Fortinet SOAR：ソリューションの概要、機能と制限

Fortinet SOAR（FortiSOAR）とは？

Fortinet SOAR（FortiSOAR）は、組織のセキュリティ運用を簡素化することを目的としたセキュリティオーケストレーション、自動化、対応（SOAR）ソリューションです。ワークフローの統一、プロセスの自動化、脅威の検知とインシデントレスポンスのサポートにより、セキュリティオペレーションセンター（SOC）チーム、ネットワークオペレーションセンター（NOC）チーム、運用技術（OT）チームが直面する課題に対処することを目的としています。

FortiSOARは、組織が既存のセキュリティツールを統合し、反復タスクを自動化し、インシデント対応手順を標準化するセキュリティ運用ハブとして機能します。FortiSOARは、複数の統合と事前に構築されたワークフローを処理できるように設計されています。

このプラットフォームは、一元化された脅威インテリジェンス、プレイブックのカスタマイズ、リスクベースの脆弱性管理を提供します。このプラットフォームは、SaaS（Software-as-a-Service）ソリューション、オンプレミス、またはマネージド・セキュリティ・サービス・プロバイダー（MSSP）として導入することができます。

これは、フォルティシエムに関する一連の記事の一部である。

FortiSOARの主な特長

FortiSOARは以下の機能を提供します：

• セキュリティ・インシデント対応アラートのトリアージ、調査、対応ワークフローを自動化し、他のセキュリティツールと統合します。SOC、NOC、OTチームをサポートするための構築済みプレイブックが含まれています。
• ケースとワークフォース管理：タスク割り当ての管理、作業キューの追跡、チームスケジューリングのためのツールを提供します。
• 脅威インテリジェンスの統合：FortiGuard Labsやその他の公開ソースからのインテリジェンスを組み込んで、調査を充実させ、脅威ハンティングをサポートします。
• 資産と脆弱性の管理リスクベースの資産ビュー、脆弱性の追跡、自動化された緩和ワークフローを提供し、運用効率の向上を図る。
• コンプライアンスの自動化：タスクの自動化、詳細なレポーティング、サービス・レベル・アグリーメント（SLA）の追跡を通じて、IT/OTコンプライアンス管理を簡素化することを目指す。
• OTセキュリティ管理：運用技術環境に特化した統合とプレイブックを提供。
• 生成的なAI支援：FortiAIや推薦エンジンのようなAIツールを活用し、洞察や提案を提供することで、アナリストのワークフローを加速します。
• Playbookデザイナー：ドラッグ・アンド・ドロップ機能を使用してカスタム自動化ワークフローを作成するためのノー・ローコード・インターフェイスが含まれており、プログラミングの専門知識が乏しいチームでも操作をカスタマイズすることができます。
• 展開オプション：オンプレミス、パブリッククラウド、SaaS、MSSPをサポート。
• コンテンツハブ：システム機能の継続的な向上を目的としたコネクタ、プレイブック、ソリューション、コミュニティリソースのライブラリへのアクセスを提供します。

FortiSOARの使用例

1.SOC脅威の調査と対応

FortiSOARは、複数のセキュリティ製品と統合することで、アラートのトリアージ、エンリッチメント、 レスポンスを自動化します。定期的なアラートは自動的に処理され、優先度の高いアラートはMITRE ATT&CK フレームワークにマッピングされ、より詳細な分析のためにインシデントにグループ化されます。

アナリストは、プレイブックの推奨事項でサポートされ、コラボレーションとフォレンジック追跡のための「ウォー・ルーム」機能を通じて、エスカレーションされたインシデントを管理することができます。セキュアなモバイル・アプリケーションを使用して、アナリストはさまざまな場所からインシデントに対応できます。

2.資産と脆弱性の管理

FortiSOARは、資産管理や脆弱性スキャナと統合し、ITおよびOT資産のリスクベースのビューを提供します。FortiSOARは、資産の重要性、脆弱性、アラート状態に関する洞察を提供し、チームがリスクに優先順位を付けて対処できるよう支援します。

自動化されたプレイブックは、修復を簡素化するように設計されており、インシデント調査は、既製の資産プロファイルにアクセスすることで、充実したコンテキストから恩恵を受ける。

3.OTセキュリティオペレーション

オペレーショナル・テクノロジー（OT）システムは、ITとの融合により増大するリスクに直面しています。FortiSOARは、統合されたOTセキュリティ運用を可能にすることで、こうしたリスクに対処しようとしています。FortiSOARは、OT資産および脆弱性管理機能、産業用制御システム（ICS）固有の脅威ビュー、OT固有のプレイブックを提供します。

これらのツールは、CISA（Cybersecurity and Infrastructure Security Agency）が推奨するベストプラクティスに沿ったもので、OT環境の保護を確実にするのに役立つ。

4.コンプライアンスの自動化とレポーティング

FortiSOARは、アドバイザリの更新、コンプライアンスタスク、レポーティングを自動化することで、コンプライアンス管理を簡素化する可能性があります。GDPR、HIPAA、米国NERC CIPなど、さまざまな規制に合わせたトラッキングとダッシュボードをサポートしています。

そのSLA追跡、資産管理、脆弱性管理機能は、コンプライアンスを維持するための必須アラートとアクションの管理を支援することを意図している。

5.カスタムプレイブックの作成

FortiSOARは、カスタムプレイブックを作成するための視覚的なドラッグアンドドロップインターフェースを提供し、技術的なコーディングスキルを必要としません。このローコード開発により、ユーザーはワークフローを設計し、シミュレーションすることができます。

このプラットフォームには、FortiSOAR Content Hubから様々な構築済みプレイブックにアクセスできるほか、推薦エンジンからインラインガイダンスも提供されます。 これにより、自動化の実装や様々なニーズへの適応が容易になる可能性があります。

6.MSSPオペレーション

FortiSOARは、マネージドセキュリティサービスプロバイダー（MSSP）が必要とする導入モデルをサポートします。FortiSOARは、共有および専用テナントのセットアップを可能にし、階層型および地域型のSOC構造をサポートし、テナントごとのプレイブック、アラート、ダッシュボードを提供します。

MSSPは、比較的柔軟なライセンシングと、カスタマイズ可能なサービスとコスト管理に重点を置いていることから、恩恵を受けるかもしれない。

関連コンテンツガイドを読むSOARセキュリティ

FortiSOAR ソリューションパックの例

自動化された従業員オンボーディング

自動従業員オンボーディング・ソリューション・パックは、特に従業員の入れ替わりが激しい大企業のオンボーディングおよびオフボーディング・プロセスを簡素化します。最新のIDおよびアクセス管理（IAM）またはシングルサインオン（SSO）システムは、ほとんどのアクセスを管理しますが、レガシーシステムでは、権限の付与や取り消しに手動設定が必要になることがよくあります。このソリューションは、アクティブディレクトリや電子メールベースのトリガーなどのツールを使用して、これらのプロセスを自動化するのに役立ちます。

ソリューションパックには、以下のようなリソースが含まれている：

• コネクター: Exchange、アクティブディレクトリ、MySQL、SSHとの統合により、プラットフォーム間での通信とタスクの実行が可能。
• グローバル変数：実環境に影響を与えないシミュレーションのためのデモモード。
• Playbooks：従業員のオンボード/オフボード、システム上のユーザーアカウントの作成/無効化、MySQLやSSHなどのサービスへのアクセスを設定するための定義済みワークフロー。

システムは、各従業員が適切なパーミッションを取得することを目標に、アクティブディレクトリグループを経由してユーザーのアクセスニーズをマッピングする。プロビジョニングのリクエストは通常、人事システムや電子メールから発生し、自動化されたプレイブックがアカウントの作成、メールボックスの設定、サーバーアクセスの管理を支援します。

ブルートフォース攻撃への対応

ブルートフォース・アタック・レスポンス・ソリューション・パックは、ログインの失敗やブルートフォース（総当たり攻撃）の試みに対する自動化されたレスポンスを提供します。攻撃の原因を特定し、影響を受けるシステムへの影響を評価することを目的としています。

主な特徴は以下の通り：

• ツールとの統合：IPレピュテーションの分析には VirusTotal を、ユーザーへのクエリにはアクティブディレクトリを、イベントの取り込みと検索には Splunk を使用しています。
• シナリオ：FortiSIEMやSyslogなどのコネクタを使用したブルートフォース検知のデモンストレーション。
• Playbooks：ログイン障害を調査し、送信元IPや送信先IPなどの重要な指標を抽出し、脅威インテリジェンスでこのデータを追加するのに役立つワークフローがあらかじめ構築されています。

反復的な分析タスクを自動化することで、手作業を減らし、レスポンスタイムを改善することを目的としています。セキュリティチームは、影響を受けたシステムを隔離し、悪意のある行為者をブロックすることで、さらなる侵害を防ぐことができます。

C2マルウェア・トラフィックへの対応

C2マルウェア・トラフィック・レスポンス・ソリューション・パックは、コマンド・アンド・コントロール（C2）攻撃への対応に重点を置いています。これらの攻撃は、マルウェアに感染したシステムが攻撃者のサーバーと通信し、データの窃取、追加のマルウェアのダウンロード、感染したシステムの制御を行うものです。

主なコンポーネントは以下の通り：

• シナリオ：既知のC2ポートを介して検出された悪意のあるアウトバウンド接続のデモンストレーション。
• Playbooks：フォーティネットFortiGateを使用して悪意のあるIPを隔離またはブロックし、脅威インテリジェンスソースから関連指標を取得することで、脅威の調査と封じ込めを支援するツール。

このソリューションは、封じ込めと調査のワークフローを自動化し、セキュリティチームがC2攻撃の影響を軽減できるよう支援します。また、アナリストが攻撃の範囲と性質を理解できるよう、充実したインテリジェンスを提供します。

FortiSOAR の制限事項

FortiSOARには、使いやすさ、統合機能、全体的なユーザーエクスペリエンスに影響する制限もあります。これらの制限は、Gartner Peer Insightsでユーザーから報告されています：

• コネクタ開発の複雑さ：希望する製品にFortiSOARで事前に構築されたコネクタがない場合、 ユーザは自分でコネクタを開発する必要があります。このプロセスは、特にコネクタの作成に不慣れな人にとっては、困難で時間がかかる可能性があります。
• 一部のデータソースとの統合が限定的：FortiSOARは、特定のデータソースとの統合に苦労しており、セキュリティ技術スタック全体にわたる双方向通信を提供する能力に支障をきたす可能性があります。
• 複雑な管理：このプラットフォームの管理機能はユーザーフレンドリーではないため、チームはかなりの経験やトレーニングがないと管理や設定が難しい。
• ドキュメントが不十分：特にサードパーティツールとの統合に関するドキュメントが不十分であることが多い。このような詳細なガイダンスの欠如は、セットアップや統合時の課題につながる可能性がある。
• 初期設定の複雑さ：FortiSOARの設定と構成には時間と複雑さが伴い、新規ユーザーにとっては学習曲線が険しくなります。
• プレイブックとダッシュボードの複雑さ：プラットフォームのプレイブックデザインとレポーティング機能は複雑すぎることがあり、特に初期導入時には、ユーザーを圧倒するオプションが多すぎる可能性がある。
• コストの懸念：FortiSOARのコストは、組織によっては過大になる可能性があります。FortiSOARは他のフォーティネット製品との統合に優れていますが、この統合にはコストがかかります。

関連コンテンツ：Fortinetの競合他社に関するガイドを読む

Exabeam：究極のフォーティネットSOAR代替製品

Fortinet SOAR（FortiSOAR）はセキュリティの自動化とオーケストレーション機能を提供しますが、その複雑さ、硬直的な統合モデル、あらかじめ構築されたプレイブックへの依存は、動的なセキュリティ環境における適応性を制限する可能性があります。

Exabeamは、SIEM、SOAR、UEBAを統合プラットフォームに統合することで、より柔軟なアプローチを採用し、大規模な手動チューニングを必要とせずに調査を合理化し、対応ワークフローを自動化します。あらかじめ定義されたタスクを自動化することに主眼を置くFortiSOARとは異なり、Exabeamは行動分析を適用して異常を検出し、進化する脅威に基づいて自動化を適応させます。Exabeamは、フォーティネット製品を含む広範なセキュリティツールとのAPI統合を事前に構築しているため、より広範な可視化とレスポンスタイムの短縮を実現し、セキュリティチームが攻撃者の先を行くことを確実にすると同時に、運用上のオーバーヘッドを削減します。

エクザビームは、セキュリティ情報・イベント管理（SIEM）ソリューションのリーディング・プロバイダーであり、UEBA、SIEM、SOAR、TDIRを組み合わせてセキュリティ・オペレーションを加速します。同社のセキュリティ・オペレーション・プラットフォームは、セキュリティ・チームが脅威を迅速に検知、調査、対応し、運用効率を高めることを可能にします。

主な特徴

• スケーラブルなログ収集と管理：オープンプラットフォームは、ログのオンボーディングを70％高速化し、高度なエンジニアリングスキルを不要にすると同時に、ハイブリッド環境全体でシームレスなログ集約を実現します。
• 行動分析：高度な分析により、正常な行動と異常な行動を比較し、内部脅威、横の動き、シグネチャベースのシステムで見落とされた高度な攻撃を検知します。Exabeamは、他のベンダーが攻撃を検知する前に90%の攻撃を検知し、対応することができると顧客から報告されています。
• 脅威対応の自動化：インシデントのタイムラインを自動化し、手作業を30%削減し、調査時間を80%短縮することで、セキュリティ運用を簡素化します。
• 状況に応じたインシデント調査：Exabeamはタイムラインの作成を自動化し、雑務に費やす時間を削減するため、脅威の検知と対応にかかる時間を50%以上短縮します。事前に構築された相関ルール、異常検知モデル、ベンダー統合により、アラートを60%削減し、誤検知を最小限に抑えます。
• SaaSおよびクラウドネイティブオプション:柔軟な導入オプションにより、クラウドファーストおよびハイブリッド環境に対応するスケーラビリティを提供し、お客様の価値実現までの時間を短縮します。SIEMをクラウドに移行できない、または移行したくない企業向けに、Exabeamは市場をリードするフル機能のセルフホスト型SIEMを提供します。
• NetMonによるネットワークの可視化：ファイアウォールやIDS/IPSを超える深い洞察力を提供し、データ盗難やボットネットの活動などの脅威を検出すると同時に、柔軟な検索により調査を容易にします。また、Deep Packet Analytics (DPA)は、NetMon Deep Packet Inspection (DPI)エンジンを基盤としており、重要な侵害指標(IOC)を解釈します。

Exabeamの顧客は、AIを活用したリアルタイムの可視化、自動化、生産性向上ツールによって、セキュリティ人材のレベルアップを図り、コスト削減と業界トップクラスのサポートを維持しながら、負担の大きいアナリストを積極的な防御者に変えていることを常に強調しています。詳細はExabeam.comをご覧ください。