インシデント対応の自動化と SOAR によるセキュリティ・オーケストレーション

この解説では、インシデントレスポンスの基本を説明し、インシデントレスポンスをより効率的、効果的、かつ大規模に管理できるようにする新しいカテゴリーのツール、SOAR（Security Orchestration, Automation and Response）を紹介します。

インシデントレスポンスとは何か？

反応型インシデント対応 -インシデント対応とは、セキュリティ・チームがセキュリティ・インシデントやサイバー攻撃を封じ込め、被害を防止・抑制するための組織的プロセスである。また、インシデント対応によって、チームは攻撃の余波を処理することができます。回復、攻撃によって露呈したセキュリティホールの修復、フォレンジック、コミュニケーション、監査などです。これはリアクティブ・インシデント・レスポンスとして知られている。

プロアクティブなインシデント対応 -多くのセキュリティインシデントは、発生から数週間から数カ月後に初めて発見される。多くの組織がプロアクティブなインシデント対応能力を開発しています。これには、サイバー攻撃の兆候がないか企業システムを積極的に検索することが含まれます。

脅威ハンティング -脅威ハンティングは、プロアクティブなインシデント対応の中核となる活動であり、熟練したセキュリティ・アナリストによって実施される。通常、セキュリティ情報およびイベント・システム（SIEM）を使用してセキュリティ・データを照会し、組織のシステムに対して脆弱性スキャンや侵入テストを実行する。その目的は、セキュリティ・インシデントを示す疑わしい活動や異常を発見することです。

エキスパートからのアドバイス

スティーブ・ムーアは、Exabeamのバイスプレジデント兼チーフ・セキュリティ・ストラテジストで、脅威検知のためのソリューションの推進を支援し、セキュリティ・プログラムの推進や侵害対応について顧客にアドバイスを行っています。The New CISO Podcast」のホストであり、Forbes Tech Councilのメンバー、ExabeamのTEN18の共同創設者でもあります。

私の経験から、SOARツールの価値を最大化し、セキュリティ・オペレーションに効果的に統合するためのヒントを紹介する：

高度なクエリで脅威ハンティングを強化
SOARのSIEMとの統合を使用して、履歴データとリアルタイムデータを効率的にクエリします。これにより、高度な永続的脅威(APT)や休眠状態のマルウェアを示す可能性のある傾向や異常を発見することができます。

自動化のための明確なユースケースを定義する
繰り返しの多い大量タスク（フィッシングメールのトリアージ、マルウェアの封じ込めなど）を特定し、自動化の優先順位をつける。自動化によってレスポンスタイムを短縮し、アナリストを戦略的業務に集中させることができる分野に焦点を当てる。

モジュール化されたプレイブックの開発
複数のシナリオで再利用できるように、モジュール式で適応性のあるプレイブックを作成する。例えば、フィッシング検知のプレイブックは、ゼロから設計し直すことなく、マルウェアの添付ファイルや悪意のあるリンクを扱うように拡張できる。

既存ツールとの統合を優先
SOARソリューションが、SIEM、ファイアウォール、エンドポイント検知・対応（EDR）システム、脅威インテリジェンス・プラットフォームとシームレスに統合されていることを確認してください。これにより、エンドツーエンドの可視化と統一されたインシデント処理が可能になります。

証拠収集の自動化
SOARを使用して、インシデント発生時に証拠を自動的に収集し、一元管理します。このプロセスを自動化することで、監視を最小限に抑え、すべての関連データがフォレンジックとケース管理に利用できるようになります。

MTTD/MTTRの測定と最適化
平均検出時間(MTTD)と平均応答時間(MTTR)の指標を定期的に追跡します。SOARのレポートツールを使用してボトルネックを特定し、ワークフローを調整して効率を改善する。

ケース管理とは？

ケース管理では、特定のセキュリティ・インシデントに関連するデータを収集、配布、分析して、チームが効果的に対応できるようにする。

ケースマネジメント・ソリューションは、セキュリティスタッフを支援する：

• 確認されたセキュリティ・インシデントのケースを開設する
• 関連するすべてのデータを、ケースのデジタル表示にすばやく集約
• 迅速な優先順位付けによる対応
• 事件を調査し、情報を追加する
• 攻撃後の活動を記録し、事件を解決する。

3 SOARの主要能力

SOARツールは、セキュリティオペレーションセンター（SOC）がより効果的にインシデントに対応するための以下の4つの機能を提供する。

オーケストレーション

オーケストレーションとは、意思決定を調整し、リスクと環境状態の評価に基づいて対応行動を自動化する能力である。

SOARツールは、データを "プル "し、プロアクティブなアクションを "プッシュ "することができる方法で、他のセキュリティソリューションと統合することにより、これを行うことができます。SOARは汎用的なインターフェースを提供するため、アナリストはセキュリティ・ツールやITシステムのシステムやAPIの専門家でなくても、それらのシステムに対するアクションを定義することができます。

オーケストレーションの例：不審な電子メールを処理する

1. SOARツールは、脅威インテリジェンスによって送信者に悪い評判があるかどうかを調査し、DNSツールを使って発信元を確認することができる。
2. このツールは、ハイパーリンクを自動的に抽出し、URLレピュテーションによって検証したり、安全な環境でリンクを爆発させたり、サンドボックス内で添付ファイルを実行したりすることができる。
3. そして、インシデントが確認されると、プレイブックが実行される。プレイブックは電子メールシステムを検索し、同じ送信者からの、または同じリンクや添付ファイルを持つすべてのメッセージを見つけ、それらを隔離する。

オートメーション

自動化はオーケストレーションに関連しており、インシデントへの対応の一環として、セキュリティツールやITシステム上で機械主導でアクションを実行することである。SOARツールにより、セキュリティチームは、標準化された自動化ステップと意思決定ワークフローを定義し、実施、ステータス追跡、監査機能を備えることができる。

自動化は、アナリストがビジュアルUIやPythonのようなプログラミング言語を使ってコーディングできるセキュリティ・プレイブックに依存している。

オートメーション・プレイブックの例Exabeamのマルウェア・プレイブック

1. SOARツールはマルウェア・ファイルをスキャンし、外部サービスを使ってサンドボックス内でファイルを爆発させる。
2. SOARツールは、VirusTotalのようなレピュテーションサービスと照らし合わせて、ファイルの正確性をチェックする。
3. SOARツールは、送信元または発信元のIPアドレスの地理的位置を特定する。
4. システムはマルウェアについてユーザーに通知し、分析後のクリーンアップが実行される。

インシデント管理とコラボレーション

このSOAR機能は、セキュリティ・チームがセキュリティ・インシデントを管理し、効率的にインシデントを解決するために協力し、データを共有するのに役立つ。

アラート処理とトリアージ -SOAR ツールは、通常 SIEM から取得したセキュリティ・データを収集・分析し、データを相関させて優先度と重要度を特定し、調査のためのインシデントを自動的に生成する。インシデントにはすでに関連するコンテキスト情報が含まれているため、アナリストはさらに調査を進めることができます。これにより、人間が関連するセキュリティ・データに気付き、セキュリティ・インシデントとして識別し、システムで手動でインシデントを設定する必要がなくなります。

ジャーナリングと証拠サポート-SOAR ツールは、現在および将来の分析のために、セキュリティインシデントの成果物を収集・保存する調査タイムラインを提供する。アーティファクトは、既知の攻撃者の活動に関連する可能性があり、長期間にわたって実行される可能性がある。進行中のインシデントに関連する場合は、追加の成果物を調査用に取り込むことができる。

ケース管理- このツールは、セキュリティチームによるアクションと意思決定を記録し、組織全体だけでなく外部の監査人にも見えるようにすることができる。時間の経過とともに、SOARツールは、脅威、インシデント、過去の対応や意思決定とその結果といった部族的な知識からなる組織の知識ベースを作成する。

脅威インテリジェンスの管理– SOARツールは、オープンソースデータベース、業界リーダー、協調対応組織、および商用脅威インテリジェンスプロバイダーから脅威データを取り込みます。SOARツールは、関連する脅威情報を特定のインシデントに添付し、アナリストがインシデントを調査する際に脅威インテリジェンスに簡単にアクセスできるようにします。

ダッシュボードとレポート

SOARツールは、インシデント対応の調整と自動化を担うだけでなく、SOC活動の中央測定を可能にする。

SOARtoolsは、以下のようなレポートやダッシュボードを作成する：

• インシデントの件数や種類、アナリストごとの平均検出・対応時間など、各アナリストの活動に関するアナリスト・レベルのレポート。
• SOCマネージャー・レポート -ボトルネックを特定するために、アナリストの数、アナリスト1人当たりが処理したインシデント、インシデント対応プロセスの特定段階の平均時間に関するレポート。
• CISOレベルのレポート-リスクとITメトリクスの整合性をとり、インシデントがビジネスパフォーマンスや規制に与える影響を確認する。

SOARはSIEMにどのように適合するか？

SOARツールは、SOCの中央情報システムであるSIEMと密接に連携します。SOARツールはSIEMとの統合を活用し、以下のことを行います：

• セキュリティ・インシデントを特定するためのアラートと追加セキュリティ・データを受け取る
• アナリストがインシデントをさらに調査するために必要なデータを収集する。
• 組織横断的なデータの照会と探索に依存する、プロアクティブなインシデントレスポンスと脅威ハンティングにおけるアナリストの支援

次世代SIEMソリューションの一部としてのSOAR

GartnerのCritical Capabilities for SIEM 2017レポートによると、次世代SIEMソリューションには、自動および手動のケース管理、ワークフロー、オーケストレーションによって検出されたインシデントの処理と対応を可能にするネイティブ・コンポーネントと、高度な脅威防御のための機能が含まれていなければならない。

SOARツールは独立したカテゴリーとして進化しているが、ガートナーのビジョンでは、SOARはSIEMの統合された一部であるべきだ。

エクスビームのセキュリティ・インテリジェンス・プラットフォームは、この新しいハイブリッドの一例である。Exabeamは、最新のデータレイク・テクノロジーに基づくSIEMソリューションで、高度なアナリティクスとUser Entity行動分析を可能にします。さらに、ExabeamにはSOARのフル機能を提供する2つのコンポーネントが付属しています：

• Exabeam Incident Responder -セキュリティ・ケース管理、サードパーティ・ツールとの統合、一元化されたセキュリティ・オーケストレーション、セキュリティ対応プレイブックによる自動化されたインシデント対応を提供します。
• エクサビーム・スレットハンター-ポイント・アンド・クリックのインターフェイスにより、SOC アナリストは膨大な量の過去のセキュリティ・データからパターンを特定するための検索をすばやく実行できます。また、過去および現在のセキュリティ・インシデントの完全なインシデント・タイムラインにもアクセスできます。