Incident Reviewダッシュボード

検出結果や重要イベントを確認するときに最初にチェックするダッシュボードです。重要イベントはインシデント調査の出発点で、重大度によって簡単に並べ替えることができるため、セキュリティインシデントの優先順位をすばやく判断して修復に取り掛かることができます。

アセット調査とセキュリティドメイン

[Asset Investigator]ダッシュボードでは、スイムレーンでイベントを経時的に確認できるため、脅威ハンティングやインシデントフォレンジックが容易になります。各スイムレーンでは、アクティビティの発生頻度が色の濃淡によって表されるため、ホストやユーザーのアクションのパターンを一目で把握できます。

すぐに使える[Security Domains]ダッシュボードでは、ログイン試行、侵害を受けたエンドポイント、ネットワークへの侵入など、個々のアクティビティを重点的に追跡できます。また、対象をすばやく切り替えて相関付けることで、修復時間を短縮できます。

Risk Analysisダッシュボード

[Risk Analysis]ダッシュボードでは、資産を追跡し、リスクごとに分類できます。たとえば、アクティビティが急増した資産は、機密情報を保持しているだけの資産よりも優先度が高いと判断されます。これにより、アラートのノイズを削減できます。

調査ワークベンチ

調査ワークベンチには、すべての脅威インテリジェンス、セキュリティコンテキスト、関連データ(ユーザーやデバイスなど)がまとめられています。調査中にこのワークベンチに簡単に切り替えて、インシデントをすばやく正確に評価できます。

調査タイムラインにより、調査のコラボレーションと追跡が向上します。ワークベンチでアドホック検索も簡単に実行できるため、時間を節約し、調査に集中できます。

調査コマンドライン

Splunk SOARの調査ページでは、いくつかの方法でアクションを実行できます。簡単な方法の1つはコマンドラインを使用することです。コマンドラインは、イベントにコメントを書く欄の下の方にあります。最初にスラッシュ(/)を入力すると、アクションの候補が表示されます。

ケース管理

Splunk SOARにより、セキュリティおよびITスタック全体のワークフローと対応がオーケストレーションされ、防御戦略の中で各ツールを有効活用できます。ケース管理機能では、ワークブックを使ってプロセスをコード化し、再利用可能なテンプレートとして保存できます。インシデント対応に独自のテンプレートと業界標準のどちらを利用する場合でも、タスクの分割、割り当て、文書化を効率的に行い、コラボレーションを促進して一貫した調査プロセスを実現できます。

イベント管理

アナリストは大量に発生するセキュリティイベントの対応で疲弊しがちです。Splunk SOARでは複数のソースで生成されるすべてのイベントが1カ所にまとめられるため、イベント管理が容易になります。アナリストは、イベントの並べ替えやフィルタリングによって、忠実度の高い重要イベントを識別し、対応の優先順位を判断できます。

コンテキストに応じたアクションの実行

Splunk SOAR Appには、「contains」と呼ばれる、アクションの入出力のためのパラメーターがあります。これを使って、Splunk SOARユーザーインターフェイスでコンテキストに応じたアクションを実行できます。たとえば、containsとして「ip」がよく使われます。この機能を使えば、アクションの出力を次のアクションの入力としてつないでいくことができるため、非常に便利です。

イベントの手動作成

Splunk SOARインスタンスでまだ何もしていない状態では、ROIサマリーと呼ばれる上部の領域に表示される値がすべてゼロになります。Splunk SOARでイベントの作成を開始するときは、手動で作成できます。

Splunk Intelligence Management for Splunk SOAR

Splunk SOARプレイブックだけでもセキュリティプロセスを自動化できますが、Splunk ESのIntelligence Managementと組み合わせることで、効果と効率を向上させることができます。前処理され正規化されたインテリジェンスを内外のソースから取り込んで、トリアージを迅速化し、プレイブックを合理化できます。

アダプティブレスポンスアクション

アダプティブレスポンスアクションは、生成された重要イベントに対して手動または自動で実行できるアクションです。

これらのアクションを使えば、重要イベントを調査する際のコンテキストの収集や、対応と修復をすばやく実行できます。Splunk SOARによる包括的なセキュリティオーケストレーション、自動化、対応ソリューションを取り入れる前に、一部のプロセスだけを自動化するための基盤としても役立ちます。

プレイブック

Visual Playbook Editorと入力プレイブック

コーディングの初心者でも、Pythonのエキスパートでも、プレイブックの作成やカスタマイズができます。Visual Playbook Editorでは、事前構築済みのコードブロックとアクションストリングを使って独自のワークフローを簡単に構築し、プレイブックを効率的に作成できます。基本的なITタスクの入力プレイブックも用意されており、それをより規模の大きいプレイブックやセキュリティワークフローに組み込むこともできます。事前構築済みの幅広いプレイブックを利用して、自動化をすぐに始められます。

ロジックループ

ロジックループを使うと、処理を繰り返すループ機能が必要なプレイブックを構築および管理する際に独自のコードを記述する必要がなくなり、作業が容易になります。この反復機能を使用すれば、プレイブックのアクションが失敗した場合の再試行や、成功した場合のプレイブックの続行を自動化できます。この機能は、不正なURLの隔離と修復を行うサンドボックスエンジンや、フォレンジック調査ワークフローなどのユースケースに使用できます。

カスタム関数

カスタム関数を使って、独自のコードをプレイブック間で共有しながら、複雑なデータオブジェクトを実行パスに組み込むことができます。これらは事前構築済みのカスタムブロックとして提供され、事前構築済みのプレイブックほどではありませんが、時間と労力を節約できます。これらのブロックを使えば、コードを記述することなく自動化を拡張できます。

サードパーティツールの設定

Splunk SOARを使い始めるには、資産を設定する必要があります。資産とは、ファイアウォールやエンドポイントなど、Splunk SOARで調査するセキュリティ資産やインフラ資産を指します。Splunk SOARは、これらの資産にAppを通じて接続します。Appによってサードパーティのセキュリティ製品やツールを統合することで、プラットフォームを拡張できます。

App Editor

Splunk SOARでは、構築済みのAppを利用するだけでなく、組織にとって重要なユースケースに合わせて独自のAppを作成することもできます。Splunk SOARのApp Editorを使えば、コードの表示と追加、アクションのテスト、ログの結果確認、トラブルシューティングを簡単に行えます。Appの動作をさらに可視化し、イテレーション開発を行うことで、SOCの進化とともにAppを進化させ、新たなニーズに対応できます。

App

Splunkbaseのコネクターカタログから、300以上のサードパーティツールとのインテグレーションと、2,800以上の自動アクションを入手できます。これらを利用すれば、既存のスタックを置き換えることなく、複数のチームやツールをまたぐ複雑なワークフローを調整して連携できます。Splunk SOARのAppはすべて、Splunkbaseからダウンロードできます。