Agentic SOC は、セキュリティ情報イベント管理 (SIEM) とセキュリティオーケストレーション、自動化、レスポンス (SOAR) のためのクラウドネイティブなプラットフォームです。Agentic SOC は、マルチクラウドおよびマルチアカウント環境からセキュリティログとアラートを一元的に収集・分析し、組み込みの検出ルールと AI モデルを使用して脅威を自動的に発見し、自動化されたプレイブックで迅速なレスポンスをオーケストレーションします。これにより、データサイロ、脅威発見の遅延、非効率なインシデントレスポンスといった、従来のセキュリティ運用における一般的な課題を解決します。
ユースケース
マルチクラウドの統合ログ管理
課題:マルチクラウドおよびハイブリッドクラウド環境では、セキュリティログが異なるプラットフォームに一貫性のないフォーマットで散在し、データサイロが生まれます。セキュリティチームは統一されたグローバルな視点を欠き、クラウドをまたいだ攻撃の追跡や一元的な監査が困難になり、運用が大幅に複雑化します。
ソリューション:
統合されたログの取り込み:マルチクラウド、サードパーティ、オンプレミス環境からの異種ログを、統一されたデータレイクに効率的に取り込みます。Amazon S3 や Apache Kafka などのサービス用のコネクタを含む、さまざまな取り込み方法をサポートします。
インテリジェントな解析と正規化:フィールドマッピングを備えた柔軟な解析エンジンを使用し、大量の非構造化生ログをリアルタイムで統一された標準データモデルに変換します。
グローバルな分析と追跡:正規化されたデータに基づき、統一された脅威検知、クラウドをまたいだ攻撃の追跡、コンプライアンス監査を可能にします。
Web 侵入調査
課題:Web アプリケーションが侵害された後、攻撃者は通常、複数の脆弱性を悪用し、ラテラルムーブメント (横方向の移動) や権限昇格を繰り返し試みます。従来の方法では、セキュリティ担当者が WAF、ホストセキュリティ、ネットワークトラフィックなど、さまざまなソースからのログを手動で関連付ける必要がありました。この手動プロセスは時間がかかり、重要な手がかりを見逃すことがよくあります。
ソリューション:
自動検出と相関分析:Agentic SOC は、Web Application Firewall (WAF) のログとホストセキュリティのログを自動的に収集・分析します。WebShell のアップロードや異常なプロセスの実行などのアクティビティを検出すると、Agentic SOC はこれらの個別のアラートを自動的に相関させ、単一の包括的な「Web 侵入」インシデントにまとめます。
攻撃パスの再構築:インシデント詳細ページには、最初の Web アクセスや脆弱性の悪用から、WebShell の書き込み、リバースシェルの実行、悪意のあるコマンドの実行に至るまで、完全な攻撃パスがタイムラインとして表示され、セキュリティ担当者が攻撃の全体像を把握できるようにします。
自動レスポンス:[Cloud Firewall 経由で送信元 IP をブロック] などの事前定義されたプレイブックを使用し、Cloud Firewall にネットワークエッジで攻撃者の送信元 IP アドレスをブロックするよう自動的に指示します。
クリプトマイニングマルウェアの修復
課題:クリプトマイニングマルウェアは大量のコンピューティングリソースを消費し、クラウドコストの増加や正規のビジネスサービスのパフォーマンス低下につながります。プロセスの特定、ファイルの終了、マイニングプールへの接続ブロック、侵入経路へのパッチ適用などを含む手動のレスポンスプロセスは煩雑で、迅速な対応を妨げます。
ソリューション:
正確な検出:Agentic SOC は、ホストセキュリティログ、VPC フローログ、組み込みの脅威インテリジェンスを組み合わせて、クリプトマイニングプロセス (例:
xmrig) やマイニングプールへの異常なネットワーク接続を特定し、「クリプトマイニングアクティビティ」インシデントを生成します。インテリジェントな分析:AI アシスタントがインシデントを分析・要約し、「悪意のあるプロセスを終了し、マイニングプールの IP をブロックする」など、過去のケースやベストプラクティスに基づいてレスポンスポリシーを推奨します。
自動レスポンス:[推奨レスポンスポリシーを使用] して、悪意のあるプロセスを終了し、クリプトマイニングファイルを隔離するプレイブックを実行します。
仕組み
Agentic SOC は、標準化されたワークフローを通じて、マルチクラウド環境、複数のアカウント、さまざまなプロダクト、異なるセキュリティベンダーからのログを統合します。脅威検知ルールを使用してログを分析し、セキュリティインシデントを生成します。そのレスポンスオーケストレーション機能は、関連するクラウドプロダクトと連携して、悪意のあるエンティティのブロックや隔離などのセキュリティ対策を実行し、迅速かつ効果的なインシデントレスポンスを可能にします。主要な段階は以下の通りです:
ログの収集と解析:クラウドプロダクト、サードパーティデバイス、ビジネスアプリケーションなど、さまざまなデータソースから生ログを収集します。
アラートの生成:組み込みの検出ルールを使用するか、サードパーティプロダクトからネイティブアラートを直接取り込むことにより、大量のログから潜在的な脅威を特定します。
インシデントの集約と処理:設定可能な相関ルールとグラフコンピューティングモデルを使用して、同じ攻撃を表す複数のアラートを単一のインシデントに集約します。
レスポンスオーケストレーション:インシデントは、事前定義された条件に基づいて自動的に、または手動でプレイブックをトリガーします。これらのプレイブックは、コンポーネントのアクションを呼び出してレスポンスポリシーを生成し、自動修復のためのレスポンスタスクをディスパッチします。
基本概念
エンティティ:アラートやインシデントに関与する中核的なオブジェクトで、IP アドレス、ドメイン名、ファイルハッシュ、プロセス、ホスト、コンテナ、クラウドリソース ID (例:ECS インスタンス ID)、ユーザーアカウントなどです。エンティティは、異なるアラートを関連付け、攻撃パスを再構築するための基盤となります。
インシデント:組み込みのルールとグラフコンピューティングモデルを使用して、さまざまなデータソースからの複数の関連アラートを相関させて作成される、信頼性の高いセキュリティイベントです。Agentic SOC はこれらのアラートを単一のインシデントに集約し、攻撃のタイムラインを自動的に再構築します。
レスポンスポリシー:特定のシナリオにおけるエンティティに対する処理アクションを指定します。エンティティに対して実行された各レスポンスアクションの結果に対して、一意のポリシーが生成されます。
レスポンスタスク:レスポンスポリシーから生成され、特定のスコープを対象とする、個別の実行可能なジョブです。インシデントレスポンスでは、エンティティに対する各レスポンスポリシーは、適用範囲に基づいて 1 つ以上のレスポンスタスクに分割されます。
レスポンスオーケストレーション:プレイブックとして知られる自動化されたワークフローを通じて、セキュリティレスポンスアクションを整理・管理するプロセスです。レスポンスオーケストレーションは、事前定義されたロジックに基づいて一連の操作を自動的に実行し、自動化されたインシデント処理を実現します。
プレイブック:トリガー、条件、アクション、エンドポイントで構成される、事前定義された自動化セキュリティワークフローです。プレイブックはドラッグアンドドロップによるグラフィカルな編集をサポートしており、クリプトマイニングやランサムウェアなどの特定のセキュリティインシデントに合わせてレスポンスロジックをカスタマイズできます。
コンポーネント:外部のシステムやサービスに接続し、操作するために使用されるインターフェイスです。コンポーネントは、プレイブック内で特定のアクションを実行する構成要素です。
リソースインスタンス:アクションが対象とする特定のサービスインスタンスで、Cloud Firewall インスタンスなどです。
アクション:コンポーネントによって実行される特定の機能です。単一のコンポーネントには複数のアクションが含まれる場合があります。例えば、エンドポイント管理ソフトウェアのコンポーネントには、アカウントの無効化、ネットワークの隔離、通知の送信などのアクションが含まれることがあります。
エージェント:環境を認識し、意思決定を行い、自律的に行動できるインテリジェントなエンティティです。Agentic SOC は、チームリーダーが脅威検知、インシデント調査、影響評価、ユーザーインタラクションを担当する専門エージェントチームを調整する、階層的なマルチエージェント協調アーキテクチャを使用します。詳細については、「セキュリティオペレーションエージェントの詳細」をご参照ください。
AI エージェントアーキテクチャ
Agentic SOC のエージェントアーキテクチャは、Alibaba Cloud のクラウドネイティブなセキュリティデータドメインインフラストラクチャと深く統合されています。大規模セキュリティ言語モデルを基盤に構築され、脅威を自動的に感知し、深い推論を行い、協調的な調査を実施し、迅速にループを閉じる、エンドツーエンドの AI エージェントセキュリティ専門家チームを提供します。アーキテクチャは、下から上の 3 つのレイヤーで構成されています。
レイヤー
コンポーネント
責務
クラウドネイティブエンジンレイヤー
Simple Log Service (SLS)、Flink/時系列 SQL 検出エンジン、Igraph グラフコンピューティング、大規模言語モデル (LLM) Qwen、SOAR オーケストレーションエンジン
基本的なデータストレージ、コンピューティング、AI 機能を提供
エージェント管理プラットフォーム
AgentRun 上に構築
エージェントのライフサイクル、タスクスケジューリング、メモリ、ツール呼び出しのオーケストレーションを管理
エージェントインテリジェンスレイヤー
チームリーダーと複数の専門エージェントチーム
自律的な推論と意思決定を行い、セキュリティ運用タスクを実行
各エージェントは、ReAct 推論フレームワークを使用して動作します:環境を認識 → 推論と分析 → アクションの計画 → 実行 → 結果の観察。このサイクルはタスクが完了するまで繰り返されます。
Agentic SOC は、チームリーダーと複数の専門エージェントチームで構成される、階層的なマルチエージェント協調アーキテクチャを採用しています。
チームリーダー:Qwen シリーズのモデルを基盤に構築されたチームリーダーは、エージェントアーキテクチャ全体の中心的なディスパッチノードであり、グローバルなスケジューリング、タスクの分解、複雑な意思決定を担当します。
専門エージェントチーム:これらのチームは、それぞれのドメインで独立してタスクを実行し、互いに協力します。チームは以下の通りです:
チーム
責務
コアエージェント
脅威検知
大量のマルチソース、異種データに対して詳細な分析を行い、既知および未知のセキュリティ脅威を特定します。
プロセスチェーン分析エージェント、ネットワーク挙動分析エージェント、ファイル挙動分析エージェント、持続性検出エージェント。
インシデント調査
ReAct フレームワークに基づいてインシデント調査を自律的に完了し、攻撃パスとタイムラインを再構築します。
攻撃パス再構築エージェント、侵害の痕跡 (IOC) 抽出エージェント、アクション検証エージェント、レスポンスエージェント。
影響評価
セキュリティインシデントの範囲とリスクレベルを評価します。
ラテラルムーブメント調査エージェント、リスクタイムウィンドウ検査エージェント、リスク相関分析エージェント。
ユーザーインタラクション
セキュリティ運用担当者と対話し、コンサルテーションと分析サポートを提供します。
調査深化トリガーエージェント、検査タスク設定エージェント、セキュリティコンサルテーション (検索拡張生成 (RAG)) エージェント。
エージェントのサポートレベルは、購入した Agentic SOC のエディションによって異なります。バージョンの違いと課金の詳細については、「Agentic SOC Basic Edition とセキュリティオペレーションエージェントの違い」をご参照ください。
エージェントの詳細については、「セキュリティオペレーションエージェントの詳細」をご参照ください。
メリット
Agentic SOC は、コア AI エージェントエンジンと深く統合されたセキュリティ運用プラットフォームです。セキュリティ運用の「スマート自動操縦」モードを可能にし、必要に応じて人間と機械の協調から完全自動化されたレスポンスへとシームレスに移行できます。
99.94% のアラート削減率を誇る高信頼性の検出
Agentic SOC は、グローバルな脅威インテリジェンス、グラフコンピューティング、クラウドネイティブなログ分析機能を組み合わせ、膨大な数のアラートから新規、未知、および高度に回避的な脅威を正確に特定します。セキュリティインシデントの平均検出時間は数分に短縮されます。
95% の修復カバー率で数秒での自動レスポンス
ワンクリックのレスポンスポリシーと、すぐに使える自動化プレイブックを提供します。これらはカスタマイズ可能で、手動設定は不要です。さまざまなセキュリティプロダクトやインフラストラクチャと連携し、インシデントやアラートに対する完全自動化された分析とレスポンスを実行します。
Agentic AI エンジンを搭載したプレミアムインテリジェントサービスである Security Operations Agent を提供します。このサービスは、Alibaba Cloud のネイティブなセキュリティデータおよびインフラストラクチャと深く統合されており、エージェントの自律的な認識、推論、実行能力を使用して、セキュリティインシデントを独立して分析し、レスポンスを加速します。
AI 支援による意思決定で攻撃の全体像を自動再構築
Agentic SOC は、グラフコンピューティングとセキュリティ大規模言語モデルを使用して、完全な攻撃パスとタイムラインを自動的に追跡・再構築します。組み込みの AI アシスタントは、インシデントを要約し、正確なレスポンス推奨を提供することで、セキュリティインシデントのより深い理解を支援します。
90% のクロスアセットインシデント発見率で統一されたグローバルビュー
Agentic SOC は、クラウド、アカウント、プロダクトをまたいだログデータの収集と処理を統一し、ハイブリッドクラウドのセキュリティ運用の複雑さを大幅に軽減します。その一元的な管理と監査は、グローバルなセキュリティインサイトを提供し、データ分析とコンプライアンスの取り組みを効果的に簡素化します。
Agentic SOC の効率性
セキュリティ運用の効率性
平均検出時間 (MTTD)、平均確認時間 (MTTA)、平均応答時間 (MTTR) は、セキュリティ運用の効率性を測定するための主要なメトリックです。以下のデータは、実際のユーザーからの統計に基づいており、Agentic SOC がインシデント処理で提供する全体的なセキュリティ運用効率を示しています。
効率性の概要
メトリック | 従来の方法 | Agentic SOC の効率性 | 効率性の向上 |
MTTD (検出) | 時間単位 | 5 分 | 時間単位から分単位へ |
MTTA (確認) | 日 | 35 分 | 日単位から分単位へ |
MTTR (レスポンス) | 日/週単位 | 90 分 | 週/日単位から 90 分へ |
メトリックの詳細
MTTD (平均検出時間)
定義:攻撃が発生してから、システムによって最初に検出されるまでの平均時間。
Agentic SOC の効率性:5 分
従来の方法:時間単位
主な利点:Agentic SOC は脅威の検出時間を時間単位から分単位に短縮し、システム内での脅威の潜伏時間を大幅に短縮し、迅速なレスポンスのための重要な時間枠を作り出します。
MTTA (平均確認時間)
定義:インシデントが検出されてから、セキュリティチームによって真の脅威として確認されるまでの平均時間。
Agentic SOC の効率性:35 分
従来の方法:日単位
主な利点:インシデント発生後、Agentic SOC は自動的に調査と脅威追跡を実行し、手動分析時間を日単位から 35 分未満に短縮し、真の脅威の迅速な検証を可能にします。
MTTR (平均応答時間)
定義:脅威が確認されてから、システムが完全に修復・復旧されるまでの平均時間。
Agentic SOC の効率性:90 分
従来の方法:日単位または週単位
主な利点:Agentic SOC は、自動化された事前定義プレイブックを使用して、確認からレスポンスまでの重要なアクションを数秒で実行します。これにより、全体のレスポンス時間が日単位から 90 分に短縮され、セキュリティチームは退屈で反復的なタスクから解放され、より深い脅威分析と防御アーキテクチャの強化に集中できます。
エージェント処理効率
主要メトリック | 説明 |
自律的な調査・分析率:81% | AI エージェントは、人間の介入なしで、完全なアラートデータに対して検証されたレベル 1 およびレベル 2 のインシデント分析を独立して完了します。 |
アラートの相関と集約イベントの収束率:99.94% | 毎週数万から数百万のアラートを処理し、それらを数百のセキュリティイベントに収束させます。 |
インシデント追跡可能性レポートの生成効率:100 倍高速 | 追跡可能性レポートを 100 倍高速に生成します。完全な攻撃チェーンレポートは、手動分析では数時間かかるところを数分で生成します。 |
ログのオンボーディングと標準化の効率:90% | セマンティック認識を使用して、異種データソースからのログを自動的に解析・マッピングし、統一されたセキュリティモデルに変換し、ワンクリックで SPL を生成します。 |
サポートされているプロダクトとログ
Agentic SOC は、Alibaba Cloud、Huawei Cloud、Tencent Cloud、Fortinet、Chaitin、Sangfor などのベンダーのログをネイティブにサポートしています。また、カスタムプロダクトからのデータインジェストもサポートしています。
Agentic SOC が提供するデフォルトの取り込みポリシー、データソース、および標準化ルールの詳細については、コンソールに移動してください。
ベンダー | プロダクト名 | ログタイプ |
Alibaba Cloud | Security Center |
|
Web Application Firewall (WAF) | WAF 全量ログ、ブロックログ、ブロックおよび監視ログ、アンチクロール全量ログ、API セキュリティイベントアラートログ、API リスクログ、および WAF アラートログ | |
Cloud Firewall | Cloud Firewall アラートログ、Cloud Firewall トラフィックログ、NDR HTTP ログ、NDR DNS ログ、および NDR イベントアラートログ | |
Anti-DDoS | Anti-DDoS Pro and Anti-DDoS Premium 全量ログ | |
Bastionhost | Bastionhost ログ | |
CDN | CDN フローログ | |
Edge Security Acceleration (ESA) | DCDN ユーザーアクセスログと DCDN WAF ブロックログ | |
API Gateway | API Gateway ログ | |
Container Service for Kubernetes (ACK) | Kubernetes 監査ログ | |
PolarDB | PolarDB-X 1.0 SQL 監査ログと PolarDB-X 2.0 SQL 監査ログ | |
ApsaraDB for MongoDB | MongoDB 監査ログ | |
ApsaraDB RDS | RDS SQL 監査ログ | |
Virtual Private Cloud (VPC) | VPC フローログ | |
Elastic IP Address (EIP) | EIP ログ | |
Server Load Balancer (SLB) | ALB アクセスログと CLB アクセスログ | |
Object Storage Service (OSS) | OSS アクセスログ | |
ActionTrail | ActionTrail イベントログ | |
CloudConfig | 設定監査ログ | |
File Storage NAS | NAS NFS 運用ログ | |
AI Guardrails | Alibaba Cloud AI セキュリティガードレールログ | |
Tencent Cloud | Web Application Firewall | Tencent Cloud Web Application Firewall アラートログ |
Cloud Firewall | Tencent Cloud Firewall アラートログ | |
Huawei Cloud | Web Application Firewall | Huawei Cloud Web Application Firewall アラートログ |
Cloud Firewall | Huawei Cloud Firewall アラートログ | |
Azure | Windows Defender for Endpoint | エンドポイントアラートログ |
Azure Active Directory | 監査ログとログインログ | |
Activity | 監査ログ | |
SQL Database | SQL Server 監査ログ | |
AWS | CloudTrail | CloudTrail ログ |
Redshift | Redshift 監査ログ | |
GuardDuty | GuardDuty 検出結果アラートログ | |
PostgreSQL on Amazon RDS | PostgreSQL イベントログ | |
Volcengine | Security Center | HIDS アラートログ |
Fortinet | Fortinet Firewall | Fortinet Firewall アラートログ、Fortinet Firewall フローログ、および Fortinet 監査ログ |
Chaitin | Chaitin WAF | Chaitin WAF アラートログと Chaitin WAF フローログ |
Microsoft | エンドポイントイベントログ | Windows セキュリティイベントログ |
Sangfor | Sangfor Endpoint Secure aES (EDR) | エンドポイントでの検知と対応 (EDR) アラートログ |
Hillstone Networks | Hillstone Networks Firewall | Hillstone Networks Firewall アラートログ |
Tophant | Tophant Full-Traffic Security Computing and Analysis Platform | Tophant Full-Traffic Security Computing and Analysis Platform プロダクトアラートログ |
SkyGuard | DLP | DLP アラートログ |
Azure | Azure Active Directory | Azure Active Directory 監査ログと Azure Active Directory ログイン監査ログ |
Threatbook | OneSEC | OneSEC アラートログ |
Cisco | Cisco Firepower Firewall | ファイアウォールアラートログ |
Palo Alto | Next-Generation Firewall | ファイアウォールアラートログ |
Cortex XDR | Palo Alto Cortex アラートログとエンドポイントアラートログ | |
Panorama | Panorama プロダクトログ | |
Ege Cloud | Polaris | レイヤー 4 内部ネットワークアクセスログとデータ監査ログ |
カスタムベンダー | カスタムプロダクト | ファイアウォールアラートログ、ファイアウォールトラフィックログ、Web Application Firewall (WAF) アラートログ、および WAF トラフィックログ |
バージョンアップグレード
2025 年 4 月 3 日以降に Agentic SOC をアクティベートしたアカウントは、最新のアーキテクチャでプロビジョニングされます。
Agentic SOC 2.0 アーキテクチャは、ログの正規化機能に基づいて構築されています。Simple Log Service (SLS) の機能を再利用して、サードパーティのクラウドやオンプレミスのセキュリティプロダクトからのデータインジェストを簡素化します。
Agentic SOC 2.0 と Agentic SOC 1.0 の主な違いの詳細な比較については、「Agentic SOC 2.0 と 1.0 の違い」をご参照ください。
よくある質問
Agentic SOC は従来の SIEM とどう違いますか?
Agentic SOC は、クラウドネイティブ環境向けに設計された SIEM ソリューションです。従来の SIEM と比較した主な違いは以下の通りです:
クラウドネイティブな統合:Alibaba Cloud や他の主要なクラウドプロバイダーのさまざまなプロダクトと統合します。クラウドアセット、構成、トポロジーを理解し、コンテキストを意識した分析を可能にします。
組み込みの SOAR 機能:統合されたセキュリティオーケストレーション、自動化、レスポンス (SOAR) エンジンを含みます。脅威を分析・検出するだけでなく、プレイブックを使用してクラウドプロダクトやインフラストラクチャをまたいだ自動修復をオーケストレーションし、分析からレスポンスまでのループを閉じます。
組み込みシナリオ:クリプトマイニング、ランサムウェア、Web 侵入などの一般的なクラウド攻撃シナリオですぐに使える、多数の検出ルールとレスポンスプレイブックを提供します。