セキュリティオーケストレーションとチケット管理

インシデントの文書化

セキュリティインシデントは、チケット管理システム、または SOAR(Security Orchestration, Automation and Response) ソリューションを使って文書化してください。各セキュリティインシデントの管理には、進捗追跡用のチケットが必要です。これには一般的なチケット管理システムか、より高度な機能を持つ SOAR ソリューションを使用します。SOAR は単なるチケッティング以上の機能を提供し、セキュリティ対応プロセス全体を自動化・効率化します。

重要な推奨事項

  1. チケットが確認されていない場合や SLA が過ぎた場合は、自動的にエスカレーションされるようにします。
  2. 所有権: チケットを受け取った者が、他の誰かがチケットの所有権を引き継ぐまで対応責任を負います。セキュリティ問題は、単にメールボックスに送信して引き継ぐだけではいけません。他のチームに確実に引き継がれ、遅延なく作業を続けるために必要な情報とコンテキストがあることを確認してください。
  3. チケットで行われた重要なアクションはすべて、学習とフォレンジックのために文書化します。
  4. 侵害の兆候 (IoC: Indicators of Compromise)を分析し、以前のセキュリティ問題や外部の脅威インテリジェンスデータベースと確認し、潜在的な攻撃者とその戦術を特定します。
  5. 改善すべき領域を特定し、時間とともに進捗状況を測定するためのメトリクスと KPI を作成します。
    1. チケットのステータスを使って、1.検出 2.分析 3.封じ込め 4.根絶 5.復旧のどの段階にあるかを管理します。
    2. インシデント対応プロセスの各段階で完了するのにかかった時間を分析します。
    3. 月次または四半期ごとのレポートを作成します。
  6. 可能であれば、インシデントに関連するアセットについての情報をチケットに自動的に付加し、コンテキストを豊富にします。生成 AI の理解能力が役立つ可能性があります。

SOAR ソリューション

主要な SOAR ソリューションには、AWS Security Hub との統合や、AWS 全般でアクションを実行する機能があります。一部はチケット管理に重点を置き、一方で自動化機能に重点を置くものもあります。

Splunk SOAR (Phantom)

Splunk は、Amazon EventBridge を利用して AWS Security Hub の検出結果を SQS キューに転送し、Splunk SOAR がそのキューから検出結果を取得することで、AWS Security Hub との双方向の統合を実現しています。また、Splunk SOAR は IAM 認証情報を使って AWS Security Hub とやり取りします。

Palo Alto Networks: Cortex XSOAR

Palo Alto Cortex XSOAR には、AWS Security Hub、AWS Network Firewall、AWS Lambda、Amazon Security Lake などの多くの AWS サービスと統合するための「パック」とドキュメントがマーケットプレースに用意されています。