プレイブック(および自動化プロセス全般)は、かつて主にセキュリティオーケストレーション、自動化、および対応(SOAR)プラットフォームに関連付けられていましたが、最近では状況が変化しつつあります。最新のセキュリティ情報およびイベント管理(SIEM)ソリューションの多くは、SOARなどの機能を組み込んでいるため、セキュリティワークフローの自動化や、平均検出時間(MTTD)および平均修復時間(MTTR)の改善が実現します。
この変化は、SOCアナリストが、複数のアプリケーションにわたり多数の反復的な手動タスクに対処し始めたことで、コンテキストの切り替え、アナリストの疲労、およびセキュリティチームにおける効率と生産性の低下が発生したことに起因します。これを防ぐには、イベント管理やイベント分析、脅威検出、そしてインシデント対応を1つの集中管理型プラットフォームで処理し、脅威管理の合理化を行う必要があります。これらのニーズは、豊富な自動化機能を備えた最新のクラウドネイティブSIEMツールにより満たすことができます。
Cloud SIEM自動化サービスを使用することで、Cloud SIEMプレイブックによるセキュリティ調査の高速化を実現したり、セキュリティインシデント対応を改善したりすることができます。
最新のSIEMツールを理解するということ
最新のSIEMソリューションは、セキュリティの自動化およびオーケストレーション機能をプラットフォームに直接統合することで、従来のSIEMツールとSOARツールの境界線を突破しています。ガートナーを始めとするアナリストや業界リーダーは、SOARなどの組み込み機能が現代におけるSIEMの有効性に不可欠であることを強調しています。
その主な機能は、セキュリティチームに対しコーディングなしのインシデント対応プレイブックの作成およびカスタマイズを可能とする、グラフィカルなプレイブックエディターです。これらのSOARプレイブックは、SIEMアラートによってトリガーされるセキュリティ調査の一般ステップを自動化することで、手作業を減らしたり、Microsoft SentinelやMicrosoft Defenderなどのツール間コンテキストの切り替えを最小限に抑えたりすることに貢献します。
Cloud SIEM自動化サービスとは
Cloud SIEM自動化サービスを使用することで、エンリッチメントや通知アクションなどを含む、完全に自動化されたワークフローやプレイブックを作成、カスタマイズ、および使用することができます。これにより、不審なアクティビティや潜在的なセキュリティ脅威を迅速に調査し、関連するチームメンバーに通知することが可能となるため、脅威対応の強化が実現します。
プレイブックは、手動でアクティブ化することも、新しいインサイトの作成などのトリガーに基づいて自動的にアクティブ化することもできます。
Sumo Logic Cloud SIEM自動化サービスには、グラフィカルなエディターにてカスタマイズできる即時利用可能なプレイブックが備わっています。また、コーディングなしでゼロから新しいプレイブックを構築し、次の5種類のノードで構成されるワークフローを作成することもできます。
- エンリッチメント
- 通知
- カスタムアクション
- ネストされたプレイブック
- マシンの選択(前のノードの結果に応じて異なる方向に分岐する自動条件)
プレイブックとプレイブックエディターに加え、自動化サービスではOpen Integration Framework (OIF)やAWS、Recorded Future、Jira、およびChatGPTなどの多様なサービスへの数百もの事前構築済み統合にアクセスすることができます。これらの統合の数が非常に多いことから、サイバー環境で必要なツールが見つかる可能性が高くなります。
セキュリティツールが不足している場合でも、現在の統合をカスタマイズすることは可能です。プレイブックと同様に、独自の統合をゼロから構築し、既存のギャップを埋めることができるのです。また、追加料金なしでSumo Logicチームに新しい統合の開発を依頼することもできます。
Cloud SIEM自動化サービスを使用するメリット
Cloud SIEM自動化サービスは、次のような問題点の解決に役立ちます。
- 自動アラートエンリッチメント機能の欠如による脅威インテリジェンスサイクルの過剰拡張
- 長すぎる脅威調査
- アラートのコンテキスト化と優先順位付けの欠如
- セキュリティチームやSOC(セキュリティオペレーションセンター)の対応を遅らせる自動化または集中管理された通知メカニズムの欠如
- 統合が不十分なセキュリティスタック
効率的なセキュリティ調査のための構造化されたプロセス
自動化サービスを使用することで、エンリッチメントおよび通知プレイブックに組み込まれた構造化プロセスを通じ、潜在的な脅威を調査することができます。このサービスは、内部ソース(データレイク内の履歴データなど)や外部ソース(サードパーティ製品やサービス)からの情報により、アラートの自動的なエンリッチメントを実現します。
Cloud SIEMプレイブックは、セキュリティアナリストがアラートを適切かつ迅速に評価し、誤検知か真検知かを確実に判断した後、それに応じて行動できるように明確なコンテキストを提供します。要約すると、構造化されたエンリッチメントおよび通知のプロセスは、セキュリティ調査をより効率的なプロセスに変えるものであるといえるでしょう。
高度に統合されたセキュリティスタックの統合と自動化
セキュリティスタックには、必然的にさまざまな異種技術が含まれているため、重複する機能を持つ別々のツールが同じタスクに利用されることがよくあります。統合が不十分なツールスタックは、生産性や効率、そしてアナリストのエンゲージメントに深刻な影響を及ぼし、企業チームによる作業の最適化を妨げます。このため、さまざまな技術を簡単に取り入れ、連携して動作させるための能力は、セキュリティおよびSOCチームにとって不可欠なものとなります。
Cloud SIEM自動化サービスの統合および自動化機能を活用することで、最も複雑なセキュリティスタックでも1ヵ所から操作することができるようになります。Cloud SIEM自動化サービスでは、自動化されたワークフローでの異種ツールのコラボレーションや、セキュリティ運用のより適切な制御が実現します。
信頼アラートの優先順位付けのためのインサイトおよびプレイブック
Cloud SIEMインサイトは、アラートの優先順位付けに最適な基盤を提供しますが、自動サービスはそのプロセスをさらに洗練されたものにします。プレイブックの実行結果に基づき、アラートの重大度を調整することで、インサイトの優先順位をさらに効率的に設定することができるようになるのです。Cloud SIEMプレイブックの実行により、インサイトを区別し、最も緊急性の高いサイバー脅威を示すデータに集中するための関連データをすべて取得することができます。
実際のユースケース:Sumo Logic SIEMプレイブックの例
Cloud SIEMプレイブックには、シンプルなものから複雑なものまでが存在します。
- シンプルなプレイブックでは、脅威インテリジェンスサービスにIPアドレスを照会し、自動的にJiraチケットを作成することができます。
- 複雑なプレイブックには、IPアドレスが検索され、悪意のあるものであった場合にメールの送信やインサイトの重大度向上が行われるなど、ロジックを伴う一連のアクションが含まれる場合があります。別の例としては、複数のエンティティに対してエンリッチメントを実行(各エンティティタイプに対して1つの「パス」)し、そのうちのどれかに悪意があるかどうかをチェックするプレイブックなどが挙げられます。
まとめ
Sumo Logic Cloud SIEM自動化サービスを使用することで、組織は強力なセキュリティ自動化プラットフォームを手に入れることができ、SOCチームとセキュリティアナリストは、手作業によるアラート処理の代わりにプロアクティブな脅威ハンティングとインシデント対応に集中できるようになります。
実際の動作をご覧になりませんか?デモをお申し込みください。
