Agentic SOC は、セキュリティ情報イベント管理 (SIEM) とセキュリティオーケストレーション・自動化・レスポンス (SOAR) のためのクラウドネイティブなプラットフォームです。Agentic SOC は、マルチクラウドおよびマルチアカウント環境からセキュリティログとアラートを一元的に収集・分析し、組み込みの検出ルールと AI モデルを使用して脅威を自動的に検出し、自動化されたプレイブックで迅速なレスポンスをオーケストレーションします。これにより、データサイロ、脅威検出の遅延、非効率なインシデント対応といった、従来のセキュリティ運用における一般的な課題を解決します。
一般的なユースケース
統合されたマルチクラウドログ管理
課題:マルチクラウド環境やハイブリッド環境では、セキュリティログが異なるプラットフォームに不統一なフォーマットで散在し、データサイロが生まれます。セキュリティチームは統一されたグローバルな視点を欠き、クラウドをまたがる攻撃の追跡や一元的な監査が困難になり、運用の複雑性が大幅に増大します。
ソリューション:
一元的なログの取り込み:マルチクラウド、サードパーティ、オンプレミス環境からの異種ログを、統一されたデータレイクに効率的に取り込みます。Amazon S3 や Apache Kafka などのサービス用のコネクタを含む、さまざまな取り込みメソッドをサポートします。
インテリジェントなパーシングと正規化:フィールドマッピングを備えた柔軟なパーシングエンジンを使用し、大量の非構造化生ログをリアルタイムで統一された標準データモデルに変換します。
グローバルな分析と追跡:正規化されたデータに基づき、統一された脅威検出、クラウドをまたがる攻撃の追跡、コンプライアンス監査を可能にします。
Web 侵入調査
課題:Web アプリケーションが侵害された後、攻撃者は複数の脆弱性を悪用してラテラルムーブメントや権限昇格を行うことがよくあります。従来の方法では、セキュリティ担当者が WAF、ホストセキュリティ、ネットワークトラフィックなど、さまざまなソースからのログを手動で関連付ける必要があり、時間がかかり、重要な手がかりを見逃しがちです。
ソリューション:
自動検出と相関分析:Agentic SOC は、Web Application Firewall (WAF) のログとホストセキュリティログを自動的に収集・分析します。WebShell のアップロードや異常なプロセスの実行などのアクティビティを検出すると、Agentic SOC はこれらの個別のアラートを自動的に相関させ、単一の包括的な「Web 侵入」インシデントとしてまとめます。
攻撃パスの再構築:インシデント詳細ページには、最初の Web アクセスや脆弱性の悪用から、WebShell の書き込み、リバースシェルの実行、悪意のあるコマンドの実行に至るまでの完全な攻撃パスがタイムラインとして表示され、セキュリティ担当者は攻撃の全体像を把握できます。
自動レスポンス:Block Source IP via Cloud Firewall などの組み込みプレイブックを使用して、Cloud Firewall にネットワークエッジで攻撃者の IP アドレスをブロックするよう自動的に指示します。
クリプトマイニングマルウェアの修復
課題:クリプトマイニングマルウェアは大量のコンピューティングリソースを消費し、クラウドリソースのコスト増加や正規のビジネスサービスのパフォーマンス低下につながります。プロセスの特定、ファイルの終了、マイニングプールへの接続ブロック、侵入ポイントへのパッチ適用などを含む手動の対応プロセスは煩雑で、迅速な対応を妨げます。
ソリューション:
正確な検出:Agentic SOC は、ホストセキュリティログ、VPC フローログ、組み込みの脅威インテリジェンスを組み合わせて、クリプトマイニングプロセス (例:
xmrig) やマイニングプールへの異常なネットワーク接続を特定し、「クリプトマイニングアクティビティ」インシデントを生成します。インテリジェントな分析:AI アシスタントがインシデントを分析・要約し、過去のケースやベストプラクティスに基づいた「悪意のあるプロセスを終了し、マイニングプールの IP をブロックする」などの対応戦略を推奨します。
自動レスポンス:推奨レスポンスポリシーの使用により、悪意のあるプロセスを終了させ、クリプトマイニングファイルを隔離するプレイブックを実行します。
仕組み
Agentic SOC は、標準化されたワークフローを通じて、マルチクラウド、マルチアカウント、マルチプロダクト、およびサードパーティベンダーのソースからのログを統合します。これらのログを脅威検出ルールを用いて分析し、セキュリティインシデントを生成します。自動レスポンスのオーケストレーション機能を使用して、Agentic SOC は関連するクラウド製品と連携し、悪意のあるエンティティのブロックや隔離などのセキュリティ対策を実行し、迅速かつ効果的なインシデント対応を可能にします。コアとなる段階は以下の通りです。
ログの収集とパーシング:クラウド製品、サードパーティデバイス、ビジネスアプリケーションなど、さまざまなデータソースから生ログを収集します。
アラートの生成:組み込みの検出ルールを使用するか、サードパーティ製品からネイティブアラートを直接取り込むことにより、大量のログの中から潜在的な脅威を特定します。
インシデントの集約と処理:設定可能な相関ルールとグラフコンピューティングモデルを使用して、同じ攻撃を記述する複数のアラートを単一のインシデントに集約します。
レスポンスのオーケストレーション:インシデントは、事前定義された条件に基づいて自動的に、または手動でプレイブックをトリガーします。これらのプレイブックはコンポーネントのアクションを呼び出し、自動修復のためのレスポンスタスクを生成・ディスパッチします。
基本概念
エンティティ:アラートやインシデントに関与するコアオブジェクトで、IP アドレス、ドメイン名、ファイルハッシュ、プロセス、ホスト、コンテナー、クラウドリソース ID (例:ECS インスタンス ID)、またはユーザーアカウントなどです。エンティティは、異なるアラートを関連付け、攻撃パスを再構築するためのノードとして機能します。
インシデント:さまざまなデータソースからの複数の関連アラートを相関させることによって作成される、信頼性の高いセキュリティインシデントです。Agentic SOC はこれらのアラートを自動的に単一のインシデントに集約し、攻撃のタイムラインを再構築します。
レスポンスポリシー:特定のシナリオ内でエンティティに対して定義された、具体的な修復アクションです。例えば、「IP アドレスをブロックする」や「プロセスを終了する」といったポリシーが考えられます。各ポリシーは、特定のタイプのエンティティに対してどのようなアクションを実行すべきかを定義します。
レスポンスタスク:レスポンスポリシーから生成され、特定の範囲を対象とする個別の実行可能なジョブです。例えば、「IP アドレスをブロックする」ポリシーは、Cloud Firewall インスタンス A で IP をブロックするタスクと、Cloud Firewall インスタンス B でブロックするタスクの 2 つを生成する場合があります。タスクは、特定のリソースに対するポリシーの具体的な実行です。
セキュリティオーケストレーション・自動化・レスポンス (SOAR):プレイブックとして知られる自動化されたワークフローを通じて、セキュリティレスポンスアクションを整理・管理するプロセスです。SOAR は、自動化されたインシデント処理のために、事前定義されたロジックに基づいて一連の操作を自動的に実行します。
プレイブック:トリガー、条件、アクション、エンドポイントで構成される、事前定義された自動化セキュリティワークフローです。プレイブックはドラッグアンドドロップによるグラフィカルな編集をサポートしており、クリプトマイニングやランサムウェアなどの特定のセキュリティインシデントに対するレスポンスロジックをカスタマイズできます。
コンポーネント:外部のシステムやサービスに接続し、操作するために使用されるインターフェイスです。コンポーネントは、プレイブック内で特定のアクションを実行する構成要素です。
リソースインスタンス:アクションが対象とする特定のサービスインスタンスで、Cloud Firewall インスタンスなどです。
アクション:コンポーネントによって実行される特定の機能です。単一のコンポーネントには複数のアクションが含まれる場合があります。例えば、エンドポイント管理コンポーネントには、「アカウントを無効化する」、「ネットワークを隔離する」、「通知を送信する」などのアクションが含まれることがあります。
製品の利点
Agentic SOC は、コアとなる AI エージェントエンジンと深く統合されたセキュリティ運用プラットフォームです。Agentic SOC は、セキュリティ運用のための「スマート自動操縦」モードを可能にし、必要に応じて人間と機械の協調から完全自動化されたレスポンスへとシームレスに移行できます。
99.94% のアラート削減率を誇る高信頼性の検出
Agentic SOC は、グローバルな脅威インテリジェンス、グラフコンピューティング、クラウドネイティブなログ分析を組み合わせることで、膨大な数のアラートから、新規、未知、そして高度に回避的な脅威を正確に特定します。これにより、セキュリティインシデントの平均検出時間が数分に短縮されます。
95% の修復カバー率で数秒以内の自動レスポンス
コアとなる AI エージェントエンジンを搭載した Agentic SOC は、手動設定不要のワンクリックレスポンスポリシーと、標準提供 (カスタマイズも可能) の自動化プレイブックを提供します。さまざまなセキュリティ製品やインフラストラクチャと連携し、インシデントやアラートに対する完全自動化された分析とレスポンスを実行します。
攻撃の全体像を自動的に再構築
Agentic SOC は、グラフコンピューティングとセキュリティに特化した大規模言語モデルを使用して、完全な攻撃パスとタイムラインを自動的に追跡・再構築します。
90% のクロスアセットインシデント発見率で統一されたグローバルビュー
Agentic SOC は、クラウド、アカウント、製品を横断するログデータの収集と処理を統一し、ハイブリッドクラウドのセキュリティ運用の複雑さを大幅に軽減します。一元的な管理と監査を通じて、グローバルなセキュリティインサイトを提供し、データ分析とコンプライアンスの取り組みを効果的に簡素化します。
Agentic SOC によるセキュリティ運用の効率
平均検出時間 (MTTD)、平均承認時間 (MTTA)、平均応答時間 (MTTR) は、セキュリティ運用の効率を測定するための主要なメトリックです。以下のデータは、実際のユーザーからの統計に基づき、Agentic SOC がどのようにセキュリティ運用の効率を向上させるかを示しています。
効率の概要
メトリック | 従来の方法 | Agentic SOC の効率 | 効率向上 |
MTTD (検出) | 時間 | 5 分 | 時間単位から分単位へ |
MTTA (確認) | 日単位 | 35 分 | 日単位から分単位へ |
MTTR (レスポンス) | 日/週単位 | 90 分 | 週/日単位から 2 時間未満へ |
メトリックの詳細
MTTD
定義:攻撃が発生してから、システムによって最初に検出されるまでの平均時間。
Agentic SOC の効率:5 分
従来の方法:時間単位
コアとなる利点:Agentic SOC は脅威の検出時間を時間単位から分単位に短縮し、システム内での脅威の滞留時間を大幅に短縮し、迅速な対応のための重要なウィンドウを創出します。
MTTA
定義:インシデントが検出されてから、セキュリティチームによって真の脅威として確認されるまでの平均時間。
Agentic SOC の効率:35 分
従来の方法:日単位
コアとなる利点:インシデント発生後、Agentic SOC は自動的に調査と脅威追跡を実行し、手動分析時間を日単位から 35 分未満に短縮し、真の脅威の迅速な検証を可能にします。
MTTR
定義:脅威が確認されてから、システムが完全に修復・復旧されるまでの平均時間。
Agentic SOC の効率:90 分
従来の方法:日または週単位
コアとなる利点:自動化された事前定義のプレイブックを通じて、Agentic SOC は確認から対応までの重要なアクションを数秒で実行します。これにより、全体の対応時間が日単位から 90 分に短縮され、セキュリティチームは退屈で反復的なタスクから解放され、より深い脅威分析と防御アーキテクチャの強化に集中できます。
サポート対象の製品とログ
Agentic SOC は、Alibaba Cloud、Huawei Cloud、Tencent Cloud、Fortinet、Chaitin、Sangfor などのベンダーのログをデフォルトでサポートしており、カスタム製品の統合も可能です。
Agentic SOC が提供するデフォルトの取り込みポリシー、データソース、正規化ルールの詳細については、コンソールをご参照ください。
クラウドサービスプロバイダー | クラウドサービス | ログタイプ |
Alibaba Cloud | Security Center |
|
Web Application Firewall (WAF) | WAF 全ログ/ブロックログ/ブロックおよび監視ログ、アンチボット全ログ、API セキュリティインシデントアラートログ、API リスクログ、WAF アラートログ | |
Cloud Firewall | Cloud Firewall アラートログ、Cloud Firewall トラフィックログ、NDR-HTTP ログ、NDR-DNS ログ、NDR-インシデントアラートログ | |
Anti-DDoS | Anti-DDoS 全ログ | |
Bastionhost | Bastionhost ログ | |
CDN | CDN フローログ | |
Edge Security Acceleration (ESA) | DCDN ユーザーアクセスログ、DCDN WAF ブロックログ | |
API Gateway | API Gateway ログ | |
Container Service for Kubernetes (ACK) | K8s 監査ログ | |
PolarDB | PolarDB-X 1.0 SQL 監査ログ、PolarDB-X 2.0 SQL 監査ログ | |
ApsaraDB for MongoDB | MongoDB 監査ログ | |
ApsaraDB RDS (Relational Database Service) | RDS SQL 監査ログ | |
Virtual Private Cloud (VPC) | VPC フローログ | |
Elastic IP Address (EIP) | Elastic IP ログ | |
Server Load Balancer (SLB) | ALB アクセスログ、CLB アクセスログ | |
Object Storage Service (OSS) | OSS アクセスログ | |
ActionTrail | ActionTrail イベントログ | |
Config | Config 監査ログ | |
Apsara File Storage NAS | NAS NFS 操作ログ | |
Tencent Cloud | Web Application Firewall | Tencent Cloud Web Application Firewall アラートログ |
Cloud Firewall | Tencent Cloud Firewall アラートログ | |
Huawei Cloud | Web Application Firewall | Huawei Cloud Web Application Firewall アラートログ |
Cloud Firewall | Huawei Cloud Firewall アラートログ | |
Azure | Microsoft Defender for Endpoint | エンドポイントアラートログ |
Microsoft Entra ID | 監査ログ、サインインログ | |
Activity Log | 監査ログ | |
SQL Database | SQL Server 監査ログ | |
AWS | CloudTrail | CloudTrail ログ |
Redshift | Redshift 監査ログ | |
GuardDuty | GuardDuty 検出結果アラートログ | |
PostgreSQL on Amazon RDS | PostgreSQL イベントログ | |
Volcengine | Security Center | HIDS アラートログ |
Fortinet | Fortinet Firewall | Fortinet Firewall アラートログ、Fortinet Firewall フローログ、Fortinet 監査ログ |
Chaitin | Chaitin WAF | Chaitin WAF アラートログ、Chaitin WAF フローログ |
Microsoft | Endpoint event Logs | Windows セキュリティイベントログ |
Sangfor | aES Unified Endpoint Security Management System (EDR) | Endpoint Detection and Response アラートログ |
Hillstone Networks | Hillstone Networks Firewall | Hillstone Networks Firewall アラートログ |
Das-Security | Das-Security Full-Traffic Security Computing and Analysis Platform | Das-Security Full-Traffic Security Computing and Analysis Platform 製品アラートログ |
SkyGuard | DLP | DLP アラートログ |
Microsoft Cloud | Microsoft Entra ID | Microsoft Entra ID 監査ログ、Microsoft Entra ID サインイン監査ログ |
ThreatBook | OneSec | OneSec アラートログ |
Cisco | Cisco Firepower Firewall | Firewall アラートログ |
Palo Alto Networks | Next-Generation Firewall | Firewall アラートログ |
Cortex XDR | Palo Alto Cortex アラートログ、エンドポイント関連アラートログ | |
Panorama | Panorama 製品ログ | |
EG Cloud | Polaris | 内部レイヤー 4 ネットワークアクセスログ、データ監査ログ |
Custom Vendor | Custom Product | Firewall アラートログ、Firewall トラフィックログ、WAF アラートログ、WAF トラフィックログ |
バージョンアップグレード情報
2025 年 4 月 3 日以降に Agentic SOC を有効化したアカウントは、最新のアーキテクチャでプロビジョニングされます。
Agentic SOC 2.0 アーキテクチャは Simple Log Service (SLS) 上に構築されており、データ取り込みを簡素化します。このアーキテクチャは、標準化されたログフォーマットを使用して、サードパーティのクラウドやオンプレミスのセキュリティ製品からのデータを迅速に統合します。
Agentic SOC 2.0 と Agentic SOC 1.0 の主な違いの詳細については、「Agentic SOC 2.0 と 1.0 の違い」をご参照ください。
よくある質問
Agentic SOC は従来の SIEM とどう違いますか?
従来の SIEM がオンプレミス環境向けに設計されていたのに対し、Agentic SOC はクラウドネイティブなプラットフォームであり、いくつかの主要な利点を提供します。
クラウドネイティブな統合:Agentic SOC は、Alibaba Cloud や他の主要なクラウドプロバイダーの幅広い製品と統合します。クラウドアセット、構成、ネットワークトポロジーを理解し、コンテキストを意識した分析を可能にします。
組み込みの SOAR 機能:統合されたセキュリティオーケストレーション・自動化・レスポンス (SOAR) エンジンを含んでいます。Agentic SOC は脅威を検出・分析するだけでなく、プレイブックを使用してクラウドインフラストラクチャ全体のアクションをオーケストレーションすることで修復を自動化し、検出から対応までのループを完結させます。
組み込みのシナリオ:クリプトマイニング、ランサムウェア、Web 侵入など、一般的なクラウド攻撃シナリオに対応した多数の標準提供の検出ルールとレスポンスプレイブックを提供し、すぐに利用できます。