SOAR によるインシデント対応の自動化とセキュリティ オーケストレーション

この解説では、インシデント対応の基本を説明し、インシデント対応をより効率的、効果的に、大規模に管理しやすくする新しいカテゴリのツールであるセキュリティ オーケストレーション、自動化、対応 (SOAR) を紹介します。

インシデント対応とは何ですか?

事後的なインシデント対応 – インシデント対応は、セキュリティ チームがセキュリティ インシデントやサイバー攻撃を封じ込め、損害を防止または制御できる組織プロセスです。インシデント対応により、チームは攻撃の余波（回復、攻撃によって明らかになったセキュリティ ホールの修復、フォレンジック、コミュニケーション、監査）に対処することもできます。これは事後的なインシデント対応として知られています。

プロアクティブなインシデント対応 – セキュリティ インシデントの多くは、発生から数週間または数か月後に発見されますが、まったく発見されないケースもあります。多くの組織は、プロアクティブなインシデント対応機能を開発しています。これには、サイバー攻撃の兆候がないか企業システムを積極的に検索することが含まれます。

脅威ハンティング – 脅威ハンティングは、プロアクティブなインシデント対応の中核となる活動であり、熟練したセキュリティ アナリストによって実行されます。通常、セキュリティ情報およびイベント システム (SIEM）、組織システムに対する脆弱性スキャンまたは侵入テストを実行します。目的は、セキュリティ インシデントを表す不審なアクティビティや異常を発見することです。

ケース管理とは何ですか？

ケース管理には、チームが効果的に対応できるようにするために、特定のセキュリティ インシデントに関連するデータの収集、配布、分析が含まれます。

ケース管理ソリューションはセキュリティ スタッフに次のような効果をもたらします。

• 確認されたセキュリティ インシデントに対してケースを開く
• 関連するすべてのデータを迅速に集約して、ケースのデジタル表現を作成します。
• 対応するケースの迅速な優先順位付けを可能にする
• 調査してケースに情報を追加する
• 攻撃後の活動を記録し、ケースをクローズする

3 つの主要な SOAR 機能

SOAR ツールは、セキュリティ オペレーション センター (SOC) がインシデントにより効果的に対応できるようにする次の 4 つの機能を提供します。

編成

オーケストレーションとは、意思決定を調整し、リスクと環境状態の評価に基づいて対応アクションを自動化する機能です。

SOAR ツールは、データを「プル」し、プロアクティブなアクションを「プッシュ」できる方法で他のセキュリティ ソリューションと統合することでこれを実現します。 SOAR は汎用インターフェイスを提供するため、アナリストは、システムや API の専門家でなくても、セキュリティ ツールや IT システムに対するアクションを定義できます。

オーケストレーションの例:不審なメールを処理する

1. SOAR ツールは、脅威インテリジェンスを通じて送信者の評判が悪いかどうかを調査し、DNS ツールを使用して発信元を確認できます。
2. このツールは、ハイパーリンクを自動的に抽出して URL レピュテーションによって検証したり、安全な環境でリンクを爆発させたり、サンドボックスで添付ファイルを実行したりできます。
3. その後、インシデントが確認された場合は、プレイブックが実行されます。プレイブックは電子メール システムを検索して、同じ送信者からのメッセージ、または同じリンクや添付ファイルを持つすべてのメッセージを見つけて隔離します。

オートメーション

自動化はオーケストレーションに関連しており、インシデントへの対応の一環として、セキュリティ ツールや IT システム上でアクションを機械主導で実行することです。 SOAR ツールを使用すると、セキュリティ チームは標準化された自動化ステップと意思決定ワークフローを定義でき、適用、ステータス追跡、監査機能を備えています。

自動化はセキュリティ プレイブックに依存しており、アナリストはビジュアル UI または Python などのプログラミング言語を使用してコーディングできます。

自動化プレイブックの例: Exabeam のマルウェア プレイブック

1. SOAR ツールはマルウェア ファイルをスキャンし、外部サービスを使用してサンドボックス内のファイルを爆発させます。
2. SOAR ツールは、ファイルの正確性を VirusTotal などのレピュテーション サービスと照合してチェックします。
3. SOAR ツールは、ソースまたは発信元の IP アドレスの地理位置情報を特定します。
4. システムはユーザーにマルウェアについて通知し、分析後のクリーンア��プが実行されます。

インシデント管理とコラボレーション

この SOAR 機能は、セキュリティ チームがセキュリティ インシデントを管理し、データを共同作業および共有してインシデントを効率的に解決するのに役立ちます。

アラート処理とトリアージ – SOAR ツールは、通常 SIEM から取得されるセキュリティ データを収集および分析し、データを関連付けて優先度と重要度を特定し、調査用のインシデントを自動的に生成します。このインシデントには関連するコンテキスト情報がすでに含まれているため、アナリストはさらに調査を進めることができます。これにより、人間が関連するセキュリティ データに気づき、それをセキュリティ インシデントとして識別し、システム内に手動でインシデントを設定する必要がなくなります。

ジャーナリングと証拠のサポート – SOAR ツールは、現在および将来の分析のために、セキュリティ インシデントの成果物を収集および保存するための調査タイムラインを提供します。アーティファクトは、長期間にわたって実行される可能性のある既知の攻撃者の活動に関連している可能性があります。追加のアーティファクトを取得して、進行中のインシデントに関連しているかどうかを調査できます。

ケースマネジメント – このツールは、セキュリティ チームによって行われたアクションと意思決定を記録し、組織全体だけでなく外部監査人もそれらを確認できるようにします。 SOAR ツールは、時間の経過とともに、脅威、インシデント、過去の対応と決定、およびその結果といった部族の知識の組織的な知識ベースを作成します。

脅威インテリジェンスの管理 – SOAR ツールは、オープンソース データベース、業界リーダー、調整された対応組織、商用脅威インテリジェンス プロバイダーから脅威データを取り込みます。 SOAR ツールは、関連する脅威情報を特定のインシデントに添付し、インシデントを調査しているアナリストが脅威インテリジェンスに簡単にアクセスできるようにします。

ダッシュボードとレポート

SOAR ツールは、インシデント対応の調整と自動化だけでなく、SOC アクティビティの一元的な測定を可能にする役割も果たします。

SOAR ツールは次のようなレポートとダッシュボードを生成します。

• アナリストレベルのレポート インシデントの数と種類、アナリストごとの検出と対応の平均時間など、各アナリストのアクティビティに関する情報。
• SOCマネージャーレポート – ボトルネックを特定するために、アナリストの数、アナリストごとに処理されたインシデント、インシデント対応プロセスの特定の段階の平均時間を報告します。
• CISO レベルのレポート – ビジネスパフォーマンスと規制に対するインシデントの影響を確認するために、リスクと IT 指標を調整します。組織全体のMTTDとMTTRを見て効率的に測定し、自動化による省力化を実現します。

SOAR は SIEM とどのように適合しますか?

SOAR ツールは、SOC の中央情報システムである SIEM と密接に連携します。 SOAR ツールは、SIEM との統合を活用して次のことを行います。

• アラートと追加のセキュリティ データを受信して​​、セキュリティ インシデントを特定します
• アナリストがインシデントをさらに調査するために必要なデータを取り込む
• 組織間のデータのクエリと探索に依存する、プロアクティブなインシデント対応と脅威ハンティングでアナリストを支援します。

次世代 SIEM ソリューションの一部としての SOAR

ガートナーによると SIEM 2017 の重要な機能 レポートによれば、次世代 SIEM ソリューションには、自動および手動のケース管理、ワークフロー、オーケストレーションを通じて検出されたインシデントの処理と対応を可能にするネイ��ィブ コンポーネントと、高度な脅威防御機能が含まれている必要があります。

したがって、SOAR ツールは別のカテゴリとして進化していますが、Gartner のビジョンでは、SOAR は SIEM の統合された部分であるべきです。

Exbeam のセキュリティ インテリジェンス プラットフォーム はこの新しいハイブリッドの一例です。 Exabeam は、最新のデータ レイク テクノロジーに基づく SIEM ソリューションで、高度な分析とユーザー エンティティの行動分析を可能にします。さらに、Exabeam には、完全な SOAR 機能を提供する 2 つのコンポーネントが付属しています。

• Exabeam インシデントレスポンダー – セキュリティ ケースの管理、サードパーティ ツールとの統合、一元的なセキュリティ オーケストレーション、セキュリティ対応プレイブックによる自動インシデント対応を提供します。
• Exabeam 脅威ハンター – ポイント アンド クリック インターフェイスにより、SOC アナリストは検索を迅速に実行して、膨大な量の過去のセキュリティ データのパターンを特定できます。また、過去および現在のセキュリティ インシデントの完全なインシデント タイムラインへのアクセスも提供します。