SOARでサイバー攻撃と戦う

サイバー攻撃者とサイバー防御ソリューションとの間の競争が加速する中、多くの組織が、数々の高度な脅威による脅威の増大に対応するのに苦慮している。多くの組織は現在、セキュリティ脅威の特定と対応を支援するため、SOARのような自動化ソリューションに注目している。しかし、SOARとは何でしょうか？SOARが何を意味するのか、何ができるのか、SIEMとどう違うのか、そしてなぜ両者を併用すべきなのかについて、この先をお読みください。

SOARセキュリティとは？

セキュリティ・オーケストレーション、オートメーション、レスポンス（SOAR）は、2017年にガートナーがサイバーセキュリティ・ソリューションのカテゴリーを表すために作った造語である。SOARは、組織が複数のソースからセキュリティ脅威のデータやアラートを収集できるように設計されている。サイバーセキュリティ・リスクを自動的に特定し、優先順位を付け、低レベルのセキュリティ・イベントに対応することができる。

多くの組織は、セキュリティオペレーションセンター（SOC）内でSOARソリューションを使用し、セキュリティ情報・イベント管理（SIEM）のような他のセキュリティツールを補強しています。SOCは、SOARの自動化機能を使用することで、脅威への対応をより迅速かつ効率的に行うとともに、作業負荷を軽減し、セキュリティ・インシデント対応（IR）プロセスを標準化することができます。

SOAR-の各コンポーネントセキュリティ・オーケストレーション、自動化、レスポンス-は異なるSOC機能を果たす。これらの重要な機能には以下が含まれる：

オーケストレーション -さまざまなテクノロジーを統合し、セキュリティ・ツール間を接続することで、インシデント対応能力を向上させる。セキュリティ・オーケストレーションは、組織が複雑で頻発するサイバーセキュリティ・インシデントに対処するのに役立つ。SOARは、サイバーセキュリティ・ソリューションとIT運用ソリューションを連携させ、組織のIT環境を完全に把握できるようにします。

自動化 -自動化された調査・対応ツールを提供し、セキュリティ・チームがセキュリティ・インシデントを特定して対処する時間を短縮し、作業負荷を軽減する。コンピュータセキュリティインシデント対応チーム（CSIRT）は、SOARを使用して、ステータスチェック、意思決定ワークフロー、監査、強制措置などのステップを標準化し、自動化することができます。

オートメーションは、事後的・予防的なセキュリティ対策を提供することができる：

• リアクティブ-インシデントに対応し、その指標を追跡し、ケース管理を行う。
• プロアクティブ -SOCアナリストが脆弱性とサイバーセキュリティの脅威を特定し、インシデントを未然に防ぐためのセキュリティタスクを自動化します。

対応 -セキュリティチームは、プレイブックを使用して自動化されたワークフローを実行し、調査の開始、脅威の封じ込めと緩和など、多くのアクションを実行できる。SOARは、セキュリティアナリストがサイバーセキュリティインシデントに対処し、インシデントデータを共有して修正プログラムをより効率的に適用するために、他のチームとの連携を改善するのに役立ちます。SOARソリューションは、レポートを生成するダッシュボードを提供し、セキュリティチームが過去のインシデントについて洞察できるようにすることで、新たな脅威によりよく対処できるようにします。

SOAR技術の能力と利点

ガートナーは、SOAR技術の3つの主要な能力について言及している：

• 脅威と脆弱性の管理 -セキュリティチームが脆弱性のライフサイクル全体にわたって修正することをサポートします。SOARサイバーセキュリティは、レポーティングとコラボレーション機能、および公式化されたワークフローを提供します。
• セキュリティ IR -組織がセキュリティ・インシデントに対応するための計画、管理、追跡、調整を支援する。
• セキュリティ運用の自動化 -プロセス、ワークフロー、ポリシーの実行、レポーティングの自動化とオーケストレーションをサポートします。

SOARソリューションは、主要なセキュリティ業務を変革し、SOCの効率向上と作業負荷軽減を支援します。SOARテクノロジーの主な利点は以下の通りです：

• 手動操作の削減-SOARは低レベルの脅威に自動的に対応し、応答時間を数秒に短縮できるため、攻撃者がシステムにアクセスする時間が短縮される。システム内での攻撃の滞留時間が短ければ短いほど、インシデントレスポンスチームが重大な被害に対処し、貴重なデータの盗難を防ぐことが難しくなります。
• 簡素化されたプラットフォーム -SOARベンダーは、ユーザーを調査ワークフローに導く事前構築済みのセキュリティ・プレイブックを作成する。ユーザーは、SOARソフトウェア・ソリューションの洗練性を信頼し、どの部分を自動化すべきかについて心配することなく、セキュリティ・フレームワークに統合することができる。SOARプログラムの中には、脅威を自動的に優先順位付けするものもあり、経験の浅いアナリストが最初に対処すべきインシデントを選択するのに役立ちます。
• 攻撃による被害を最小化 -人的介入を必要とする必要なステップの数を減らし、アナリストが迅速に調査と対応を行えるようにすることで、より早く緩和策を開始できるようになります。SOARは、アナリストに攻撃に関する最も関連性の高い情報を提供するため、アナリストが脅威に対処する必要が生じた場合、より迅速に対処することができます。
• マルチツールの統合 -SOCは様々なベンダーの幅広いセキュリティ・ツールを使用していますが、これらは必ずしも適切に連携して機能するとは限りません。組織にとってSOARシステムの主な利点の1つは、この統合を実現できることです。SOARにより、セキュリティ・アナリストは、資産データセット、構成管理システム、ヘルプデスクシステムなどのITツールを閲覧することができます。多くのSOARソリューションは、マルチツール統合ソリューションを内蔵しているため、セキュリティフレームワークに容易に統合することができる。
• コスト削減 -SOARは、誤検知や低レベルのアラートへの対応など、多くの面倒で時間のかかるセキュリティタスクを自動的に実行するため、組織の運用コストを削減することができます。

SOARとSIEMの比較

セキュリティ情報・イベント管理（SIEM）は、統計的相関関係やその他のルールを使用して、セキュリティ・システム内のイベントやログ・エントリに基づく実用的な情報をセキュリティ・チームに提供するセキュリティ・ソリューションのカテゴリです。SOCはこの情報を利用して、脅威をリアルタイムで検出し、インシデント対応活動を管理し、コンプライアンス目標のための監査を準備し、過去のセキュリティ・インシデントを調査することができます。

SIEMに関連するSOARとは？

SOARとSIEMは、自動化によってSOCチームに生活の質を高めるソリューションを提供し、効率を高めるように設計された2つのセキュリティ・ツールである。SIEMは貴重なデータ収集と分析ソリューションを提供します。しかし、一部のSIEMソリューションは多くのアラートを生成し、SOCスタッフの作業負荷を増加させる傾向があります。

多くの企業がSIEMの機能を補強するためにSOARを利用している。SIEMは有用な方法でデータを収集・保存し、SOARはそれを使って自動的にインシデントを調査・対応し、手作業の必要性を減らすことができる。新世代のSIEMは、自動化とディープラーニングを活用し、包括的な機能と性能を提供しています。

Exabeamのような主要なSIEMソリューションには、ユーザーとエンティティの行動分析（UEBA）とSOARが含まれています。UEBAとSOARの機能を統合することで、複雑なセキュリティ・イベントに対してプロアクティブに警告と対応を行い、自動化された行動プロファイリングを実行すると同時に、ITやセキュリティ・システムと自動的に相互作用してインシデントを軽減することができます。

SOARの使用例

SOARセキュリティ・プラットフォームが非常に役立つ3つのユースケースを簡単に見てみよう。

セキュリティ・アラートの処理

SOARツールは、ほとんどの組織で頻繁に検出される以下のタイプのセキュリティアラートの特定と対応を支援することができる：

• フィッシングメール -SOARシステムは、潜在的なフィッシングメールのコンテンツをスキャンし、脅威インテリジェンスでリッチ化し、セキュリティ・プレイブックを実行し、影響を受けるユーザーの分類、メトリクスの抽出、偽陽性の特定、脅威を根絶するための標準化されたレスポンスの準備などの反復タスクを自動化することができます。
• ユーザーログインの失敗-ユーザーのログインが所定の回数失敗した場合、SOARシステムはプレイブックを起動し、ユーザーにチャレンジし、応答を評価し、適切に応答しないユーザーのパスワードを失効させることができる。
• 異常なログイン -SOARシステムは、不審なVPNアクセス試行を検出し、クラウドアクセスセキュリティブローカー（CASB）の関与をチェックし、IPのソースをチェックし、実際のユーザーアカウントに連絡し、接続をブロックすることができます。
• エンドポイント・マルウェア感染 -SOARシステムは、エンドポイント・セキュリティ・ツールから継続的な脅威データを取得し、セキュリティ環境の他の部分からのデータでリッチ化し、SIEMからのデータとファイルを相互参照し、セキュリティ・チームに警告を発し、エンドポイントを再イメージングし、エンドポイント・セキュリティ・ソリューションを更新することができる。

セキュリティ・オペレーションの管理

SOARツールは、セキュリティ・アナリストが実行するルーチン・タスクを自動化するのに役立つ：

• SSL証明書の管理-どのエンドポイントSSL証明書の有効期限が間もなく切れるかをチェックし、ユーザーに通知し、定期的にステータスをチェックし、必要に応じてエスカレーションする。
• エンドポイントエージェントの問題の診断 -エンドポイントセキュリティエージェントの接続性の問題をチェックし、必要に応じてチケットを開き、エージェントとエンドポイントを再起動する。
• 脆弱性の管理 -ソフトウェアの脆弱性に関するデータを分析し、CVEデータからコンテキストを追加し、脆弱性の重大性を特定し、優先順位を付けた問題をセキュリティチームに引き渡す。

SOARツールは、セキュリティ・アナリストが実行するルーチン・タスクを自動化するのに役立つ：

• SSL証明書の管理-どのエンドポイントSSL証明書の有効期限が間もなく切れるかをチェックし、ユーザーに通知し、定期的にステータスをチェックし、必要に応じてエスカレーションする。
• エンドポイントエージェントの問題の診断 -エンドポイントセキュリティエージェントの接続性の問題をチェックし、必要に応じてチケットを開き、エージェントとエンドポイントを再起動する。
• 脆弱性の管理 -ソフトウェアの脆弱性に関するデータを分析し、CVEデータからコンテキストを追加し、脆弱性の重大性を特定し、優先順位を付けた問題をセキュリティチームに引き渡す。

SOARプラットフォームとSIEMとの統合

ガートナー社によると、SOARサイバーセキュリティは単独のカテゴリーではない。最新のSOARソリューションは、最大の価値を提供するためにSIEMプラットフォームと統合されるべきである。

Exabeam Fusion Enterprise Edition Incident Responderは、SIEM、UEBA、SOAR テクノロジーを組み合わせて、完全な脅威検知、調査、レスポンス（TDIR）ワークフローを提供します。これは、ログ管理ソリューションの上に高度な分析、ユーザーとエンティティの行動分析（UEBA）、およびセキュリティの自動化をレイヤー化したSIEMソリューションであり、組織が侵害された認証情報のような高度な脅威を検出するのに役立ちます。

Exabeam は、最先端のSIEMプラットフォームの一部としてSOARコンポーネントを提供しています：

Exabeam Incident Responder - セキュリティ・ケース管理、サードパーティ製ツールとの統合、セキュリティ・オーケストレーション、セキュリティ・プレイブックにより、インシデント対応を完全に自動化。

エクサビーム・ターンキープレイブック漏洩した認証情報、マルウェア、悪意のある内部関係者を調査するための自動化された反復可能なワークフローがあらかじめ構築されているため、アナリストはフィッシングなどの一般的なセキュリティシナリオに単一の製品で対応できます。

Exabeam Case Manager -Exabeamやその他のセキュリティ・ツールからのアラートを、さらなる調査や対応が必要なインシデントに整理し、アナリストが大量の受信イベントを分類できるようにします。

Exabeam Threat Hunter -セキュリティ・アナリストは、便利なユーザー・インターフェースを使用して、複数のデータ・ソースから組み合わされた過去のセキュリティ・データのパターンを迅速に検索することができます。あらゆるセキュリティ・インシデントの完全なインシデント・タイムラインを自動的に構築し、調査に要する時間を大幅に短縮します。