防御と運用
SOAR
定義
検知・エンリッチメント・対応アクションをプレイブックとして連結し、複数のセキュリティツール上で実行することで SOC のワークフローを自動化・オーケストレーションするプラットフォーム。
Security Orchestration, Automation and Response(SOAR)は、SIEM や EDR/XDR と並んで配置され、インシデント対応を実運用化します。コネクタや API を用いて脅威インテリジェンス、IAM、エンドポイント、ネットワーク、チケット管理システムを呼び出し、コード化されたプレイブックがアラートのトリアージ、指標のエンリッチメント、ホストの隔離、アカウント無効化、ケースの記録まで自動化します。SOAR はアナリストの定型作業を削減し、プロセスの一貫性を強制し、繰り返し可能なステップを自動化することで MTTR を改善する一方、高リスクなアクションでは人間の判断を残します。代表的な製品として Splunk SOAR、Palo Alto Cortex XSOAR、Microsoft Sentinel の自動化ルール、Tines などがあります。
例
- URL をサンドボックスで爆発させ、VirusTotal に問い合わせ、メールを隔離するフィッシングトリアージ用プレイブック。
- ランサムウェアの挙動を検知すると、EDR でホストを隔離しユーザーのパスワードをリセットする XSOAR プレイブック。
関連用語
SIEM
企業全体のセキュリティテレメトリを集約・正規化・相関分析し、検知・調査・コンプライアンス・レポートを支援するプラットフォーム。
セキュリティオペレーションセンター(SOC)
組織の IT 環境全体を 24 時間 365 日体制で監視し、サイバーインシデントの検知・調査・対応を継続的に行う集約型のチームおよび拠点。
インシデントレスポンス
サイバーインシデントの準備・検知・分析・封じ込め・根絶・復旧を体系的に行い、教訓を反映する組織的プロセス。
EDR(エンドポイント検知・対応)
プロセス・ファイル・レジストリ・ネットワーク活動を継続的に記録し、エンドポイント上の脅威を検知・調査・対応するエンドポイントセキュリティ技術。
脅威インテリジェンス
脅威と攻撃者に関する、指標・TTP・背景を含むエビデンスベースの知識。セキュリティの意思決定と検知を導くために用いられる。
Mean Time to Respond (MTTR)
Mean Time to Respond (MTTR) — definition coming soon.