QRadar SOARの主要な機能の詳細

ケース管理との一貫性のあるコラボレーション

適切な人が適切なタイミングで適切な情報を入手できるようにすることが、インシデント対応には非常に重要です。 IBM Security™ QRadar® SOARは、セキュリティー・チームに、プラットフォーム内での通知と情報共有を可能にする、堅固なケース管理機能を提供します。 また、一般的なコラボレーション・ツールとの統合により、SOCの枠を越えて、IT、法務、コミュニケーション、人事などの部門内の主要なプレイヤーにまで、コミュニケーション機能を拡張します。

プレイブック・デザイナーでプレイブックを作成、編集、カスタマイズ

単一のロケーションで詳細なタスクとワークフロー要素を作成し、コーディングを行わずに脅威データやエンリッチ・データの処理と変換を素早く行うことができるため、インシデントに迅速に対応できます。 また、ケースにデータを提供する定義済みの構成可能なブロックや、組み込みの入門用エクスペリエンスと状況に応じたヘルプにより、迅速な意思決定を行えます。

AppHostを使用した迅速な統合のインストールと実装

IBM® App Exchangeを通じて公開された、160を超えるアプリケーション(IBMにより検証済みの、サード・パーティーがサポートするアプリケーションやコミュニティーのアプリケーション)によって形成される、大規模なオーケストレーションと自動化のエコシステムにより、IBM Security QRadar SOARは、他の多数のセキュリティー・ツールとの統合を可能にします。 IBM Security QRadar SOARの新しい統合サーバーであるAppHostにより、設定と構成の編集を可能にするステップバイステップのインストール・プロセスで、アプリケーションのインストールと構成を迅速かつ簡単に行うことができます。

インシデント間の関係の視覚化と理解

成果物の可視化グラフを活用すると、インシデント間の関係や、各インシデントに関連付けられた詳細情報をより適切に表示し、理解を深めることができ、その結果、より広範なキャンペーンや持続的標的型攻撃(APT)を明らかにすることができます。 関連する解決済みインシデントと未解決インシデントの情報は、IBM Security QRadar SOARのホバーおよびタイムライン・ビューにも表示されます。

動的プレイブックによる俊敏性とインテリジェンスのある対応

IBM Security QRadar SOARのプレイブックは動的で付加的なものです。つまり、インシデントの調査中に既知の事実が進展するに従って、プレイブックはインシデントに適応し、変化します。 このダイナミズムは、セキュリティー・オペレーション・センター(SOC)のアナリストにとって非常に重要です。これは、このダイナミズムが、推奨される行動指針と、イベントの変化に応じて方向転換するための俊敏性をチームに提供することによって、チームのインシデント対応能力を高めるからです。

主要な指標の追跡による戦略的ビジネス決定の通知

IBM Security QRadar SOARの包括的なダッシュボードとレポート作成機能を使用して、インシデントとユーザーに関する指標やKPI(検知までの平均時間(MTTD)、対応までの平均時間(MTTR)など)を追跡できます。 その結果と分析に基づいて、お客様は新入社員のトレーニング、新しいワークフローやインシデント対応計画のテスト、あるいはさまざまなサイバー脅威シナリオの実践のためのシミュレーションを実行することもできます。

視覚的なワークフローによって複雑なプロセスをシンプルに

ワークフローは、組織のインシデント対応プロセスを体系化して、お客様が自動化を活用して反復的なタスクを排除し、オーケストレーションを活用して他のセキュリティー・ツールとの統合を実行し、さらには人間のインテリジェンスを活用して意思決定を行うことを可能にします。 ビジュアル・ワークフロー・エディターを使用すると、お客様のチームは、特別なプログラミング・スキルやコーディング・スキルを必要としないBusiness Process Management Notation(BPMN)エンジンを使用して、複雑なワークフローを設計・構築できます。 プレイブック機能は、単一または複数の個別のワークフローで構成されています。

プライバシーのユースケースとQRadar SOARプラットフォームの統合

IBM Security QRadar SOAR with Privacyを使用すると、プライバシー侵害の複雑な報告要件と、コンプライアンス標準について、増え続ける課題を把握しながらこれらの要件や標準に対応・準拠できます。 このソリューションの核となる、プライバシー規則のグローバル知識ベースは、170を超える世界中の規則(GDPR、PIPEDA、HIPAA、CCPA)、さらには規定された50すべての侵害通知ルールを追跡し、侵害通知プロセスを通じてお客様のチームにガイダンスを提供します。

製品仕様

技術仕様

IBM Security QRadar SOARには、Red Hat Enterprise Linux 7.4から7.7以上が必要です。

ソフトウェア要件

IBM Security QRadar SOARのWebサイトにアクセスするには、Firefox、Chrome、Edge、Safariの最新バージョンでログインする必要があります。

ハードウェア要件

IBM Security QRadar SOARには、4つのCPUコア、16GBのメモリー、最小100GBのディスク・スペースを備えたサーバーが必要です。

IBM Security QRadar SOAR on Cloud

ユースケース

アラート・トリアージ

2つの円グラフと1つの棒グラフのスクリーン・ショット

アラート・トリアージ

問題点
セキュリティー・アナリストは、毎日多くのアラートを管理します。このような状況では、アナリストが疲れて、真の信号とノイズを正しく見分けてアラート・トリアージを効果的に行うことが困難になる場合があります。

ソリューション

SOARプラットフォームは、アラートによってもたらされる疲労を軽減して、セキュリティー運用を改善します。 IBM Security QRadar SOARを使用すると、SIEMから直接アラートをエスカレーションするとともに、重大度レベルの低いアラートへの対応を自動化することができ、アラート処理の最適化につながります。

インシデント強化

視覚的なワークフローのスクリーン・ショット

インシデント強化

問題点
アラートにコンテキストを追加し、その重大度を判別するための情報収集には、非常に時間がかかる場合があります。これは、この作業では、アナリストが他のツールを探さなければならないからです。

ソリューション
IBM Security QRadar SOARは、その強力なオーケストレーション機能によって、多数のセキュリティー・ツールと統合できます。 これにより、自動的なインシデント強化が可能になり、調査にかかる時間を短縮したり、アナリストが分析や対応に集中できるようになります。

フィッシング自動対応

プレイブックのスクリーン・ショット

フィッシング自動対応

問題点
組織に重大な損害を与える可能性のあるフィッシング攻撃が増えてきています。 このため、セキュリティー・チームには、フィッシングの可能性のある攻撃に関連するアラートの量が増えていることが分かってきています。

ソリューション
IBM Security QRadar SOARを使用すると、セキュリティー・チームは、組織の標準的な運用手順に沿ったガイド付きインシデント対応計画であるフィッシング・プレイブックを作成・実装して、フィッシング・インシデントを効率的かつ効果的に解決できます。

脆弱性管理

IBM Security ResilientとRed Hat Ansible Automationの統合

IBM Security ResilientとRed Hat Ansible Automationの統合(03:08)

脆弱性管理

問題点
脆弱性は、それを悪用するのがどの程度簡単かによってリスク・レベルが異なります。そのため、セキュリティー・チームは、IT部門と緊密に連携して重要な脆弱性を素早く特定し、パッチを適用する必要があります。

ソリューション
IBM Security QRadar SOARを使用すると、セキュリティー・チームとITチームの間の隔たりをなくしてコラボレーションを改善できます。IBM Security QRadar SOARは、Red Hat Ansibleと統合して修復の自動化と迅速化を実現します。またチケット発行システムとも統合して複数のチーム全体でのタスクの追跡・管理を行えます。

コンプライアンス要件に対応

IBM Security SOARによる侵害への対応

IBM Security SOARによる侵害への対応(08:06)

コンプライアンス要件に対応

問題点
変化するデータ漏えいの報告要件や規則の最新情報を常に把握したり、監査時に関係当局向けに包括的な報告書を迅速に作成することは困難な作業です。

ソリューション
IBM Security QRadar SOARは、プライバシーのユースケースを統合できる唯一のSOARプラットフォームです。 170を超える規制のグローバル・ライブラリーを備えたIBM Security Resilientは、漏えい通知プロセスを介してお客様チームをガイドし、詳細な監査に対応する報告書を生成します。

おすすめ関連製品

IBM Cloud Pak® for Security

セキュリティー・ツールを統合して、ハイブリッド・マルチクラウド環境全体の脅威に関する洞察を得ることができます。

IBM Security® X-Force® Incident Response and Intelligence Services

IBM Securityサービスの専門知識、スキル、担当員により、セキュリティー上の脅威をプロアクティブに管理します。

IBM Security® QRadar SIEM

インテリジェントなセキュリティー分析によって、重大な脅威に関する洞察を提供します。

IBM X-Force® Exchange

セキュリティー・ツールと統合し、すぐに使用可能な脅威インテリジェンスを使用して、セキュリティー調査を迅速化します。

IBM® Guardium® Data Protection

自動検出、分類、監視、コグニティブ分析の機能を利用して、機密データを保護します。