SOARの構築方法

セキュリティ オーケストレーション、自動化、および対応 (SOAR) ソリューションの購入を検討している企業は、多くの場合、既存のインシデント対応プロジェクトが自動化およびオーケストレーション機能を備えた包括的なプラットフォームを実装できるほど十分に成熟していないことを懸念しています。基礎がほとんどない場合、特にチームの誰もインシデント対応やセキュリティ オーケストレーション ソリューションの経験がない場合、ゼロから始めるのは大変なことのように思えるかもしれません。

非効率なプロセスに自動化を追加することだけを望んでいる人はいませんが、古い方法自体がもはや十分ではない場合、セキュリティ インシデントに対処するこの古い方法をさらに統合することは明らかに非科学的です。

会社のセキュリティ運用を改善したいが、どこから始めればよいかわからない場合は、次の手順が SOAR プラットフォームへの移行の準備に役立つ可能性があります。

1. 現在の業務を棚卸しする

インシデント対応プログラムがないと考える企業には、それぞれの理由があります。 SOAR やインシデント対応プラットフォームの有無にかかわらず、多くの即興や場当たり的なプロセスが含まれる場合でも、すべての企業はセキュリティ インシデントを管理する何らかの方法を持っています。

SOAR プラットフォームの実装を準備するときは、時間をかけて会社の関係者と話し、現在のプロセスとそれらのプロセスの有効性 (または無効性) を理解してください。これには、グルーミング ツールの一覧が含まれる必要があります。

• IT および情報セキュリティのための既存のインフラストラクチャは何ですか?

• データ強化操作のためのツールはありますか?

利用可能なツールを把握したら、それらを NIST 800-61r2 標準で説明されているようなインシデント対応ライフ サイクルにマッピングし、企業がどのようなツールを使用しているかを特定できます。現在行方不明です。

次に、企業が従うインシデント対応プロセスまたはマニュアルを確認します。セキュリティ オペレーション センター (SOC) が内部でどのように連携しているかわかりますか? IT 組織やデータ プライバシー組織などの他のチームとどのように連携しますか?企業はインシデント対応中に法規制の遵守をどのように維持していますか?企業チームは、フィッシングやマルウェアなど、今日の一般的なセキュリティ インシデントをどのように管理していますか?

利用可能な指標がある場合は、それを注意深く確認して、何がうまく機能しているのか、どこに改善が必要なのかを特定します。例:

• セキュリティ アラートを検出して対応するまでにどのくらい時間がかかりますか?

• セキュリティ アナリストの時間がかかりすぎるアクティビティは何ですか?

利用可能な正式な指標がない場合は、セキュリティ アナリストやマネージャーに独自の評価を提供するよう依頼してください。

2. 自社に最も適した機能と、これらの機能を提供するプラットフォームを確認します

市場には選択できる SOAR プラットフォームが多数ありますが、選択肢を絞り込むには、時間をかけて、自分にとって最も重要な機能を特定してください。最初に自動化したいプロセスは何ですか?あなたのセキュリティチームにとって最も困難な問題は何ですか?繰り返し発生するセキュリティ インシデント、データ サイロ、またはプロセスのボトルネックはありますか?アナリストがこれらの質問への回答をお手伝いします。

各プラットフォームは、セキュリティ運用にそれぞれ重点を置いています。これらの機能は、次のカテゴリに大別できます。

• アラート管理: SOC が、SIEM やその他のソース システムからのセキュリティ アラートの継続的なフローを分類、評価し、閉じるのを支援します。

• 分類: 脅威インテリジェンスや過去のイベント記録などの外部および内部ソースからコンテキスト情報を収集することで、アナリストの意思決定を支援します。

• インシデント対応: 効果的で再現可能な対応ワークフローをサポートするためのプレイブック、タスク管理、リンク分析、その他の機能が含まれています。

• この文は、「レポート機能と分析機能は、自動またはスケジュールされたレポート生成をサポートし、詳細な SOC メトリクスを生成し、さまざまなシステム ユーザー ロール プレートにカスタマイズ可能なインストルメンテーションを提供します。」と書き直すことができます。

• コンプライアンスと追跡: 監査証跡、保管管理、一般的なコンプライアンス レポート テンプレートなど。

• 事件管理には、調査員が他のチームと協力できる機能、関連する事件事件を保存するカタログ、ガイド付き調査ワークフロー、証拠管理が含まれます。

3. プレイブックの草案を作成してみる

SOAR プラットフォームの使用方法についての実践的な理解を得るために、最も重要なユースケースのプレイブックの草案を作成してみることができます。次に、自動化とオーケストレーションによって強化できると思われるステップを特定します。

ベンダーや業界団体は、手順の参考となるオンライン プレイブックの例を提供しています。企業の既存のプロセスを評価し、企業アナリストと議論することで、一般的なユースケースや重要なユースケースなど、より貴重な情報を得ることができます。フィッシング、データ漏洩の疑い、マルウェア感染などの最も一般的な使用例を、セキュリティ環境の開始点として使用できます。

SOAR ソリューション、インシデント対応プラットフォーム、またはその他の重要なセキュリティ ツールを導入するのは、正式なインシデント対応プログラムがなければ困難です。上記の手順に従う限り、自分の状況をより深く理解し、どのようなルートを選択し、どのような結果を達成する必要があるかを知ることができます。

以上がSOARの構築方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。