サイバーセキュリティにおける SOAR とは、セキュリティのオーケストレーション、自動化、応答を意味します。これには、サイバーセキュリティ関連のデータの収集と分析を可能にするソフトウェアやツールが含まれます。
SOAR とは何か、どのように機能するか
SOAR システムでは、さまざまなツールや機能を使用して、サイバーセキュリティ関連のデータを最大限に活用し、インシデント対応を改善できます。
SOAR システムの主なコンポーネントは次のとおりです。
オーケストレーション
セキュリティ・オーケストレーションは、さまざまなテクノロジーやセキュリティ・ツールからのデータを統合・分析することで、インシデント対応を高速化し、改善します。オーケストレーションには、さまざまなサイバーセキュリティ技術を調整して、複雑なサイバーセキュリティ・インシデントへの対応を支援することもできます。SOAR ツールは、ネットワーク監視ツールからのデータをファイアウォール・ルールのベースラインとして使用することで、ネットワーク・セキュリティの IT 運用データを照合できます。
自動化
SOAR ツールの主な機能の 1 つは自動化です。これにより、セキュリティ・インシデントを手動で検出して対応する手間が省けます。SOAR システムは、特定の種類のイベントを自動的にトリアージし、意思決定ワークフロー、健全性チェック、強制と封じ込め、監査などの標準化された自動化された手順を定義できます。
応答
SOAR プラットフォームは、セキュリティ情報・イベント管理(SIEM)システムや脅威インテリジェンスフィードなどの他のセキュリティツールからデータを収集します。セキュリティ・イベントを優先し、セキュリティ・インシデントに関する重要な情報をセキュリティ・スタッフに送信します。
ケース管理
ケース管理は、SOAR プラットフォームの基本的な構成要素です。ケース管理機能により、セキュリティ・アナリストは個々のケース・レコードにアクセスできるため、特定のインシデントに関連するデータを動的に分析して操作し、その分析を使用して、セキュリティ・レスポンス・プロセスを改善し、反復できます。
ダッシュボード
SOAR ツールのダッシュボードには、1、2、3、4 などに関連して発生している全ての内容の概要が表示されます。注目すべきイベントとその重大性、プレイブック、他のセキュリティ・ツール、ワークロードへの接続、さらには、自動化されたアクティビティによる投資収益率の概要など、セキュリティ関連のデータやアクティビティが全て表示されます。通常、SOAR ダッシュボードは、期間、データ・ソース、またはユーザーごとにフィルタできます。ウィジェットは、仕様に応じてオン/オフを切り替えることも、再配置することもできます。要するに、SOAR システムのパフォーマンスとパフォーマンスを監視するための中心的なハブです。
SOAR ソリューションによる脅威の特定方法
SOAR システムは、さまざまなソースからデータをブラウズして収集し、人間と機械学習を組み合わせてこのデータを分析することで、潜在的な脅威を検出し、インシデント対応計画とアクションに優先順位を付けます。通常、企業は SOAR システムを自動化し、サイバーセキュリティを最も効率的にサポートします。
SOAR データソース
SOAR システムは、以下のようなさまざまなソースからデータを取得して分析します。
- 脆弱性スキャナ:コンピュータ、ネットワーク、アプリケーションのセキュリティ上の弱点を評価するために設計されたコンピュータ ・プログラムです。
- エンドポイント保護ソフトウェア:サーバーやパーソナルコンピュータなどの組織のエンドポイントをマルウェア感染、サイバー攻撃、その他の脅威から保護します。
- ファイアウォール:事前に定義されたセキュリティ・ルールに基づいて、送受信するネットワーク・トラフィックを監視および制御するネットワーク・セキュリティ・システムです。
- 侵入検知および侵入防止システム:悪意のある活動がないかネットワークを継続的に監視し、それを防止するための措置を講じるネットワーク・セキュリティ・ツールです。
- セキュリティ情報・イベント管理(SIEM)プラットフォーム:ログ・データ、セキュリティ・アラート、イベントを一元化されたプラットフォームに集約し、セキュリティ監視とアラートのリアルタイム分析を行います。
- サイバー脅威への対応と認識を高めるためにサードパーティ・ベンダーから収集された実行可能な脅威データを含む、外部の脅威インテリジェンス・フィード。
SOAR の主なメリット
SOAR システムは、2 つの主なメリットを通じて、より効果的で効率的なインシデント対応を可能にします。
- 迅速なインシデント対応:SOAR は、セキュリティ・アラートの認証と修復に要する時間を数か月から数週間から数分に短縮することで、企業が平均検出時間(MTTD)と平均リストア時間(MTTR)を削減するのに役立ちます。SOAR は、プレイブックと呼ばれる手順によるインシデント対応の自動化も可能にします。この自動化によるアクションには、ファイアウォールまたは IDS システムの IP アドレスのブロック、ユーザ・アカウントの一時停止、ネットワークからの感染エンドポイントの隔離が含まれます。
- サイバーセキュリティ・インテリジェンスの向上:SOAR システムは、さまざまなソースからのデータを集約して分析できるため、あらゆる種類のサイバーセキュリティ脅威のコンテキストを強化し、誤警報を削減し、セキュリティ・チームがより迅速に作業できるようにします。
SOAR 対 SIEM
SOAR と SIEM は、セキュリティ脅威に関するデータを処理し、セキュリティ・インシデントの応答を大幅に改善します。
しかし、SIEM は複数のセキュリティ・システムからデータを集約して関連付け、アラートを生成します。一方、SOAR は、これらのアラートに対する修正と応答のエンジンとして機能します。
車の類推を使用するには、SIEM は車のエンジンの燃料であり、エンジン自体は SOAR です。これは、燃料を使用して結果とアクションを提供し、全てを自動的に実行するためです。
SOAR ツールに求められること
SOAR ツールがどのようなものであっても、次のことができるようになるはずです。
- さまざまなセキュリティ・システムからデータとアラートを取り込み、分析します。
- サイバーセキュリティの脅威やアラートの特定、優先順位付け、調査、対応に役立つワークフローを構築・自動化します。
- 他のツールと簡単に統合し、運用を改善できます。
- インシデント後の分析を行い、応答プロセスとインシデント対応の効率性を向上させます。
- ほとんどのセキュリティ・オペレーションを自動化し、冗長性を排除し、セキュリティ・チームが人間の参加を必要とするタスクに集中できるようにします。
もちろん、SOAR システムの一部となりうる鐘やホイッスルは数多くありますが、SOAR ツールの必須項目のリストをご覧ください。
実際の SOAR の例:フィッシング対策
フィッシング・メールは、個人だけでなく、エンタープライズ・セキュリティ・チームにとっても大きな脅威となります。フィッシング・メールの中には、注目度の高いデータ侵害を未然に防ぐために十分に作成されたものもあります。SOAR システムを導入することで、フィッシング攻撃を防御できるだけでなく、将来の攻撃を防ぐことができます。
SOAR ツールは、ヘッダー情報、電子メールアドレス、URL、添付ファイルなど、さまざまなアーティファクトを抽出して分析することで、悪意のあるメールの疑いを調査します。その後、脅威をトリアージし、それが脅威であるかどうか、脅威がどの程度深刻であるかを判断します。
SOAR ツールが、電子メールが悪意あるものであると判断した場合は、
- 他のメールボックス内の他のインスタンスをブロックします。
- 電子メールに関連する実行ファイルの実行を防止します。
- ソース IP アドレスまたは URL をブロックします。
- 必要に応じて、影響を受けるユーザーのワークステーションを隔離します。
もちろん、SOAR システムは、全てのフィッシングメールをキャッチしてブロックすることを保証できません。ケース管理機能により、セキュリティ・チームは何が起きたのか、その理由を調査し、その知識を活用して SOAR システムの脅威検知を改善できます。
SOAR:ボトムライン
SOAR システムは、調査と応答時間を数時間から数分に短縮します。また、最高品質の脅威データのみを使用してセキュリティ運用を合理化することで、組織のリスクを大幅に削減します。最終的には、人間のアナリストや人間の知能をより戦略的に割り当て、外部の脅威を最小限に抑えながら内部リソースを最大化することができます。