セキュリティオーケストレーション、自動化、対応(SOAR )は、組織が特定のインシデントに自動的に対応することを可能にするサイバーセキュリティ技術群です。SIEMシステム、TIP 、その他のセキュリティ技術からのアラートなど、セキュリティ運用チームが監視する入力情報を収集し、標準化されたインシデント対応活動の定義、優先順位付け、推進を支援します。[1] [2] [3]
組織はSOARプラットフォームを活用して、物理的およびデジタルセキュリティ運用の効率を向上させています。[4] SOARにより、管理者は手動介入なしにセキュリティアラートに対処できます。ネットワークツールがセキュリティイベントを検出すると、SOARはイベントの性質に応じて、管理者にアラートを送信するか、事前に定義された別のアクションを実行します。[2]
コンポーネント
「オーケストレーション」は、情報システムの様々なセキュリティツールとシステムを連携させます。カスタムビルドされたアプリケーションと組み込みのセキュリティツールを統合することで、それらが相互に連携できるようにします。また、多様なエンドポイント、ファイアウォール、行動分析ツールも連携させます。[5]
「自動化」は、オーケストレーションによって生成された膨大な量の情報を取得し、機械学習プロセスを通じて分析します。SOARは、ログ分析などの多くの手動タスクを処理するだけでなく、チケットリクエスト、脆弱性チェック、監査プロセスも処理できます。[5]
「インシデント対応」は、セキュリティチームが潜在的な脅威が示唆された際に対応することを可能にします。このコンポーネントは、脅威インテリジェンスの共有など、インシデント発生後の活動も自動的に処理します。[5]
プレイブックとランブック
SOARでは、プレイブックとランブックのおかげで、セキュリティ管理者は潜在的なインシデントとその対応を定義することができます。[2]
プレイブックとは、サイバーセキュリティインシデントの検証方法と対応方法を記述した文書です。プレイブックの目的は、ランブックで実行すべき内容を文書化することです。また、SOARシステムに障害が発生した場合、プレイブックは手動バックアップとしても機能します。[2]
ランブックはプレイブックデータを自動化ツールに実装し、脅威を軽減するために事前定義されたアクションを実行します。 [2]
参考文献
- ^ 「セキュリティオーケストレーション、オートメーション、レスポンス(SOAR)の定義 - ガートナー情報技術用語集」ガートナー。 2023年4月28日閲覧。
- ^ abcde マイク・チャップル、ジェームズ・マイケル・スチュワート、ダリル・ギブソン (2021). (ISC)2 CISSP 認定情報システムセキュリティプロフェッショナル公式学習ガイド(Sybex 編). pp. 845– 846. ISBN 978-1-119-78623-8。
{{cite book}}: CS1 maint: multiple names: authors list (link) - ^ 「セキュリティオーケストレーション、オートメーション、レスポンス(SOAR)プラットフォーム、ソリューション、ユースケース」D3 Security . 2023年6月21日閲覧。
- ^ 「SOAR(セキュリティオーケストレーション、オートメーション、レスポンス)とは? | TechTargetによる定義」。セキュリティ。 2023年4月28日閲覧。
- ^ abc 「サイバーセキュリティにおけるSOARの重要な役割」。セキュリティインテリジェンス。 2023年4月28日閲覧。
