QRadar SOARの主要な機能の詳細
プレイブック・デザイナーでプレイブックを作成、編集、カスタマイズ
単一のロケーションで詳細なタスクとワークフロー要素を作成し、コーディングを行わずに脅威データやエンリッチ・データの処理と変換を素早く行うことができるため、インシデントに迅速に対応できます。 また、ケースにデータを提供する定義済みの構成可能なブロックや、組み込みの入門用エクスペリエンスと状況に応じたヘルプにより、迅速な意思決定を行えます。
AppHostを使用した迅速な統合のインストールと実装
IBM® App Exchangeを通じて公開された、160を超えるアプリケーション(IBMにより検証済みの、サード・パーティーがサポートするアプリケーションやコミュニティーのアプリケーション)によって形成される、大規模なオーケストレーションと自動化のエコシステムにより、IBM Security QRadar SOARは、他の多数のセキュリティー・ツールとの統合を可能にします。 IBM Security QRadar SOARの新しい統合サーバーであるAppHostにより、設定と構成の編集を可能にするステップバイステップのインストール・プロセスで、アプリケーションのインストールと構成を迅速かつ簡単に行うことができます。
インシデント間の関係の視覚化と理解
成果物の可視化グラフを活用すると、インシデント間の関係や、各インシデントに関連付けられた詳細情報をより適切に表示し、理解を深めることができ、その結果、より広範なキャンペーンや持続的標的型攻撃(APT)を明らかにすることができます。 関連する解決済みインシデントと未解決インシデントの情報は、IBM Security QRadar SOARのホバーおよびタイムライン・ビューにも表示されます。
動的プレイブックによる俊敏性とインテリジェンスのある対応
IBM Security QRadar SOARのプレイブックは動的で付加的なものです。つまり、インシデントの調査中に既知の事実が進展するに従って、プレイブックはインシデントに適応し、変化します。 このダイナミズムは、セキュリティー・オペレーション・センター(SOC)のアナリストにとって非常に重要です。これは、このダイナミズムが、推奨される行動指針と、イベントの変化に応じて方向転換するための俊敏性をチームに提供することによって、チームのインシデント対応能力を高めるからです。
主要な指標の追跡による戦略的ビジネス決定の通知
IBM Security QRadar SOARの包括的なダッシュボードとレポート作成機能を使用して、インシデントとユーザーに関する指標やKPI(検知までの平均時間(MTTD)、対応までの平均時間(MTTR)など)を追跡できます。 その結果と分析に基づいて、お客様は新入社員のトレーニング、新しいワークフローやインシデント対応計画のテスト、あるいはさまざまなサイバー脅威シナリオの実践のためのシミュレーションを実行することもできます。
視覚的なワークフローによって複雑なプロセスをシンプルに
ワークフローは、組織のインシデント対応プロセスを体系化して、お客様が自動化を活用して反復的なタスクを排除し、オーケストレーションを活用して他のセキュリティー・ツールとの統合を実行し、さらには人間のインテリジェンスを活用して意思決定を行うことを可能にします。 ビジュアル・ワークフロー・エディターを使用すると、お客様のチームは、特別なプログラミング・スキルやコーディング・スキルを必要としないBusiness Process Management Notation(BPMN)エンジンを使用して、複雑なワークフローを設計・構築できます。 プレイブック機能は、単一または複数の個別のワークフローで構成されています。
プライバシーのユースケースとQRadar SOARプラットフォームの統合
IBM Security QRadar SOAR with Privacyを使用すると、プライバシー侵害の複雑な報告要件と、コンプライアンス標準について、増え続ける課題を把握しながらこれらの要件や標準に対応・準拠できます。 このソリューションの核となる、プライバシー規則のグローバル知識ベースは、170を超える世界中の規則(GDPR、PIPEDA、HIPAA、CCPA)、さらには規定された50すべての侵害通知ルールを追跡し、侵害通知プロセスを通じてお客様のチームにガイダンスを提供します。
製品仕様
ソフトウェア要件
IBM Security QRadar SOARのWebサイトにアクセスするには、Firefox、Chrome、Edge、Safariの最新バージョンでログインする必要があります。
ハードウェア要件
IBM Security QRadar SOARには、4つのCPUコア、16GBのメモリー、最小100GBのディスク・スペースを備えたサーバーが必要です。
IBM Security QRadar SOAR on Cloud
IBM Security QRadar SOAR on Cloudは、セキュリティー、プライバシー、リスク・レベルを損ねることなく、迅速な拡大・展開を可能にして、クラウドを中心に据えた戦略をサポートします。 コンプライアンスにおける業界標準かつ国際規格となっている、以下の標準に準拠しています。
- ISO 27001、27017、27018
- IBM Cloud SOC 2タイプ2(SSAE 16)で稼働
ユースケース
アラート・トリアージ
アラート・トリアージ
問題点
セキュリティー・アナリストは、毎日多くのアラートを管理します。このような状況では、アナリストが疲れて、真の信号とノイズを正しく見分けてアラート・トリアージを効果的に行うことが困難になる場合があります。
ソリューション
SOARプラットフォームは、アラートによってもたらされる疲労を軽減して、セキュリティー運用を改善します。 IBM Security QRadar SOARを使用すると、SIEMから直接アラートをエスカレーションするとともに、重大度レベルの低いアラートへの対応を自動化することができ、アラート処理の最適化につながります。
インシデント強化
インシデント強化
問題点
アラートにコンテキストを追加し、その重大度を判別するための情報収集には、非常に時間がかかる場合があります。これは、この作業では、アナリストが他のツールを探さなければならないからです。
ソリューション
IBM Security QRadar SOARは、その強力なオーケストレーション機能によって、多数のセキュリティー・ツールと統合できます。 これにより、自動的なインシデント強化が可能になり、調査にかかる時間を短縮したり、アナリストが分析や対応に集中できるようになります。
フィッシング自動対応
フィッシング自動対応
問題点
組織に重大な損害を与える可能性のあるフィッシング攻撃が増えてきています。 このため、セキュリティー・チームには、フィッシングの可能性のある攻撃に関連するアラートの量が増えていることが分かってきています。
ソリューション
IBM Security QRadar SOARを使用すると、セキュリティー・チームは、組織の標準的な運用手順に沿ったガイド付きインシデント対応計画であるフィッシング・プレイブックを作成・実装して、フィッシング・インシデントを効率的かつ効果的に解決できます。
脆弱性管理
IBM Security ResilientとRed Hat Ansible Automationの統合(03:08)
脆弱性管理
問題点
脆弱性は、それを悪用するのがどの程度簡単かによってリスク・レベルが異なります。そのため、セキュリティー・チームは、IT部門と緊密に連携して重要な脆弱性を素早く特定し、パッチを適用する必要があります。
ソリューション
IBM Security QRadar SOARを使用すると、セキュリティー・チームとITチームの間の隔たりをなくしてコラボレーションを改善できます。IBM Security QRadar SOARは、Red Hat Ansibleと統合して修復の自動化と迅速化を実現します。またチケット発行システムとも統合して複数のチーム全体でのタスクの追跡・管理を行えます。
コンプライアンス要件に対応
IBM Security SOARによる侵害への対応(08:06)
コンプライアンス要件に対応
問題点
変化するデータ漏えいの報告要件や規則の最新情報を常に把握したり、監査時に関係当局向けに包括的な報告書を迅速に作成することは困難な作業です。
ソリューション
IBM Security QRadar SOARは、プライバシーのユースケースを統合できる唯一のSOARプラットフォームです。 170を超える規制のグローバル・ライブラリーを備えたIBM Security Resilientは、漏えい通知プロセスを介してお客様チームをガイドし、詳細な監査に対応する報告書を生成します。
おすすめ関連製品
IBM Security® X-Force® Incident Response and Intelligence Services
IBM Securityサービスの専門知識、スキル、担当員により、セキュリティー上の脅威をプロアクティブに管理します。