Security Centerが提供するSecurity Orchestration Automation Response (SOAR) は、さまざまなシステムとサービスが特定のロジックに基づいて調整され、接続される包括的なセキュリティソリューションです。 このソリューションは、セキュリティO&M時の自動オーケストレーションと迅速な対応をサポートし、企業がセキュリティ防御機能を強化し、セキュリティイベントへの対応効率を向上させるのに役立ちます。 このトピックでは、SOARの使用方法について説明します。
背景情報
日常のセキュリティ業務では、セキュリティ専門家は、セキュリティ関連のレビュー、トロイの木馬やマイニングプログラムの処理など、多くの些細な操作を実行する必要があります。 セキュリティの専門家は、企業の内部環境やカウンターパートの情報に精通しており、攻撃者の行動パターンを研究するための知識を備えていても、ネットワーク攻撃や防衛慣行、セキュリティ調査などの重要な取り組みに専念することはできません。
SOARは、日常業務を自動化および合理化し、セキュリティイベントへの対応を加速するように設計されています。 これにより、セキュリティ専門家は面倒で些細な作業から解放され、セキュリティ専門家が高度な永続的脅威 (APT) の処理に集中できるようになります。 毎日のルーチンから得られるプロセスは、SOARで解釈可能かつ実行可能な標準として蓄積することができ、他の人のためのベストプラクティスとして使用することができる。
用語
SOARを始める前に、SOARに関連する用語を理解しておく必要があります。 次の表では、用語を紹介します。
期間 | 説明 |
プレイブック | プレイブックは、特定の種類のイベントまたは脅威を処理するように設計された、定義済みの構造化された応答プランです。 プレイブックは、特定のセキュリティイベントが検出されたときなど、特定の条件がトリガーされたときに実行する必要がある手順とアクションの概要を示します。 自動応答ルールのアクションとしてPlaybookの実行を指定し、アラートとイベントを自動的に処理するプレイブックを選択できます。 プレイブックは1つのプロセスのみで構成されます。 プロセスのバージョン管理の実装、入出力テストの実施、プロセスの実行回数の追跡、およびプロセス結果の分析を行うことができます。 |
プロセス | プロセスは、連続的に実行される一連のタスクまたはアクションである。 プロセスは、所定のステップを実行することによって特定の目標を達成するか、または特定の機能を実装するように設計される。 自動化されたプロセスは、標準のフローチャートを描くのと同じ方法で作成できます。 自動化されたプロセスには、開始、判断、アクション、および終了ノードが含まれます。 自動通知プロセスや自動即時修復プロセスなど、さまざまな自動プロセスを作成できます。 プロセスは、互いに接続された複数のコンポーネントで構成されています。 プロセスは、作成後にトリガーできます。 たとえば、チケットが作成された後、自動チケットレビュープロセスがトリガーされます。 キャンバス上のプロセスを視覚化された方法で編集し、プロセス内の各コンポーネントのアクションを定義できます。 たとえば、端末管理コンポーネントのネットワーク無効化アクションを定義できます。 |
コンポーネント | コンポーネントは、Webアプリケーションファイアウォール (WAF) 、クラウドファイアウォール、チケットシステム、データベースサービス、通知サービスなどの外部システムまたはサービスに対応します。 拡張可能なコンポーネントは、より多くのサービス機能を提供します。 コンポーネントは、外部システムまたはサービスに接続するコネクタとして解釈できます。 コンポーネントには複雑なロジックは含まれません。 複雑なロジックは、コンポーネントに接続されている外部システムまたはサービスによって提供されます。 コンポーネントを選択した後、コンポーネントのアセットとアクションを選択する必要があります。 コンポーネントは、プロセスオーケストレーションコンポーネント、基本オーケストレーションコンポーネント、およびセキュリティアプリケーションコンポーネントに分類されます。 |
アセット | アセットは、外部サービスのリソースとして解釈できます。 例としてMySQLコンポーネントを取り上げます。 企業は、複数のMySQLデータベースを使用することができる。 MySQLコンポーネントを使用する場合は、接続するデータベースを決定する必要があります。 |
action | アクションは、コンポーネントによって提供される機能のタイプである。 各コンポーネントは複数のアクションを持つことができます。 例えば、端末管理コンポーネントは、アカウントの無効化、ネットワークの隔離、および通知の送信などのアクションをサポートする。 |
ステップ1: プレイブックを作成する
プレイブックは、事前定義された論理プロセスまたはスクリプトであり、セキュリティイベントの識別、分類、判断、および応答に役立ちます。 プレイブックには複数のステップが含まれており、特定の操作を実行して脅威が存在するかどうか、脅威にどのように対応して脅威の影響を軽減するかを判断するために使用されます。 さまざまなセキュリティ要件を満たすように、セキュリティイベントの種類と脅威レベルに基づいてプレイブックを調整できます。 SOARは、プレイブックによってセキュリティイベントへの応答の効率と一貫性を向上させるのに役立ちます。
Security Center コンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、を選択します。
[カスタムプレイブック] タブで、スクリプトの新規追加 をクリックします。
スクリプトの新規追加パネルで、プレイブックの名前と説明を入力します。 次に、[OK] をクリックします。
スクリプトの編集 ページで、プレイブックのコンポーネントを調整します。
いいえ
説明
1
さまざまな操作のエントリポイントが表示される上部のメニューバー。
保存: オーケストレーションが完了したら、保存 をクリックしてプレイブックを下書きとして保存できます。
ドラフトバージョンは一時的に保存されます。 公式バージョンからロールバックすると、ドラフトバージョンが上書きされる場合があります。 プレイブックを完全に保存する場合は、[保存して公開] をクリックします。
[検出]: [検出] をクリックして、プレイブックのプロセスが正常かどうかを確認できます。 チェック結果が正常である場合にのみ、プレイブックを公開できます。
保存と公開: [保存と公開] をクリックすると、プレイブックを保存および公開できます。 自動応答ルールで使用できるのは、公開されたプレイブックのみです。
プレイブックの詳細ページで、プレイブックのバージョン情報を表示できます。 詳細については、「関連する API 操作」をご参照ください。
デバッグ: [デバッグ] をクリックし、[入力パラメーター (デバッグ)] タブでデバッグ用のパラメーターを入力して、プレイブックを期待どおりに実行できるかどうかをテストできます。
ブレークポイントのデバッグを実装する: キャンバスでコンポーネントを編集するときに、コンポーネントを選択し、アイコンをクリックして
コンポーネントのブレークポイントを追加できます。 このようにして、プレイブックをデバッグすると、プレイブックの実行はコンポーネントの上流ノードで終了します。 公開バージョンの表示: [公開バージョンの表示] をクリックすると、公開されているプレイブックの最新バージョンを表示できます。
詳細: [詳細] をクリックして、XMLファイルとしてのプレイブックの保存、XMLファイルのインポート、イメージとしてのプレイブックの保存、操作の取り消し、コンポーネントまたはノードの削除など、より多くの操作を実行できます。
2
開始、終了、並列ゲートウェイ、条件付きゲートウェイ、およびサブプレイブックのノードを含む、プレイブック内のノード。 各プロセスは開始ノードで開始する必要があり、複数の終了ノードを持つことができます。
説明ノード上にポインターを移動して、ノードの説明を表示できます。
3
データベースへのデータの書き込み、Simple Log Serviceへのデータの書き込み、スクリプト処理のためのPython 3.0の呼び出しに使用されるコンポーネントなど、IT関連の一般的なコンポーネントを含む、基本的なオーケストレーションコンポーネント。
4
Server Guardの停止に使用されるコンポーネントやCloud Firewallのブロッキングコンポーネントなど、Alibaba Cloudセキュリティサービスに関連するコンポーネントを含むセキュリティ処理コンポーネント。
5
キャンバス。 目的のコンポーネントをキャンバスにドラッグし、コンポーネント間の論理関係に基づいてコンポーネントを接続するための線を描画できます。
キャンバス上で、
アイコンで示される開始ノードをダブルクリックし、ノードの基本情報、入力パラメーター、およびトリガーメソッドを設定できます。 キャンバスで、目的の基本オーケストレーションコンポーネントまたはセキュリティ処理コンポーネントをダブルクリックし、基本情報、実行条件、およびアクションを設定できます。
キャンバス上で、アイコンで示されているエンドノードを
ダブルクリックし、ノードの基本情報を設定できます。
6
デバッグ領域。 上部のメニューバーの デバッグ または [プレイブックの編集] ページの右下隅にある
アイコンをクリックすると、デバッグ領域が表示されます。 デバッグ領域でプレイブックを期待どおりに実行できるかどうかをテストできます。 入力パラメーター (デバッグ): このタブでは、デバッグ用のパラメーターを入力し、[実行] をクリックします。
デバッグ用のパラメーターはJSON形式である必要があります。 [サンプル入力の表示] をクリックすると、サンプル入力パラメーターを表示できます。
実行ログ: プレイブックの実行後、実行ログ タブをクリックして、プレイブックの実行結果と詳細を表示できます。
過去のデバッグの記録: [履歴デバッグレコード] タブをクリックすると、プレイブックの履歴デバッグレコードを表示できます。
デバッグが成功し、プロセスのチェック結果が正常な場合は、[保存して公開] をクリックします。
[ノートの公開] ダイアログボックスで、公開操作の説明を入力し、[OK] をクリックします。
プレイブックの現在のバージョンが公開されている場合、[保存して公開] をクリックすると、プレイブックの現在のバージョンと最新バージョンの比較とチェック結果が表示されます。 バージョン情報が正しいことを確認したら、[OK] をクリックします。
ステップ2: 自動応答ルールの作成
自動応答ルールは、アラートまたはイベントがトリガーされたときにシステムが事前定義された応答アクションを実行できるようにするために使用されます。 自動応答ルールは、システムが、悪意のあるソフトウェアまたはファイルを隔離する、またはネットワークを切断するなどの特定のアクションを実行し、マルウェア感染および侵入の試みなどの特定のセキュリティイベントに応答することを可能にすることができる。
自動応答ルールを設定した後、システムはルール設定に基づいてセキュリティイベントを照合します。 セキュリティイベントの照合後、システムはルールで設定したアクションを実行し、セキュリティイベントにすばやく対応し、セキュリティイベントの影響を軽減するのに役立ちます。
Security Center コンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、を選択します。
自動応答ルール タブで、ルールを新しく追加する をクリックします。
自動応答ルールの作成 パネルで、次の表に示すセクションのパラメーターを設定し、[OK] をクリックします。
セクション
説明
基本情報
このセクションでは、自動応答ルールの名前と実行方法を指定できます。 実行方法は、自動応答ルールが有効になる時刻を指定します。 次の実行方法がサポートされています。
アラートのトリガー: アラート機能フィールドとルール条件フィールドに基づいて照合を実行します。 アラートが一致した場合、システムは、IPアドレス、ファイル、プロセスなど、アラートトリガオブジェクトに対して自動応答ルールで定義されているアクションを自動的に実行します。
イベントのトリガー: イベント機能フィールドとルール条件フィールドに基づいて照合を実行します。 イベントが一致した場合、システムは、IPアドレス、ファイル、プロセスなど、イベントトリガーオブジェクトに対して自動応答ルールで定義されているアクションを自動的に実行します。
ルールポリシーの設定
このセクションでは、[追加] をクリックしてルール条件を追加できます。 複数のルール条件を追加した場合、すべてのルール条件が一致する場合にのみ、自動応答ルールで定義されているアクションを実行できます。
説明設定する必要があるフィーチャフィールドは、実行方法によって異なります。
ルールアクション
このセクションでは、アラートトリガーオブジェクトまたはイベントトリガーオブジェクトに対して実行する必要があるアクションを構成できます。
[追加] をクリックすると、アクションを追加できます。 [実行方法] パラメーターを アラートのトリガー に設定した場合、[アクション] フィールドには スクリプトの実行 のみを選択できます。 [実行方法] パラメーターを イベントのトリガー に設定した場合、[アクション] フィールドで スクリプトの実行 、イベントステータスの変更 、または 脅威レベルの変更 を選択できます。
スクリプトの実行: ルール条件が一致すると、特定のplaybookフィールドで選択したPlaybookが自動的に実行されます。
重要自動応答ルールは、固定形式の入力パラメータで設定されたプレイブックにのみ関連付けることができます。 選択したプレイブックの入力パラメータータイプには、リクエストのIPアドレス、ホストプロセス、ホストファイル、ホスト名、または開始ノードのAlibaba Cloudアカウントが含まれている必要があります。
イベントステータスの変更: ルール条件が一致した場合、システムはイベントのステータスを処理済みに変更します。
脅威レベルの変更: ルール条件が一致すると、システムはイベントの脅威レベルを高、中、または低に変更します。
[追加] をクリックしてアクションを追加できます。 複数のアクションを追加した場合、設定したすべてのルール条件が一致すると、アクションは同時に実行されます。
自動応答ルール タブで、作成した自動応答ルールを見つけ、[ステータスの有効化] 列の
アイコンをクリックしてルールを有効にします。
関連する API 操作
プレイブックの管理
定義済みのプレイブックの詳細のみをコピーして表示できます。 カスタムプレイブックを作成したら、[カスタムプレイブック] タブでプレイブックを見つけて管理できます。 たとえば、プレイブックの詳細を表示したり、プレイブックを変更したりできます。
プレイブックの詳細を表示する
[カスタムプレイブック] タブのプレイブックのリストで、プレイブックを見つけて、[プレイブック名] /[プレイブックID] 列または [操作] 列の 詳細 をクリックして、プレイブックの詳細ページに移動します。 詳細ページでは、次の操作を実行できます。
現在の
プレイブックの名前の横にあるアイコンをクリックし、別のプレイブックを選択して、選択したプレイブックの詳細を表示します。 基本情報 タブで、プレイブックに関する基本情報を表示し、プレイブックを有効または無効にし、プレイブックの履歴バージョンを表示します。
重要プレイブックでバージョンのロールバックを実行すると、プレイブックの編集ページに保存されているが公開されていないドラフトバージョンが上書きされ、復元できません。 この操作を実行する前に、バージョンのロールバックがワークロードに影響しないことを確認してください。
リリース履歴 セクションで目的のバージョンを見つけ、[操作] 列の ロールバックしてリリースする をクリックして、プレイブック編集ページのプレイブックのドラフトバージョンを現在のバージョンで上書きし、プレイブックを公開します。
リリース履歴 セクションで目的のバージョンを見つけ、[操作] 列の ロールバックして編集する をクリックして、プレイブック編集ページのプレイブックのドラフトバージョンを現在のバージョンで上書きします。
スクリプト タブで、さまざまなバージョンのプレイブックのプロセスを表示し、特定のバージョンのプレイブックを実行して、プレイブックの編集ページに移動します。
履歴実行レコード タブで、プレイブックの履歴実行レコードをバージョン番号、実行結果、または実行時間で照会します。
プレイブックをコピーする
[カスタムプレイブック] タブのプレイブックリストで、プレイブックを見つけ、[操作] 列の [コピー] をクリックして、[プレイブックのコピー] パネルに移動します。 パネルで、[Playbook Name] および [Playbook Description] パラメーターを設定し、[OK] をクリックします。 プレイブックのコピーが作成される。 ビジネス要件に基づいてコピーを変更できます。
プレイブックの変更
[カスタムプレイブック] タブのプレイブックリストで、プレイブックを見つけ、[操作] 列の 編集 をクリックして、プレイブックの編集ページに移動します。 このページでは、プレイブックを変更できます。
プレイブックを削除する
[カスタムプレイブック] タブのプレイブックリストで、プレイブックを見つけ、[操作] 列の 削除 をクリックしてプレイブックを削除します。
説明定義済みのプレイブックは削除できません。
自動応答ルールの管理
自動応答ルールを設定した後、自動応答ルール タブで自動応答ルールを見つけて、ルールに対して操作を実行できます。
自動応答ルールの変更
[自動応答ルール] タブの [自動応答ルール] リストで、自動応答ルールを見つけ、[操作] 列の 編集 をクリックして [自動応答ルールの作成] パネルに移動します。 このパネルでは、自動応答ルールに関する情報を変更できます。
自動応答ルールの削除
[自動応答ルール] タブの [自動応答ルール] リストで、自動応答ルールを見つけ、[操作] 列の 削除 をクリックしてルールを削除します。