SplunkはSplunk SOAR 6.2 (セキュリティのオーケストレーションと自動化によるレスポンス)のリリースを発表しました。今回のアップデートに向けて、Splunkチームは強力な最新機能の開発に取り組んできましたが、その中にはSplunk Ideasを通じて寄せられたご要望やご提案から生まれたものもあります。SOAR 6.2のVisual Playbook Editorでは直感的なユーザーインターフェイスを使ってロジックループを直接設定できるため、カスタムコードを作成する必要がありません。また、Splunk SOAR Cloud環境とCyberArkの特権アクセス管理ソリューションの統合が実現しました。さらに、対応するファイアウォール管理アプリケーションのリストにご要望の多かった2つの製品を追加したほか、従来のVisual Playbook Editorで作成したプレイブックを最新のプレイブックに変換できる新しいユーザーインターフェイスも登場します。
では、Splunk SOAR 6.2の新機能とアップデートのいくつかを詳しく見てみましょう。
- ロジックループ:この新機能により、セキュリティエンジニアやセキュリティアナリストの反復的な手作業をかつてないほど簡単に減らして、時間を節約することができます。この反復機能を使用すれば、プレイブックのアクションが失敗した場合の再試行や、成功した場合のプレイブックの続行を自動化できます。ループは指定した回数まで実行することも、終了条件を指定して早く終了することも可能です。ループの合間に一時停止時間を指定することで、ループの次の反復の開始前に待機時間が設けられます。ループの次の反復の開始を待機している間は、そのプレイブックで使用中のランナーを別のプレイブックで使用できます。つまり、次の反復を待機しているプレイブックがランナーリソースを消費することはありません。この機能は、不正なURLの隔離と修復を行うサンドボックスエンジンや、フォレンジック調査ワークフローなどのユースケースに使用できます。
- CyberArkとの統合:Splunk SOAR CloudでCyberArkの特権アクセス管理ソリューションがサポートされるようになり、クラウドへのワークロードの移行がかつてないほど容易になります。オンプレミス版のSOARをご利用中のお客様のクラウド移行がスムーズになるとともに、セキュリティチームのインストールやアップグレードのプロセスも効率化されます。
- ファイアウォール管理アプリケーション:このリリースでは、PanoramaとFortiManagerのアプリケーション統合が追加されています。この2つの強力なファイアウォールツールとの統合オプションを希望される声にお応えして、拡充中の対応アプリケーションのリストにこの2つのツールを加えました。Panoramaをご使用であれば、カスタムファイアウォールポリシーの作成と導入、外部ダイナミックリストの導入と管理、アドレスグループの管理(作成、修正、削除など)を行えます。FortiManagerをご使用であれば、ADOMファイアウォールポリシーの作成、削除、更新を容易に行えるほか、ADOMレベルでIPやURLをすばやくブロックすることなどが可能です。
今後数週にわたり、今回登場する各新機能についてブログやビデオでそれぞれ詳しくご紹介する予定です。
今後の見通し
Splunk SOARチームは、すでに次期リリースの開発に取り組んでおり、2024年には最新の機能、プレイブックなどについてさらに詳しくお知らせできる見込みです。今後予定されている重要な変更として、従来のVisual Playbook Editorに関する変更があります。
来年のSplunk SOAR 6.3のリリース時には、従来のVisual Playbook Editorを廃止する予定です。なお、新バージョンのVisual Playbook Editorには変更はありません。5.0.1のリリース時に導入した新バージョンのVisual Playbook Editorでは、コーディングの経験値に関係なく、プレイブックの作成や修正をかつてないほど簡単に行えるようになりました。視認性が向上し、縦方向表示に対応したほか、プレイブックブロックを作成するための新しいオプションが多数追加されました。
Splunkでは、従来のエディターで作成したプレイブックをお使いのお客様が、最新のエディター向けにプレイブックをできるだけ容易に変換できるようにしたいと考えています。前回のリリース(6.1.1)では、オンプレミス版をご利用中のお客様が従来のプレイブックを最新のプレイブックに移行できるコマンドラインインターフェイス(CLI)ツールを追加しました。Splunk SOAR 6.2のリリースでは、クラウド版とオンプレミス版のどちらをご利用中のお客様も、同じ移行機能をSplunk SOARのユーザーインターフェイス(UI)から実行できます。
今すぐSOAR 6.2にアップグレード
クラウド環境でもオンプレミス環境でも、今すぐSplunk SOAR 6.2にアップデートできます。このリリースの新機能やアップデートを自動化のさらなる推進にお役立ていただければ幸いです。Splunk SOAR 6.2についてご意見などがありましたら、Splunk SOARコミュニティでお知らせください。また新しい機能に関するご提案やご要望は、Splunk Ideasにお寄せください。
今回のリリースについて解説した最新のTech Talkをご覧になっていない場合は、こちらからセッションの録画(英語)をオンデマンドでご視聴いただけます。
Splunk SOAR 6.2の詳細については、リリースノートをご確認ください。今後数週にわたり、今回のリリースの新機能についてそれぞれ詳しくご紹介するブログも公開しますので、ぜひご覧ください。
さっそく自動化を進めましょう!
このブログはこちらの英語ブログの翻訳、阿部 浩人によるレビューです。