QRadar SOAR Playbook Designerを使用すると、標準のインシデント対応プロセスまたは一連のタスクを簡単に構築できます。プレイブック・タスクは、各タスクを完了する方法とタスクを実行する順序に関するガイダンスをアナリストに提供します。決定ポイントを使用すると、プロセスを動的に分岐して、追加のタスクを含めたり、不要なタスクをスキップしたりできます。インシデント中に、アナリストが追加のタスクを手動で追加できます。

Qradar SOAR Breach Responseモジュールは、アナリストに180を超えるグローバルなプライバシー規制をカバーする侵害固有のタスクを提供し、報告要件を満たし、多額の罰金を回避するのに役立ちます。

タスクはアクションを定義し、アクションはオートメーションを他のツールと統合で実行して、応答プロセスを加速できます。QRadar SOAR は、 300 を超えるセキュリティー・ソリューションと統合できます。タスクのセットとタスクの実行順序を定義することから始めて、最初に最も一般的に実行されるアクションを自動化することができます。

自動化された脅威検出と脅威ハンティングにより、アナリストによるレビューが必要なアラートが提供されます。これらのアラートを QRadar SOAR に送信すると、ケースが作成され、インシデント・レスポンス (IR) プロセスが開始されます。

タスクは、セキュリティー・チームが感染したシステムを分析し、横方向の移動についてネットワーク・トラフィックを分析するのを支援します。

プレイブックは、インシデントやソースの種類によって異なる可能性がある適切なタスクのセットを作成するのに役立ちます。QRadar SOAR を使用すると、さまざまなタイプの攻撃用のプレイブックを作成できます。プレイブックには、攻撃の属性に基づいてさまざまなタスクをトリガーするロジックが含まれています。

SOAR ケースの作成が早ければ早いほど、オートメーションにより時間の節約につながります。タスクは、新しいアナリストをガイドし、ケースのドキュメントを作成できます。アーカイブ機能は、古いケースや誤検出を一掃し、システムをクリーンな状態に保ちつつ、いつでも検索できる永久的な記録を可能にします。

このフェーズでは、アナリストはアラートが本物かどうかを調査して判断する必要があります。タスク・ガイダンスでは、アクションを使用して、接続されている複数のツールから詳細を自動的に収集し、すべての関連情報を収集できます。情報はケース・データ・テーブルに追加され、これによりインシデントの文書化プロセスが開始されます。

エンリッチメントは、LDAP ディレクトリに移動してノートパソコンの所有者をケースに追加するか、アラート・ソース ( SIEM 、EDR、クラウドなど) からすべての関連詳細を収集するだけで簡単に行うことができます。プレイブック・アクションによるエンリッチメントを自動化することで、アナリストはインシデントのレビューと確認、またはインシデントを誤検知としてマークすることに集中できます。

データが失われた場合、影響を受ける個人とその地域の数を記載した侵害対応アンケートに回答すると、適用される規制と関連する応答時間とレポートタスクを決定するのに役立ちます。

攻撃中は時間が最も重要であり、アクションを自動化することで時間を節約し、新人アナリストの学習曲線を短縮することができる。300を超えるインテグレーションとオープン・スタンダードのサポートにより、封じ込めアクションの自動化が最優先されます。アナリストがインシデントを確認すると、アクションはアナリストによって自動または手動で実行されます。このフェーズのアクションにより、システムがオフラインになったり、プロセスの実行が停止したりする可能性があります。QRadar EDRやCybereasonなどのEDRツールとの統合により、従業員のノートPCをオフラインにすることもできます。

給与や人事などのITシステムの場合、オートメーションはServiceNowやSAPなどの資産管理ツールでシステムITとビジネスオーナーを検索することができます。オートメーションは、システムが感染していることを伝えるために、オーナーにEメールを送信し、オーナーがEメールまたはSlackを通じて通知されたことを示すコメントとともにケースデータ表にオーナーを追加することができる。

プレイブックは動的にできるため、エグゼクティブ・ノートPC などの価値の高いターゲットの場合、時間はクリティカルになり、プレイブックは封じ込めアクションを実行できますが、アナリストはエンリッチメントと検証フェーズ中にタスクを続行できます。攻撃の詳細が確認された後、アクションはEDR(エンドポイントの検知と対応) インテグレーションを使用してファイアウォールのブロックリストの更新を自動化し、水平移動や再侵入を防ぎ、アナリストの時間を節約できます。

このフェーズでは、セキュリティー・チームは残りのリカバリー・アクションを促進し、チーム全体にインシデントの解決策を伝達できます。アナリストは、マシンの再イメージ化やバックアップからの復元を求める IT へのリクエストを作成および追跡するアクションを自動化できます。

ServiceNow などのツールとの双方向統合により、アナリストは QRadar SOAR からチケットを作成し、進行状況を監視できます。ServiceNow チケットが完了すると、ServiceNow はケースを更新できます。QRadar EDR、Carbon Black、SentinelOne などの EDR ソリューションを要求するアクションを自動化し、システムをオンラインに戻すこともできます。

学んだ教訓
レポートでは、各対応と実行されたアクションに関する文書が要約されます。インシデント・レポートは、すべての適切な文書がケースの一部であることを確認するためにレビュー用に要約されます。データ侵害の場合、適用される規制を見直すことで、組織が関連する報告スケジュールを遵守し続けることができます。

アナリストはフェーズを確認し、将来のインシデント対応を改善するために更新する必要がある問題を文書化します。これは、アナリストがバックアップの頻度の変更などの改善を文書化して推奨する場合、または将来のインシデントのためにプレイブックに追加する必要があるケースに追加された手動タスクを確認する場合です。

レポートは、インシデント対応プロセスのどこを改善できるかを理解するのに役立ちます。セキュリティー・チームは、QRadar SOAR プラットフォームを使用して「Generate Incident Report」できます。ここから、アナリストは単一のインシデントまたは複数のインシデントに関するレポートを生成できます。標準テンプレートを使用してレポートをフォーマットしたり、特定のニーズに合わせてレポートをカスタマイズしたりできます。