主要な機能 - IBM Security QRadar SOAR

QRadar SOARはプレイブックを使用して主要なタスクを自動化

プレイブックは、すべてのアナリストに一貫したユーザー体験を提供することで、主要なタスクを自動化し、アナリストの生産性を向上させます。TalkTalk社では、SOARのプレイブックを使用することで、ケースの解決が8倍速くなりました。QRadar SOARは、数百の事前構築された統合機能を使用して、ケースの調査と解決手順を簡単に自動化できます。

TalkTalk社のお客様事例を読む

主な機能の詳細

適切な人材が適切なタイミングで適切な情報を得ることは、インシデント対応にとって非常に重要です。IBM Security QRadar SOARは、プラットフォーム内の通知と情報共有を可能にする強力なケース管理機能をセキュリティー担当者に提供します。また、一般的な連携ツールと統合することで、セキュリティー・オペレーション・センター（SOC）だけに留まらず、IT、法務、通信、人事などの主要な担当者を巻き込んで、コミュニケーションを拡大できます。

ユーザーは、1つの場所から詳細なタスクとワークフロー要素を作成し、コーディングなしで脅威データやエンリッチ化データを迅速に処理、変換して応答時間を短縮できます。これにより、ケースにデータを提示し、組み込みの「入門用」エクスペリエンスと状況に応じたヘルプを提供する定義済みの構成可能なブロックを使用して、迅速な意思決定を行えます。

IBM App Exchangeを通じて公開された、160以上のIBMにより検証済みの、サード・パーティーがサポートするアプリケーションやコミュニティーのアプリケーションによって形成された、広範な編成と自動化のエコシステムにより、IBM Security QRadar SOARは他の多数のセキュリティー・ツールとの統合を可能にします。IBM Security QRadar SOARの新しい統合サーバーであるAppHostは、編集可能な設定と構成を可能にする段階的なインストール・プロセスで、アプリケーションのインストールと構成を迅速かつ簡単にします。

資料はこちら

成果物の可視化グラフを使用して、インシデント間の関係や、各インシデントに関連する詳細情報を明確に表示し、理解を深めることで、より広範なキャンペーンや高度な標的型攻撃（APT）の検出に役立ちます。関連する解決済みインシデントと未解決インシデントの情報は、IBM Security QRadar SOARのホバーおよびタイムライン・ビューにも表示されます。

IBM Security QRadar SOARのプレイブックは動的で付加的なものです。つまり、インシデントの調査中に既知の事実が進展するに従って、プレイブックはインシデントに適応して変更します。この動的な変更は、SOCアナリストにとって非常に重要です。これは、推奨される行動指針と、イベントの変化に応じて対処するための俊敏性をチームに提供することによって、インシデントに対応する能力が強化されるためです。

IBM Security QRadar SOARの包括的なダッシュボードとレポート機能を使用して、平均検知時間（MTTD）や平均対応時間（MTTR）を含むインシデントとユーザーに関する指標とKPIを追跡します。その結果と分析に基づいて、新入社員のトレーニング、新しいワークフローやインシデント対応計画のテスト、あるいはさまざまなサイバー脅威シナリオの実践のためのシミュレーションを実行できます。

ワークフローは、組織のインシデント対応プロセスを体系化して、自動化を使用して反復的なタスクを排除し、他のセキュリティー・ツールと統合する調整を行い、人的インテリジェンスを活用した意思決定を可能にします。ビジュアル・ワークフロー・エディターを使用すると、特別なプログラミング・スキルやコーディング・スキルを必要としないビジネス・プロセス管理表記（BPMN）エンジンを使用して、複雑なワークフローを設計および構築できます。プレイブックは、単一または複数の個別ワークフローで構成されます。

IBM Security QRadar SOAR with Privacyを使用して、複雑なプライバシー侵害の報告要件に対処し、コンプライアンス基準を満たすために、増え続ける課題に対応します。このソリューションの中核となるグローバル・プライバシー規則の知識ベースでは、GDPR、PIPEDA、HIPAA、CCPA、および50の違反通知ルールすべてを含む170以上のグローバル規則を追跡し、違反通知プロセスを通じてお客様のチームにガイダンスを提供します。

製品仕様

柔軟な導入オプションには、オンプレミス、IaaS、SaaSがあります。

技術仕様

IBM Security QRadar SOARには、Red Hat Enterprise Linux 7.4から7.7以上が必要です。

資料はこちら

ソフトウェア要件

IBM Security QRadar SOARのWebサイトにアクセスするには、Firefox、Chrome、Edge、Safariの最新バージョンでログインする必要があります。

ハードウェア要件

IBM Security QRadar SOARには、4つのCPUコア、16GBのメモリー、最小100GBのディスク容量を備えたサーバーが必要です。

IBM Security QRadar SOAR on Cloud

IBM Security QRadar SOAR on Cloudは、クラウドを中心に据えた戦略をサポートし、セキュリティー、プライバシー、リスク・レベルを損なうことなく迅速に拡張、導入できます。IBM Security QRadar SOARコンプライアンスにおける業界標準かつ国際規格となっている、以下の標準に準拠しています。

ISO 27001、27017、27018
IBM Cloud SOC2 Type 2（SSAE 16）での稼働

お客様事例

Doosan Digital Innovation（DDI）社

DDI社はIBM Security Radar SOARを使用して、脅威の反応を加速し、応答時間を85％近く短縮しました。

Silverfern IT社

Siverfern IT社は、IBM Security Radar SOARを使用して、セキュリティー・インシデントのライフサイクル全体を管理しています。

TalkTalk社

英国の代表的なブロードバンド・プロバイダーであTalkTalk社は、IBM Security Radar SOARを使用して問題を8倍早く解決しました。

ユースケース

アラートの優先順位付け

セキュリティー・アナリストは、毎日多数のアラートを管理しているため、アナリストの疲弊が発生し、真の信号とノイズを正しく見分けてアラートの優先順付けを効果的に行うことが困難になる場合があります。 SOARプラットフォームは、アラートによってもたらされる疲労を軽減し、セキュリティー運用を改善します。IBM Security QRadar SOARを使用すると、SIEMから直接アラートをエスカレーションし、低レベルのアラートへの応答を自動化できるため、アラート処理を最適化できます。

インシデント対応の強化

アラートにコンテキストを追加し、その重大度を判断するための情報を収集するには、アナリストが他のツールで検索する必要があるため、非常に時間がかかることがあります。IBM Security QRadar SOARは、強力な編成機能を通じて、数多くのセキュリティー・ツールと統合します。これにより、自動的なインシデント対応の強化が可能になり、調査時間が短縮され、アナリストは分析と応答に集中できます。

自動化されたフィッシング対応

組織に重大な損害を与える可能性のあるフィッシング攻撃は増加傾向にあり、セキュリティー・チームはそれらに関連するアラートをより大量に目にしています。IBM Security QRadar SOARを使用すると、セキュリティー・チームは、組織の標準的な運用手順に沿ったインシデント対応計画であるフィッシング・プレイブックを作成、実装し、フィッシング攻撃のインシデントを効率的かつ効果的に解決できます。

脆弱性の管理

脆弱性は、それらを悪用することがどの程度容易かによってリスク・レベルが異なります。セキュリティー・チームは、重大な脆弱性を迅速に特定してパッチを適用するために、IT部門と緊密に連携する必要があります。IBM Security QRadar SOARを使用すると、セキュリティー・チームとITチームの間の隔たりをなくして連携を強化できます。IBM Security QRadar SOARは、Red Hat Ansibleと統合して、修復の自動化と迅速化を実現します。またチケット発行システムとも統合して、複数のチーム全体でのタスクを追跡、管理できます。

コンプライアンス要件に対応

変化するデータ漏えいの報告要件や規則の最新情報を常に把握したり、監査時に関係当局向けに包括的な報告書を迅速に作成することは困難な作業です。IBM Security QRadar SOARは、プライバシーのユースケースを統合できる唯一のSOARプラットフォームです。170以上の規制を網羅したグローバル・ライブラリーを使用して、違反通知プロセスを介してお客様チームをガイドし、詳細な監査に対応するレポートを生成できます。