SOAR
SOAR とは何ですか?
SOAR検知・エンリッチメント・対応アクションをプレイブックとして連結し、複数のセキュリティツール上で実行することで SOC のワークフローを自動化・オーケストレーションするプラットフォーム。
Security Orchestration, Automation and Response(SOAR)は、SIEM や EDR/XDR と並んで配置され、インシデント対応を実運用化します。コネクタや API を用いて脅威インテリジェンス、IAM、エンドポイント、ネットワーク、チケット管理システムを呼び出し、コード化されたプレイブックがアラートのトリアージ、指標のエンリッチメント、ホストの隔離、アカウント無効化、ケースの記録まで自動化します。SOAR はアナリストの定型作業を削減し、プロセスの一貫性を強制し、繰り返し可能なステップを自動化することで MTTR を改善する一方、高リスクなアクションでは人間の判断を残します。代表的な製品として Splunk SOAR、Palo Alto Cortex XSOAR、Microsoft Sentinel の自動化ルール、Tines などがあります。
● 例
- 01
URL をサンドボックスで爆発させ、VirusTotal に問い合わせ、メールを隔離するフィッシングトリアージ用プレイブック。
- 02
ランサムウェアの挙動を検知すると、EDR でホストを隔離しユーザーのパスワードをリセットする XSOAR プレイブック。
● よくある質問
SOAR とは何ですか?
検知・エンリッチメント・対応アクションをプレイブックとして連結し、複数のセキュリティツール上で実行することで SOC のワークフローを自動化・オーケストレーションするプラットフォーム。 サイバーセキュリティの 防御と運用 カテゴリに属します。
SOAR とはどういう意味ですか?
検知・エンリッチメント・対応アクションをプレイブックとして連結し、複数のセキュリティツール上で実行することで SOC のワークフローを自動化・オーケストレーションするプラットフォーム。
SOAR からどのように防御しますか?
SOAR に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。