SOAR ソリューションの選択方法

SOAR (セキュリティ オーケストレーション、自動化、および応答) は、次世代 SOC の象徴的なソリューションとみなされており、セキュリティ運用の効率を向上させる重要なメカニズムでもあります。

ご存知のとおり、次世代 SOC の焦点は、検出機能と応答機能の向上です。しかし、現実は、SOC 運用チームが多大なプレッシャーに直面しており、誤警報率が上昇し続けており、平均応答時間 (MTTR) を改善するのが常に困難であることを示しています。したがって、セキュリティ業界と企業のセキュリティ チームは SOAR ソリューションに大きな期待を寄せており、SOAR の導入により脅威の検出と対応における SOC の効率が大幅に向上すると期待されています。

当事者 A は、SOAR ソリューションを正しく実装できなかった場合、新たな課題に直面することを理解する必要があります。適切な計画がなければ、セキュリティ自動化ツールを導入している企業はよくある間違いの犠牲になり、すぐに効率の低下やセキュリティ体制の低下につながる可能性があります。

つまり、企業は適切な SOAR ソリューションを選択する際に、多くの要素を考慮する必要があります。以下は、SOAR の選択に関して複数の外国のセキュリティ専門家によって与えられた洞察と提案です。

パロアルトネットワークスの製品戦略担当副社長 Rishi Bhargava 氏

SOAR の実装解決策 「欠如」から「所有」への単純なプロセスではありません。企業は、既存のプロセスとセキュリティ ツール スタックを評価し、適切な導入アプローチを選択する必要があります。

• エコシステムは重要です。SOAR ソリューションは、現在使用しているベンダー ツール間で統合できる必要があります。社内開発またはカスタム統合のオプションを提供する必要があります。信頼性の高い SOAR ソリューションは、企業の発展に歩調を合わせ、継続的に改善できる必要があります。検出、エンリッチメント、実行プロセスと関連ツールを完全に統合します。

• 強力なチケットおよびケース管理機能: インシデント対応が自動化で始まり自動化で終わることはほとんどありません。アナリストは常にインシデント調査に関与します。ベンダーに尋ねてください: SOAR プラットフォームはネイティブのケース管理をネイティブに提供していますか? それとも関連ツールと統合されていますか? イベント タイムラインを再構築できますか? 多くのコーディングを行わずにシナリオを簡単にカスタマイズできますか?

• #統合された脅威インテリジェンス管理: 手動の脅威インテリジェンス ワークフローは時間がかかり、拡張性がないため、統合された脅威インテリジェンス管理の自動化により、平均応答時間が大幅に短縮されます。

• 柔軟なデプロイメント: SOAR プラットフォームは、ローカル デプロイメントとクラウド ホスト型デプロイメントをサポートする必要があります。分散環境の場合は、完全なマルチテナント環境を拡張してサポートする環境を探してください。

SOAR の選択または実装のどこにいても、上記の考慮事項により、組織は確実に最善の道を進むことができます。

Micro Focus SecOps Product Manager GamzeBingöl

SOAR ソリューションの基本的な目的は、セキュリティ担当者が自動化を通じてネットワークの脅威を検出して対応する能力を向上できるように支援することです。そしてオーケストレーション技術。

• Cyber​​ Security Automation の SOAR 自動化機能は、誤検知を排除し、反復的なアクティビティを自動化することで、ほとんどの脅威の処理を自動化します。 SOAR を使用すると、時間のかかる反復的なタスクを自動化し、アナリストが人間の介入が必要なケースに集中できる時間を増やすことができます。

• SOAR のすぐに使える機能は、シナリオ主導型で、すぐに使用できる自動プランである必要があります。すぐに使えるプランにより、チームは応答時間を数時間から数分に短縮し、アナリストの生産性を向上させることができます。

• 統合ツールセットは、相互に補完し合うため、分離されたセキュリティ ツールよりも便利です。 SOAR の重要な側面は、企業内の既存のセキュリティ ソリューション、IT インフラストラクチャ、テクノロジと統合し、コラボレーションを強化し、すべての要素が同じソリューションの一部であるかのように調整することで、セキュリティ環境全体として機能する必要があることです。集中化されたハブ。

• KPI と指標: ケースとアナリストに関する SOAR の詳細なレポートは、マネージャーが過去の出来事を理解し、将来の方向性をより適切に計画するのに役立ちます。

#Exabeam EMEA セキュリティ戦略担当シニア ディレクター、Richard Cassidy 氏

SOAR ソリューションにより、チームは大規模で多様なデータ フローにまたがることができるようになります。識別と対応のプロセスが強化され、脅威と脆弱性の優先順位付けがほぼシームレスになり、セキュリティ運用がはるかに効率化されます。

正しく実装されれば、セキュリティ オペレーション センター (SOC) は SOAR ソリューションを使用することで恩恵を受けることができ、脅威に対してより迅速かつ効果的に対応できるようになります。

SOAR をセキュリティ情報およびイベント管理 (SIEM) などの他のセキュリティ ツールと統合すると、効率を向上させながら自動化を通じて SOC チームのビジネスと技術的な成果を変革できます。

企業は SOAR を使用して SIEM の機能を強化し、包括的なソリューションを提供できます。 SIEM は、SOAR が自動的に調査してインシデントに対応し、手動操作の必要性を減らすために使用できる便利な方法でデータを収集および保存します。

そして、SOC チームのこれまでの最大の課題である誤検知に対して、SOAR ソリューションは情報の収集、重複アラートの優先順位付け、統合を支援して誤検知の数を減らすことができます。

コディ コーネル大学、スウィンレーン最高戦略責任者

SOAR ソリューションを検討する場合、企業は 2 つの観点から考える必要があります: セキュリティ運用の自動化で解決する必要がある問題は何ですか? ニーズは何ですか? 自動化は将来どのように活用できますか?

通常、敵対者に対するツールや戦略は静的ではなく動的です。したがって、現在のニーズを満たすだけでなく、将来のニーズにも応えるために、迅速に統合し、迅速に拡張できるソリューションを選択する必要があります。

第二に、攻撃者のテクノロジーの変化を見ると、攻撃者も自動化を採用すると思いますか? 実際、攻撃者は自動化を使用してスキャンを実行するだけでなく、DevOps 手法を使用して各攻撃をターゲットにしています独自のインフラストラクチャを構築します。

これが続く場合は、人間の介入なしに、侵害の痕跡 (IOC) やケースおよびアラートのその他のインテリジェンスを追跡および調査できる自動化されたプラットフォームが必要になります。

Splunk セキュリティ エバンジェリスト Matthias Maier

SOAR プラットフォームを選択する際に考慮すべきいくつかの異なる基準と、どの基準を使用するかがあります:

( 1) コア機能

ユーザーは、これらが SOAR プラットフォームの基本コンポーネントおよび機能であることを簡単に識別できます。オーケストレーターなどの重要なコンポーネントの一部は、特定のセキュリティ ソリューションに関連するすべてのアクティビティを指示および監督する責任を負います。オーケストレーターが利用可能なリソースを最適に利用することが重要です。もう 1 つは自動化エンジンです。自動化されたタスクは独立して実行され、人間の介入をほとんど必要としないため、プラットフォームのスケーラビリティや拡張性などの属性が考慮すべき重要な基準となります。ケースとプログラムの管理も考慮する必要があります。

(2) プラットフォームの属性

これは定性的な標準です。これらの基準は、観察とプラットフォームとの対話を通じてより頻繁に評価できます。 SOAR プラットフォームは強力なコミュニティ モデルをサポートし、アプリケーションの統合とプレイブックを簡単に共有できるようにする必要があります。 SOAR プラットフォームが垂直方向と水平方向の両方でどのように拡張されるかを理解することも重要です。時間の経過とともにユースケースが追加されると、プラットフォームに追加の処理負荷が追加されます。オープンでモバイルフレンドリーで使いやすいプラットフォームも重要な考慮事項です。

(3) ビジネス上の考慮事項

当社が提供する付加価値サービスには、トレーニングやサポートなど、コア技術を強化するために設計された項目が含まれます。企業の中核技術がどれほど優れていても、従来、購入者の意思決定プロセスに重大な影響を与えると考えられていた製品以外の要素には注意が必要です。

SIRP CEO、Faiz Ahmad Shuja

ある調査によると、セキュリティ専門家は 1 日あたり平均 840 件のセキュリティ アラートを受信して​​います。ほとんどのアラートは手動調査が完了するまでに約 15 ～ 30 分かかるため、これはどのセキュリティ チームにとってもほぼ不可能なタスクです。

できるだけ多くのワークロードを自動化することで、セキュリティ チームが遅れをとらず、重要な脅威を見逃さないようにすることができます。SOAR プラットフォームは最も効果的なソリューションの 1 つです。

SOAR を正常に統合するための最も重要なステップは、すべてのセキュリティ プロセスの信頼できるドキュメントを提供することです。すべての主要なプロセスには、綿密に作成された対応マニュアルが必要です。たとえば、潜在的なフィッシングメールが検出された場合、その応答には、送信者のアドレスの調査、スプーフィングの兆候の検出、すべての URL のレピュテーション スコア、および悪意のあるスクリプトの検出が含まれる場合があります。これらすべてのプロセスが記録されると、SOAR プラットフォームは自動的に実行を開始できます。

さらに、組織は、選択した SOAR プラットフォームに強力な統合機能があることを確認する必要があります。このプラットフォームは、既存の SIEM ソリューションとシームレスに統合し、他のセキュリティ ソリューションやより広範な IT インフラストラクチャと接続する必要があります。

Siemplify CEO、アモス・スターン氏

セキュリティのオーケストレーション、自動化、対応により、セキュリティ チームが長年直面してきた最もイライラする課題のいくつかを解決できます。

適切な SOAR プラットフォームと適切な実装は、アラートの過負荷を軽減し、組織で使用されるさまざまな検出ツールを統合し、自動化された反復可能なプロセスを構築して応答時間を短縮すると同時に、セキュリティ アナリストの負担を軽減します。単調で退屈な手作業から解放されます。脅威の探索や、より回復力の高いセキュリティ インフラストラクチャの構築など、価値の高い作業に集中できるようになります。

この文を次のように書き換えます。 主な目標は、さまざまなサードパーティ検出ツールを統合し、ネイティブ API を使用してアラートを取得し、ワークフローを自動化することです。

ただし、最高の SOAR は集中ワークベンチとして機能します。 Salesforce のように考えてください。これは SOC アナリストにも当てはまります。探す必要がある SOAR ソリューションには、次の高度な機能が備わっている必要があります:

• ケース管理 (特に、コンテキストに関連するアラートをグループ化する機能);

• 統合された脅威インテリジェンス;

• コラボレーション (新しいリモート作業環境では特に重要);

• ダッシュボードと KPI (可視性と洞察);

• 危機管理 (エスカレーション) 重大なインシデントが発生した場合の組織横断的な対応。

以上がSOAR ソリューションの選択方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。