけのテクノロジーを備えておらず、大量のデータを十分に活用することができません。従来のソリューションは、汎用データベースのようにロギングを処理します。つまり、インデックスを利用した時代遅れの手法により、データセットの編成および検索を行います。この手法では、CPUリソースやメモリリソースを大量に消費するため、ハードウェアの費用がかさみます。また、取り込みと検索のいずれにおいても遅延が生じ、結果が得られるまでに時間がかかるため、調査がスムーズに進まず、さらなるリスクやコストが生じることになります。

多くの場合、組織に欠けているのは、真のオブザーバビリティです。現代のデータファブリックにおいて重要な要素であるログは、システムの正常性を診断して調査を実施するための基盤となります。ただし、従来のログ管理ソリューションを利用した経験のあるITチームであれば身に染みていることですが、分散型システムやレガシーシステムのログを管理するにあたっては以下のような課題があります。

• 大量のデータをログに記録するために膨大なコストが生じる
• 検索スピードが遅く、調査の妨げとなる

Falcon LogScaleは、「エラーを検索したり、特定のパラメーターでフィルタリングしたりすることにより、シンプルかつ費用対効果の高い形でログを参照し、疑問について調査して、深く掘り下げることができること」というシンプルな目標を念頭に開発されました。

この目標を実現するため、Falcon LogScaleでは以下の原則に基づいています。

• 大量のログを簡単に取り込んで管理し、使いやすいクエリ言語でトラブルシューティングできる
• 将来参照できるように費用対効果の高い形でログデータを保持し、受信データが急増しても対応できるシステムを構築する
• 簡単にデータを可視化し、調査を実施して、コラボレーションを行える、設定可能な共有ダッシュボードを提供する
• ユーザーがインタラクティブにデータを発見して調査できる仕組みを提供する
• すべての機能をシンプルでありながら強力なものにする

Falcon LogScaleを使用すると、いかなる複雑なコンピューティング環境においても、コンピューターにより生成された大量のデータを理解し、可用性に関する懸念事項を直ちに特定して、セキュリティ脅威を見極めることができます。1日あたり数テラバイトにおよぶデータを簡単に取り込むことができる、他に類を見ない強力なエンタープライズ向けツールです。ログ管理の最強ツールと言えるでしょう。

新たに生じている要件や、応答性の高いサポートへの要求により、さらなる開発の迅速化が求められています。企業は、ますますスピーディーな開発を求められるとともに、アプリケーションやソリューションを継続的に展開する必要に迫られています。システムの脆弱性を排除して、極力ユーザーの手間をかけずに展開を成功させるためには、関連するあらゆるデータについての完全なオブザーバビリティが不可欠です。

デジタルトランスフォーメーションにより、アプリケーションの開発および展開方法が大きく変化しています。今日のアプリケーションやシステムは、スピーディーな開発と新サービスの継続的デリバリーを可能にする新しいコンテナおよびクラウドテクノロジーが利用されているため、変化のスピードが非常に速くなっています。Falcon LogScaleは、柔軟なハイブリッド導入オプションに対応しており、DevOps、SecOps、ITOpsの各チームが、1つのソリューションですべての関連ログデータをリアルタイムに可視化できる環境を実現します。直感的なインターフェースと使いやすいクエリ言語により、ログの民主化を実現し、ユーザーはシステム全体を観察し、操作することが可能になります。

大量のログデータからリアルタイムのインサイトに即座にアクセスする必要性がかつてなく高まっています。Falcon LogScaleは、さまざまな種類にわたる大量のログデータを直ちに取り込んで集約する処理に最適化された、時系列データベースエンジンを備えています。組織のシステムを理解するためには、テラバイト単位のデータをリアルタイムで取り込み、分析、可視化、保持できる必要があります。無制限のロギングを可能にする強力な機能を備えるFalcon LogScaleは、インシデント管理、トラブルシューティング、監査などのシナリオに最適なソリューションとなっています。

Falcon LogScaleで圧縮を使用すると、以下のような複数のメリットがあります。

• データの保管に必要なディスク容量を節約できます。
• ディスクからのデータの読み込み速度が向上します。圧縮された状態でデータをディスクからRAMに読み込むことができます。たとえば、読み込み速度が1秒あたり1ギガバイトのディスクがあるとします。圧縮率を10とすると、Falcon LogScaleでは1秒あたり10ギガバイトのデータをRAMに読み込むことができます。このため、Falcon LogScaleでは、利用するディスクの読み込み速度以上に高速に検索できることが確認されています。
• RAMからCPUへのデータの読み込み速度が向上します。データが圧縮された状態で維持されるため、RAMとCPU間の帯域幅を効率的に利用できます。Falcon LogScaleは、データを可能な限りCPUに近い場所で圧縮状態のまま保持します。その後、CPUキャッシュでデータを解凍し、検索を行います。

そのトレードオフとして、CPUはデータの解凍処理に一定の負荷を必要とします。Falcon LogScaleは、データの解凍速度が非常に高速な圧縮アルゴリズム (L74) を使用しています。圧縮を使用すると多くのメリットがあるのはそのためです。

Falcon LogScaleでは、さらに高い圧縮率を誇る圧縮アルゴリズム（ZFS圧縮）を使用するように設定することもできます。解凍の際により多くのCPUリソースを必要とするため、状況に応じて適切な圧縮方式を選択する必要があります。クラスター内に存在するデータのサイズ、そしてクラスター内のディスクリソースとCPUリソースの比率に従って圧縮方式を選択します。圧縮率の高い圧縮アルゴリズムを使用すると、ディスクからのデータ読み込み速度は向上しますが、解凍により多くのCPU時間が必要となります。

システムを管理し、中断を防止するためには、より詳細なインサイトを通して簡単にマシンのデータを把握し、迅速に調査できることが不可欠です。複雑な分散型システム間におけるデータ相互のつながりが増加したことにより、開発者はクラウドおよびグローバルなIT戦略の再考を余儀なくされました。また従来の開発およびDevOpsワークフローも見直しを迫られています。Falcon LogScaleを使用すると、いかなる複雑なコンピューティング環境においても、大量のデータを理解し、可用性に関する懸念事項を直ちに特定して、脆弱性を見極めることができます。Falcon LogScaleにより、Webアプリケーション、デスクトップアプリケーション、サーバー、デバイスで生じるログデータやアクティビティレコードを取り込んで、集約することができます。

システム全体の正常性と安定性を確認できることの必要性がかつてなく高まっています。DevOpsチームは、稼働しているシステムについて理解し、可視化して、分析するために、あらゆるソースからの構造化データと非構造化データを含む、すべてのデータに関するリアルタイムのオブザーバビリティを必要としています。

Falcon LogScaleを利用すると、内部および外部のアプリケーションやシステムに対して実行された正常性チェックの結果を監視することができます。

ログデータは、イベントについてのコンテキスト情報を提供し、ユーザーはこの情報に基づきコードに脆弱性や問題がないかを調査し、特定することができます。

DevOps、マイクロサービス、コンテナを導入する動きが高まる中、現代の複雑なシステムを観察して簡単に状態を見極め、必要な操作を行うことがますます難しくなっています。既存のSIEMソリューションは、多くの場合、脅威や異常を見極めるには不十分です。開発者、セキュリティチーム、運用マネージャーは、稼働するサービスに責任を負っています。そのため、彼らはアプリケーション、サービス、サーバー、デバイスなどの状態をすべてリアルタイムで即座に把握できるシンプルなソリューションを求めています。

システムを管理し、セキュリティインシデントを防止するためには、すべてのデータ、およびそれらのデータの間の関係性を理解することが不可欠です。お客様が考慮に入れるべきデータ量は指数関数的に増加しており、そのため、それらすべてのデータに対して包括的に可視化することがますます重要になっています。

他のソリューションでは、現在でもあらかじめ定められたビューしか使用できなかったり、制限が設けられていたりするため、お客様のデータの一部のサンプルしか可視化できない仕組みとなっていますが、Falcon LogScaleではすべてをログに記録して、あらゆる疑問をリアルタイムで解決できます。Falcon LogScaleを利用することで、複雑さを増すことなく、無制限にログを記録して活用できます。Falcon LogScaleの革新的なサイトライセンスにより、ロギングの制約が取り除かれ、サイバーセキュリティ、プライバシー、ビジネスのレジリエンス向上へと組織の文化の舵を切ることができます。Falcon LogScaleは、障害を取り除き、お客様が技術、ハードウェア、経済面でのリソースの制約に悩まされることなく自律的にロギングプラクティスを決定できるようサポートします。

データの一部のサンプルしか参照できない、あるいは事前定義されたビューしか使用できない状態では、セキュリティチームがリスクや異常について効果的に調査することができません。リアルタイムでシステム全体を把握できるソリューションが必要です。

Falcon LogScaleは、セキュリティ専門家に最適な、クラウドストライク独自の革新的なログ管理ソリューションです。大量のログデータを即座に取り込んで集約する処理に最適化された、時系列データベースエンジンを基盤としています。データの取り込み時に、多くの処理能力が要求されるインデックス作成を行わず、最もハードウェアリソースが必要となる検索時に集中してリソースを使用します。

「なぜパフォーマンスが低下しているのか」、「この不審なネットワークアクティビティは何に起因しているのか」、「過去30日間のパターンはどのようなものか」、「現在何が起きているのか」といった疑問をリアルタイムに解決できるソリューション、それがFalcon LogScaleです。また、Falcon LogScaleは、データがシステムに取り込まれるときに大幅な圧縮を行うため、未加工のログデータを効率的に保管できます。

Falcon LogScaleは、構造化データと非構造化データを含むあらゆるシステムデータを包含した、広範囲におよぶ包括的なセキュリティプラットフォームにより、脅威ハンティングの機能を大幅に進化させます。大量のログデータを即座に取り込んで集約し、あらゆる種類のインフラストラクチャ内に存在するそれらすべてのデータに対して分析と関連付けを行うことに特化したプラットフォームです。

Falcon LogScale独自の時系列データベースエンジンは、大量のログデータを即座に取り込んで集約し、あらゆる種類のインフラストラクチャ内に存在するそれらすべてのデータに対して分析と関連付けを行う処理に最適化されており、脅威ハンティングの能力を大幅に進化させます。

Falcon LogScaleのリアルタイムかつプロアクティブな監視を通して、セキュリティチームはあらゆる脅威や侵害を調査し、ネットワーク境界デバイス上で毎秒ログに記録されるイベントを分析して調査することができます。

SIEMという用語は、イベントデータをリアルタイムに分析し、標的型攻撃やデータ侵害を早期に検知できる機能を含む、特定の機能セットを指すものとしてGartnerによって2005年に生み出されました。また、SIEMにより、ログデータを収集、保管、調査し、それらについてのレポートを作成して、インシデント対応、フォレンジック、企業コンプライアンスに役立てることができます。SIEMでは、セキュリティデバイス、ネットワークインフラストラクチャ、システム、アプリケーションにより生成されたイベントデータが集約されます。主なデータソースはログデータですが、SIEMテクノロジーはネットワークテレメトリなどの他の形式のデータも処理できます。また、SIEMにおいては、イベントデータがユーザー、アセット、脅威、脆弱性に関するコンテキスト情報と組み合わせて利用されます。ネットワークセキュリティ、イベント監視、ユーザーアクティビティ監視、コンプライアンスレポートなどの特定の目的に沿って、異なるソースからのイベント、データ、コンテキスト情報を分析できるよう、データが正規化されることがあります。SIEMは、イベントのリアルタイム分析によるセキュリティ監視、クエリと長期的分析による過去のデータの分析といった機能を備えています。

Falcon LogScaleはこれらさまざまな個別の機能に重点を置いたソリューションではないものの、イベントのリアルタイム分析や、長期にわたるデータのクエリなどのテーマはこのテクノロジーの強みでもあります。経験上、SIEMソリューションは管理のための「ワンストップソリューション」としての役割を果たすことはまれで、これらの機能の大部分はSIEM外に用意されます。たとえば、ほとんどすべての検知とアクションは、SOAR（セキュリティのオーケストレーション、自動化と対応）プラットフォームやServiceNowなどのサービスにプッシュされます。Falcon LogScaleをご利用のお客様は、Jiraなどの標準のチケットツール、およびTheHiveなどの専用のインシデント管理ツールと連携してこの処理を行うことができます。

より多くの脅威を迅速に検知するとともに、より充実したインテリジェンスを利用して調査を進めることができます。Falcon LogScaleは、システムの監視と調査に求められるリアルタイムのパフォーマンスを備えているため、大量のデータを取り込み、アドホッククエリを実行して、検索を行うことができます。

監視と検索
Falcon LogScaleが備える即時の可視性により、セキュリティチームは継続的にインサイトを獲得し、即座に対応やアクションを実行することができるため、システム間のパフォーマンスが強化されるとともに、インフラストラクチャの停止を防止し、攻撃を阻止できます。

開発者、セキュリティチーム、運用マネージャーは、アプリケーション、サービス、サーバー、デバイスなどの状態をリアルタイムで可視化できる機能を必要としています。Falcon LogScaleを利用することにより、すべてのデータを把握できるため、アプリケーションのパフォーマンスを最適化し、インフラストラクチャの停止を防止して、マルウェアに対する保護を実現できます。

システムの複雑性が増すにつれ、データを窃取したり、環境にマルウェアを送り込んだりするためにハッカーが狙う攻撃対象領域がさらに顕在化し、最終的に組織の活動が停止してしまう危険性が高まっています。企業が関連するすべてのネットワークセキュリティデータソースからの情報を集約して参照できる機能を備えたFalcon LogScaleにより、単一の費用対効果に優れたプラットフォームで、簡単かつ直感的に使える検索言語を使用して、増え続ける脅威や脆弱性を調査し、適切な対応を行うことができます。

取り込みと保持
データの保持期間が短いと、攻撃のこれまでの全履歴を確認することがほぼ不可能となるため、セキュリティチームが最小限の脅威のコンテキストしか得られません。そのため、調査担当者が脅威を効果的に発見して修復する能力が制限されてしまいます。過去のデータやコンテキスト情報にアクセスできないと、検知までの時間が遅くなるだけでなく、可視性が限られているため、セキュリティチームが主要な脅威アクティビティを見逃してしまう危険性もあります。その結果、滞留時間が長くなり、組織が侵害されるリスクが高まります。

Falcon LogScaleは、1日あたり1PBを超えるデータを取り込む能力を備えており、組織がデータ保持期間の上限を拡張できるようにします。Falcon Long Term Repository (LTR) は、さまざまな構造化データ、非構造化データ、半構造化データを組み合わせて保管でき、1年以上にわたり保持したデータにアクセスすることができます。より多くのデータをより長い期間にわたり保持し、アクセスできるため、セキュリティチームが拡大する攻撃対象領域全体についての可視性を獲得し、脅威のコンテキストを手にすることができます。

Falcon LTRにより、Falcon IOCとの関連付けを含め、大量のログデータと、エンドポイント、ワークロード、アイデンティティにわたる豊富なセキュリティデータを組み合わせることにより、コンテキスト情報を加味した詳細な分析を迅速に行うことができます。強力な検索および脅威ハンティング機能を使用して、リアルタイムのデータと長期の履歴データの両方を含むあらゆるデータを観察、分析し、その結果に基づき対処できるとともに、潜在的な脅威をより迅速かつ正確に検知できます。

調査と対応
インシデント対応担当者や脅威ハンターは、データ起点のセキュリティソリューションであるFalcon LogScaleの直感的なUIを通して、ネットワークデータを直ちに可視化、検索、調査できます。

ネットワークセキュリティチームは、ログ管理の処理コストに照らして費用対効果の高いソリューションFalcon LogScaleを使用して、データを起点とした調査を実施し、包括的なログデータ分析を行うことができます。

Falcon LogScaleは、構造化データと非構造化データを含むあらゆるシステムデータを包含した、広範囲におよぶ包括的なセキュリティプラットフォームにより、脅威ハンティングの機能を大幅に進化させます。大量のログデータを即座に取り込んで集約し、あらゆる種類のインフラストラクチャ内に存在するそれらすべてのデータに対して分析と関連付けを行うことに特化したプラットフォームです。

Falcon LogScaleのリアルタイムかつプロアクティブな監視を通して、セキュリティチームはあらゆる脅威や侵害を調査し、ネットワーク境界デバイス上で毎秒ログに記録されるイベントを分析して調査することができます。

Falcon LogScaleでは、任意のソースからデータを送信して、ログを一元化できるとともに、収集されたログに直ちにアクセスして、調査および監視を行うことができるため、簡単、迅速、安全な監査を実現できます。このような機能はセキュリティインシデント対応には不可欠です。

Falcon LogScaleの即時のオブザーバビリティは、攻撃の阻止や滞留時間の最小化といった、緊急を要するシナリオに対応することを求められる組織のセキュリティイベント監視において、極めて重要なアセットとなります。