権威あるコンサルティング会社 Gartner が発表した 2019 年のセキュリティ オーケストレーションおよび自動応答ソリューション (SOAR) マーケット ガイドには、「2022 年までに、5 人以上のセキュリティ チームを持つセキュリティ企業の 30% 以上が SOAR を使用するようになるだろう」と記載されています。オーケストレーション自動応答ソリューション」。今日は、企業が NSFOCUS SOAR システムを使用して、セキュリティ オーケストレーションと自動応答を 3 分以内に完了する方法を紹介します。
従来のセキュリティ運用ではイベント処理では、通常、次のプロセスに従います。
表: 従来のセキュリティ運用および保守プロセス
上記の 7 つのステップの後、情報セキュリティインシデントの処理プロセスはこれで終わりです。このプロセスには、役割の異なる複数の部門が参加するため、廃棄プロセスが煩雑で、効率を数値化することが難しく、さまざまなイベントの処理プロセスを標準化することが困難です。
同時に、企業はセキュリティの運用と保守において次のような課題に直面することがよくあります。つまり、イベント アラームが多すぎて、有効なイベント アラームが埋もれてしまい、セキュリティ インシデントにタイムリーに対処することが困難になります。企業にはセキュリティ分析・処理の専門家が不足していることが多く、セキュリティ分析の経験が定着しにくく、セキュリティ専門家の反復的なセキュリティ処理作業に行き詰まりやすく、真価を発揮しにくくなっています。最も重要なことは、企業はプロセスと人員によって制限されており、従来のセキュリティ対応には時間がかかりすぎるということです。
したがって、企業は、セキュリティ運用の開発と進化において次の要求を追加しました。
信号対雑音比を改善する: 効果的な高忠実度アラームを増やし、限られたセキュリティ専門家が対応できるようにするリソースを活用することで、実際のリスクや問題に焦点を当てることができます。
MTTR の削減: 安全な廃棄プロセスを確立し、運用経験を継続的に蓄積し、運用を継続することで、応答時間と廃棄時間が継続的に短縮されます。
写真: NSFOCUS SOAR コンポーネントの入り口
ISOP インテリジェント セキュリティ オペレーション プラットフォームは、 SOAR セキュリティ オーケストレーション自動応答機能では、NSFOCUS ISOP インテリジェント セキュリティ オペレーション センターの運用および保守応答リンク オーケストレーション ポータルからセキュリティ オーケストレーションおよび自動応答処理機能を使用して、企業の自動セキュリティ オーケストレーション応答プロセスを開始できます。
写真: NSFOCUS SOAR セキュリティ オーケストレーションおよび自動応答ソリューション
ISOP の SOAR コンポーネントは、ビジュアル オーケストレーションを通じて人、セキュリティ テクノロジ、プロセスを深く統合し、手動の運用とメンテナンスを通じて強化します。プレイブック スクリプトは直列および並列に接続され、セキュリティ インシデント処理のワークフローを構築し、さまざまなセキュリティ デバイスを自動的にトリガーして対応アクションを実行します。ケース管理は、セキュリティ イベント コンテキストのより包括的かつエンドツーエンドの理解に基づいています。企業が複雑なインシデント対応プロセスとタスクを統合できるよう支援し、フローを一貫性、再現性、測定可能で効果的なワークフローに変換し、受動的な緊急対応を自動化された継続的な対応に変換します。
図: ケース管理
Case は SOAR コンポーネントの最も基本的な機能であり、ログ ソース、セキュリティ ルール、インテリジェンス フォレンジック、情報セキュリティ インシデントの分析に必要なインシデント処理のプレイブック スクリプトの選択と実行など、セキュリティ インシデント処理のライフ サイクル全体を通じて実行されます。判定。企業内のアラーム セキュリティ イベントをケースに照合できる限り、自動応答処理を完了できます。ケースは、セキュリティ イベントのコンテキストをより包括的かつエンドツーエンドで理解できるため、複雑なインシデント対応プロセスの変換と、タスクを一貫性と再現性、測定可能で効果的なワークフローに統合します。
企業のセキュリティ運用では、一般的なセキュリティ イベントをさまざまなカテゴリの SOAR ケースにマッピングできます。同じ性質のケース (マイニング、侵入、サービス拒否、脅迫、フィッシング、ホットリンク、情報漏洩、ケース プロセス処理機能は、さまざまな性質のケースに異なる Playbook スクリプトを割り当て、実行を監視して、企業のセキュリティ インシデントに対する自動閉ループ対応を完了することができます。
図: 視覚的なケースの配置 1
図: 視覚的なケースの配置 2
ISOP の SOAR コンポーネントには、いくつかの一般的な攻撃に対応するケースが組み込まれています。さらに、企業は、視覚的なドラッグ アンド ドロップの配置を通じて、ケースとそれに対応するプレイブック スクリプトを迅速に作成できます。セキュリティのさまざまなステップ間には依存関係が存在することがよくあります。調査と判断、およびセキュリティ イベント 分析プロセスでは、視覚的なドラッグ アンド ドロップ方式を使用してセキュリティ処理のコンテキストを提供し、従来の運用と保守で異なるページ間を移動する必要を回避し、セキュリティ インシデント処理の複雑さを軽減します。ケースが正常に作成され有効化されると、そのケースに発生する後続のイベントを自動化された方法で処理できるため、異なる部門間の協力的なコミュニケーションとプロセス フローのコストが削減されます。
図: ケース処理プロセスの追跡
ケースは、企業が一連の関連イベントに対する合理的かつ継続的な調査、分析、対応処理の追跡記録を行うのに役立ちます。ケースの実行プロセス中に、セキュリティイベントの中間プロセスごとの実行状況(成功、実行、失敗)をビジュアルオーケストレーションプロセスで表示することで、エンドツーエンドの運用保守プロセスの可視化を実現します。
図: Script Playbook の実行状況
Playbook スクリプトは証券のワークフローに相当しますエンジニア. ケース一致イベントの自動化された閉ループ セキュリティ処理を推進します. ISOP SOAR モジュールには、複数のスクリプトの同時実行が含まれる場合があります. さまざまなスクリプトの実行ステータスは、インターフェイスを通じてグローバルに概要を確認できます (実行、実行成功、失敗)。
企業におけるセキュリティ インシデント処理プロセスのエクスペリエンスを Playbook スクリプトに統合し、自動応答処理に適用できます。処理アクションには、機器のブロック、作業指示の送信、電子メール通知などが含まれるため、セキュリティ専門家は、退屈で反復的なセキュリティ運用とメンテナンスから解放されることから始めることができます。
自動化されたセキュリティ オーケストレーション応答「ラスト マイル」ブロック応答は、一般にセキュリティ機器によって実行されます。NSFOCUS ISOP ワンクリック ブロック モジュールは、初期の経験を蓄積しています。ファイアウォール、ADS、UTS、IDS、WAF などの多数の応答処理デバイスの応答アクションには、セッション ブロック、IP 禁止、ドメイン名ブラックリスト、トラフィック トラクション クリーニングなどが含まれます。これらのデバイスは、直接実行できます。 SOAR モジュールはプラグアンドプレイです。サードパーティ デバイスが提供するノースバウンド管理および制御インターフェイスに基づいてプラグインを開発するだけで、サードパーティ デバイスの自動リンク オーケストレーション応答を完了できます。
SOAR システムに接続されたセキュリティ デバイスは、Playbook スクリプト呼び出しを通じて自動応答処理を完了できます。セキュリティ運用担当者やメンテナンス担当者が独立したセキュリティ デバイスにログインしてブロック ポリシーを構成する必要はありません。
写真: 自動運用保守の大画面表示
自動運用保守の大画面表示自動応答の運用効率、ケースインシデントの統計情報、ケースインシデントの処理傾向、スクリプト実行情報などの処理概要を、グローバルな視点から企業の自動化対応を提示し、運用保守指標を測定可能かつ定量化できる方法で表示します。
既知のケース イベントの場合、ケース マッチング トリガー メカニズムを通じて、企業は、セキュリティ オーケストレーションと自動閉ループ応答プロセスを 3 分で完了できます。
以上がEnterprise Security Orchestration の応答 SOAR を簡単に完了する方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。
![[Web フロントエンド] Node.js クイック スタート](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
