インテリジェントなプレイブックによるインシデント対応プロセスの定義と迅速化
インシデント対応プロセスの定義
サイバーセキュリティーのインシデントに対応する際には、一刻一秒を争います。適切なデータに基づいて、適切な意思決定者とともに、適切な順序で正しい意思決定を行う必要があります。迅速に対応するためには、明確に定義された効率的なインシデント対応計画を立てることが不可欠です。
明確に定義されたインシデント対応(IR)計画には、タイムリーで正確な対応を保証するための計画やスキル、コーディネート、オートメーションが必要です。NISTは、時の試練に耐えてきたIRガイドラインを概説しています。明確に定義されたIRプロセスには、次の段階が必要です。
準備
検知と分析
封じ込め、根絶、復旧
インシデント後のアクティビティ
IBM QRadar SOARは、強力なIRプロセスを定義し、実行するための力を組織に与えます。インテリジェンスとオートメーションを備えた導入により、QRadar SOARはサイバーセキュリティー・インシデントに対するチームの迅速かつ決定的な対応を支援するために必要な段階とタスクやアクションの単純な階層を使用します。
仕組み
ランサムウェア、フィッシング、高度なサイバー脅威などによる攻撃を受けたときは、一刻を争う事態になります。QRadar SOARのオートメーション機能は、時間を節約し、新しいアナリストの学習曲線を短縮することができます。動的なプレイブックは、脅威の変化する性質を反映して進化します。同時に、IBM App Exchangeでの300以上の統合や、オープン標準とカスタム統合のサポートにより、QRadar SOARは応答を自動化および加速して、影響を最小限に抑えることができます。
数千ものオープンソースのシグマ・ルールがネイティブにサポートされているため、セキュリティー・アナリストは脅威の進化に応じて、新しい検証済みのクラウドソーシングの指示をセキュリティー・コミュニティから直接素早くインポートできるようになりました。
サイロ化されたすべてのデータにアクセスできるようにして、脅威の調査を強化します。フェデレーション検索により、いずれかのミッションクリティカルなデータをSIEMに取り込むか、データが存在する場所で検索するかを選択できる、コスト効率の高い柔軟性が得られます。
IBM Security QRadar SOAR内から直接レポートを生成
セキュリティー・インシデントが解決されると、QRadar SOARにより、復旧を完了するためのインシデント後のさまざまなアクティビティーを容易に実行できます。これには修復アクションの自動化、または改善点を特定するために、実行された対応手順のドキュメントを生成し、将来的に組織をより適切に保護することも含まれます。 データ侵害が発生した場合、QRadar SOAR Breach Response Moduleは、コンプライアンスを維持し、高額な罰金を回避するのに役立ちます。
「IBM のおかげで、私たちはリアルタイムで 24 時間の世界を正確に把握できるようになりました。すべてのエンドポイント、すべてのシステムを確認できます。これにより、チーム間のコラボレーションがより効率的になりました。」と DDI の最高執行責任者である Robert Oh 氏は述べています。
「SOCが効果的であるためには、最も差し迫ったセキュリティー・リスクへの対応に優先順位を付ける能力が、検出とほぼ同じくらい重要です。QRadar ソリューションのおかげで、私たちのチームは脅威の状況にはるかに効果的に対処できるようになりました。」と Askari Bank のセキュリティー・オペレーション・センター部門責任者の Umair Shakil 氏は述べています。
「当社の Netox Trust サイバーセキュリティー・サービスは、[customers'] 未知の情報を可視化します。また、当社のプレイブックは、攻撃発生時の対応に役立ちます。」と Netox Oy のサイバーセキュリティー担当シニア・マネージャー、Marita Harju 氏は述べています。