Agentic SOC は、クラウドネイティブなセキュリティ情報およびイベント管理 (SIEM) とセキュリティオーケストレーション、自動化、対応 (SOAR) のプラットフォームです。マルチクラウドおよびマルチアカウント環境全体でログ収集と脅威分析を一元化し、組み込みの検出ルールと AI モデルを適用して脅威を自動的に識別し、プレイブックを通じて自動対応をオーケストレーションします。これにより、従来のセキュリティオペレーションで一般的なデータサイロ、脅威検出の遅延、手動対応のボトルネックを解消します。
ユースケース
マルチクラウドログの一元管理
課題:マルチクラウド環境およびハイブリッドクラウド環境に分散したセキュリティログは、形式に一貫性がなく、データサイロ化を招きます。統一されたビューがなければ、クラウドをまたがる攻撃の追跡や一元的な監査の実行には、多大な手作業が必要となります。
Agentic SOC による解決策:
ログの一元的な取り込み:マルチクラウド、サードパーティ、およびオンプレミス環境から異種ログを単一のデータレイクに取り込みます。Amazon S3 や Apache Kafka などのサービス用のコネクタをサポートしています。
インテリジェントな解析と正規化:フィールドマッピングを備えた柔軟な解析エンジンを使用して、非構造化された生ログを、リアルタイムで統一・標準化されたデータモデルに変換します。
グローバルな分析と追跡:正規化されたデータを基に、統合的な脅威検出、クラウドをまたがる攻撃の追跡、およびコンプライアンス監査を実行します。
Web 侵入の調査
課題:Web アプリケーションが侵害されると、攻撃者は通常、複数の脆弱性を連鎖させて攻撃します。Web アプリケーションファイアウォール (WAF) 、ホストセキュリティ、およびネットワークトラフィックからのログを手動で関連付けて攻撃シーケンスを再構築する作業は、時間がかかり、エラーも発生しやすくなります。
Agentic SOC による解決策:
自動検出と関連付け:Agentic SOC は、WAF のログとホストセキュリティのログを収集・分析します。Web シェルのアップロードや異常なプロセスの実行などのアクティビティを検出すると、個々のアラートを自動的に関連付け、単一の包括的な Web 侵入インシデントにまとめます。
攻撃パスの再構築:インシデントの詳細ページには、完全な攻撃タイムラインが表示されます:初期の Web アクセスや脆弱性の悪用から、Web シェルの書き込み、リバースシェルの実行、悪意のあるコマンドの実行に至るまで。
自動応答:Block Source IP via Cloud Firewall プレイブックを実行して、Cloud Firewall にネットワークエッジで攻撃者のソース IP をブロックするよう自動的に指示します。
クリプトマイニングマルウェアの修復
課題:クリプトマイニングマルウェアは、大量のコンピューティングリソースを消費し、クラウドコストを増大させ、正当なワークロードのパフォーマンスを低下させます。プロセスの特定、ファイルの隔離、マイニングプールへの接続のブロック、およびエントリーポイントへのパッチ適用といった手動の修復プロセスは、時間がかかり、エラーも発生しやすくなります。
Agentic SOC による解決策:
正確な検出:Agentic SOC は、ホストセキュリティのログ、VPC フローログ、および組み込みの脅威インテリジェンスを組み合わせて、
xmrigのようなクリプトマイニングプロセスや、マイニングプールへの異常なネットワーク接続を特定し、クリプトマイニングアクティビティインシデントを生成します。AI 支援による分析:AI アシスタントがインシデントを分析し、過去のケースやベストプラクティスに基づいて対応アクションを推奨します:例えば、"terminate the malicious process and block the mining pool IP" などです。
自動応答:推奨応答ポリシーを使用してプレイブックを実行し、悪意のあるプロセスを終了させ、クリプトマイニングファイルを隔離します。
仕組み
Agentic SOC は、生ログの収集から自動応答まで、4 つの段階からなるワークフローに従います。
ログ収集と解析:クラウド製品、サードパーティ製デバイス、ビジネスアプリケーションから生ログを収集します。
アラート生成:組み込みの検出ルールを使用して大量のログから潜在的な脅威を特定するか、サードパーティ製品からネイティブアラートを直接取り込みます。
インシデントの集約と処理:設定可能な相関ルールとグラフコンピューティングモデルを使用して、同一の攻撃を示す複数のアラートを単一のインシデントに関連付けます。
レスポンスオーケストレーション:事前定義された条件に基づいて自動的に、または手動でプレイブックをトリガーします。プレイブックはコンポーネントアクションを呼び出してレスポンスポリシーを生成し、自動修復のためのレスポンスタスクをディスパッチします。
キーコンセプト
コンセプト | 定義 | 詳細 |
エンティティ | アラートやインシデントに関与するコアオブジェクトです。IP アドレス、ドメイン名、ファイルハッシュ、プロセス、ホスト、コンテナ、クラウドリソース ID (例:ECS インスタンス ID)、ユーザーアカウントなどがこれに該当します。エンティティは、アラートを関連付け、攻撃パスを再構築するための基盤となります。 | — |
インシデント | 組み込みのルールとグラフコンピューティングモデルを使用し、さまざまなデータソースからの複数の関連アラートを相互に関連付けることで作成される、信頼性の高いセキュリティイベントです。Agentic SOC は、アラートを単一のインシデントに集約し、攻撃タイムラインを自動的に再構築します。 | — |
対応ポリシー | 特定のシナリオにおけるエンティティに対する対応アクションを指定します。エンティティに対して実行される各対応アクションは、一意のポリシーを生成します。 | — |
対応タスク | 対応ポリシーから生成され、特定のスコープを対象とする、個別の実行可能なジョブです。エンティティに対する各対応ポリシーは、適用範囲に基づいて 1 つ以上の対応タスクに分割されます。 | — |
対応オーケストレーション | 自動化されたワークフロー (プレイブック) を通じて、セキュリティ対応アクションを整理および管理するプロセスです。対応オーケストレーションは、事前定義されたロジックに基づいて一連の操作を自動的に実行し、インシデントに対応します。 | — |
プレイブック | トリガー、条件、アクション、エンドポイントから構成される、事前定義済みの自動化されたセキュリティワークフローです。ドラッグアンドドロップによるグラフィカル編集をサポートしており、クリプトマイニングやランサムウェアなどの特定のインシデントタイプに対する対応ロジックをカスタマイズできます。 | — |
コンポーネント | 外部のシステムやサービスに接続して操作するためのインターフェイスです。コンポーネントは、プレイブック内で特定のアクションを実行する構成要素です。 | — |
リソースインスタンス | アクションの対象となる特定のサービスインスタンスです。たとえば、Cloud Firewall インスタンスなどです。 | — |
アクション | コンポーネントによって実行される特定の機能です。1 つのコンポーネントに複数のアクションが含まれる場合があります。たとえば、エンドポイント管理コンポーネントには、アカウントの無効化、ネットワークの分離、通知の送信などのアクションが含まれる場合があります。 | — |
エージェント | 環境を認識し、意思決定を行い、自律的にアクションを実行するインテリジェントなエンティティです。Agentic SOC は、階層的なマルチエージェント連携アーキテクチャを使用しており、チームリーダーが脅威検出、インシデント調査、影響評価、ユーザーインタラクションを担当する専門のエージェントチームを調整します。 |
AI エージェントのアーキテクチャ
Agentic SOC のエージェントアーキテクチャは、Alibaba Cloud のクラウドネイティブなセキュリティデータドメインインフラストラクチャと深く統合されています。セキュリティ大規模言語モデルを基盤とし、脅威を自動的に検知し、深い推論を行い、共同調査を実行し、迅速にループを閉じる、エンドツーエンドの AI エージェントセキュリティ専門家チームを提供します。
3層アーキテクチャ
レイヤー | コンポーネント | 責務 |
クラウドネイティブエンジンレイヤー | Simple Log Service (SLS)、Flink / 時系列 SQL 検出エンジン、Igraph graph computing、大規模言語モデル (LLM) Qwen、SOAR オーケストレーションエンジン | 基本的なデータストレージ、コンピューティング、AI 機能 |
エージェント管理プラットフォーム | AgentRun 上に構築 | エージェントのライフサイクル、タスクスケジューリング、メモリ、ツール呼び出しオーケストレーションを管理 |
エージェントインテリジェンスレイヤー | チームリーダーと複数の専門エージェントチーム | セキュリティオペレーションタスクにおける自律的な推論と意思決定 |
各エージェントは ReAct 推論フレームワークに基づいて動作します:環境の認識 → 推論と分析 → アクションの計画 → 実行 → 結果の観察。このサイクルはタスクが完了するまで繰り返されます。
チームリーダーと専門エージェントチーム
このアーキテクチャは、階層的なマルチエージェント連携モデルを使用しています:
チームリーダー: Qwen シリーズのモデルを基盤とするチームリーダーは、グローバルなスケジューリング、タスクの分解、複雑な意思決定を担当する中央ディスパッチノードです。
専門エージェントチーム:各チームは、それぞれのドメインで独立してタスクを実行し、他のチームと協力します。
チーム | 責務 | コアエージェント |
脅威検出 | 複数のソースから得られる大量の異種データに対して詳細な分析を行い、既知および未知の脅威を特定します。 | プロセスチェーン分析エージェント、ネットワーク挙動分析エージェント、ファイル挙動分析エージェント、永続化検出エージェント |
インシデント調査 | ReAct フレームワークに基づいてインシデント調査を自律的に完了し、攻撃パスとタイムラインを再構築します。 | 攻撃パス再構築エージェント、IOC 抽出エージェント、アクション検証エージェント、対応エージェント |
影響評価 | セキュリティインシデントの範囲とリスクレベルを評価します。 | ラテラルムーブメント調査エージェント、リスクタイムウィンドウ検査エージェント、リスク相関分析エージェント |
ユーザーインタラクション | セキュリティオペレーション担当者と対話し、相談や分析サポートを提供します。 | 調査深化トリガーエージェント、検査タスク設定エージェント、セキュリティ相談 (RAG) エージェント |
利用可能なエージェントは Agentic SOC のエディションによって異なります。バージョンの違いと課金の詳細については、「Agentic SOC Basic Edition とセキュリティオペレーションエージェントの違い」をご参照ください。
メリット
Agentic SOC は、AI エージェントエンジンをセキュリティオペレーションのコアに統合し、人間と機械の協調から完全自動化されたレスポンスまでスケールするスマートな自動操縦モードを可能にします。
高精度の検出:99.94% のアラート削減率 グローバルな脅威インテリジェンス、グラフコンピューティング、クラウドネイティブのログ分析を組み合わせ、膨大なアラートの中から、新規、未知、および高度に回避的な脅威を正確に特定します。セキュリティインシデントの平均検出時間は数分に短縮されます。
秒単位の自動レスポンス:95% の修復カバレッジ ワンクリックの対応ポリシーと、手動設定なしですぐに使用できるカスタマイズ可能な標準装備の自動化されたプレイブックを提供します。セキュリティ製品やインフラストラクチャと連携し、完全に自動化された分析とレスポンスを提供します。AI エージェントエンジンを搭載したプレミアムインテリジェントサービスである Security Operations Agent は、Alibaba Cloud のネイティブなセキュリティデータおよびインフラストラクチャと深く統合されています。自律的な認識、推論、実行を用いて、セキュリティインシデントを独立して分析し、レスポンスを加速させます。
AI 支援による意思決定と攻撃全体像の再構築 グラフコンピューティングとセキュリティ大規模言語モデルを使用して、完全な攻撃パスとタイムラインを自動的に追跡・再構築します。内蔵の AI アシスタントがインシデントを要約し、正確な対応の推奨事項を提供します。
統一されたグローバルビュー:90% のアセット横断的なインシデント発見率 クラウド、アカウント、製品を横断するログデータの収集と処理を統一し、ハイブリッドクラウドのセキュリティオペレーションの複雑さを軽減します。一元管理と監査は、グローバルなセキュリティインサイトを提供し、コンプライアンスへの取り組みを簡素化します。
セキュリティ運用の効率性
平均検出時間 (MTTD)、平均確認時間 (MTTA)、平均応答時間 (MTTR) は、セキュリティ運用の効率性を測定するための標準的な指標です。以下のデータは、実際のユーザーからの統計に基づいています。
効率性の概要
指標 | 従来の手法 | Agentic SOC | 効率性の向上 |
MTTD (検出) | 時間単位 | 5 分 | 時間単位から分単位へ |
MTTA (確認) | 日単位 | 35 分 | 日単位から分単位へ |
MTTR (応答) | 日単位 / 週単位 | 90 分 | 日単位 / 週単位から 90 分へ |
指標の詳細
MTTD (平均検出時間) 攻撃が発生してからシステムが最初にそれを検出するまでの平均時間です。Agentic SOC は、脅威検出を時間単位から 5 分に短縮し、攻撃者の滞在時間を短縮し、迅速な対応のための重要な時間枠を確保します。
MTTA (平均確認時間) インシデントが検出されてからセキュリティチームがそれを真の脅威として確認するまでの平均時間です。Agentic SOC は、検出後に自動的に脅威を調査、追跡し、手動分析を日単位から 35 分に短縮します。
MTTR (平均応答時間) 脅威が確認されてからシステムが完全に修復され、復旧されるまでの平均時間です。Agentic SOC は、自動化された事前定義のプレイブックを使用して、確認から応答までの重要なアクションを数秒で実行し、全体的な応答時間を日単位から 90 分に短縮します。これにより、セキュリティチームは反復的なタスクから解放され、より深い脅威分析に集中できます。
エージェント処理効率
指標 | 説明 |
自律的な調査と分析率:81% | AI エージェントが、レベル 1 およびレベル 2 のインシデント分析を自律的に完了します。すべてのアラートデータに対し、人的介入なしで検証済みです。 |
アラートの関連付けと集約イベントの収束率:99.94% | 週に数万から数百万のアラートを処理し、それらを数百のセキュリティイベントに収束します。 |
インシデントトレーサビリティレポートの生成:100 倍高速化 | 完全な攻撃チェーンレポートを数分で生成します。手動分析の場合は数時間かかります。 |
ログの取り込みと標準化の効率性:90% | 意味認識を使用して、異種データソースからのログを統一セキュリティモデルに自動的に解析、マッピングし、ワンクリックで SPL を生成します。 |
サポートされている製品とログ
Agentic SOC は、Alibaba Cloud、Huawei Cloud、Tencent Cloud、Fortinet、Chaitin、Sangfor などのベンダーからのログをネイティブにサポートしています。また、カスタム製品からのデータインジェストもサポートしています。
デフォルトのインジェストポリシー、データソース、標準化ルールの詳細については、Agentic SOC コンソールをご参照ください。
ベンダー | 製品 | ログタイプ |
Alibaba Cloud | Security Center | ネットワーク防御アラートログ、クラウドプラットフォーム構成チェックログ、ベースラインログ、セキュリティアラートログ、脆弱性ログ、ランタイムアプリケーション自己保護 (RASP) アラートログ、クラウドセキュリティ態勢管理ログ;アカウントスナップショットログ、ネットワークスナップショットログ、プロセススナップショットログ;ホストログオン失敗ログ、DNS リクエストログ、ログオントレイルログ、プロセス起動ログ、ネットワーク接続ログ、ブルートフォース攻撃ログ |
Web Application Firewall (WAF) | WAF 全量ログ、ブロックされたログ、ブロックおよび監視されたログ、アンチクローラー全量ログ、API セキュリティイベントアラートログ、API リスクログ、WAF アラートログ | |
Cloud Firewall | Cloud Firewall アラートログ、Cloud Firewall トラフィックログ、NDR HTTP ログ、NDR DNS ログ、NDR イベントアラートログ | |
Anti-DDoS | Anti-DDoS Pro および Anti-DDoS Premium 全量ログ | |
Bastionhost | Bastionhost ログ | |
CDN | CDN フローログ | |
Edge Security Acceleration (ESA) | DCDN ユーザーアクセスログおよび DCDN WAF ブロックされたログ | |
API Gateway | API Gateway ログ | |
Container Service for Kubernetes (ACK) | Kubernetes 監査ログ | |
PolarDB | PolarDB-X 1.0 SQL 監査ログおよび PolarDB-X 2.0 SQL 監査ログ | |
ApsaraDB for MongoDB | MongoDB 監査ログ | |
ApsaraDB RDS | RDS SQL 監査ログ | |
Virtual Private Cloud (VPC) | VPC フローログ | |
Elastic IP Address (EIP) | Elastic IP Address ログ | |
Server Load Balancer (SLB) | ALB アクセスログおよび CLB アクセスログ | |
Object Storage Service (OSS) | OSS アクセスログ | |
ActionTrail | ActionTrail イベントログ | |
CloudConfig | 構成監査ログ | |
File Storage NAS | NAS NFS 運用ログ | |
AI Guardrails | Alibaba Cloud AI セキュリティガードレールログ | |
Tencent Cloud | Web Application Firewall | Tencent Cloud Web Application Firewall アラートログ |
Cloud Firewall | Tencent Cloud Firewall アラートログ | |
Huawei Cloud | Web Application Firewall | Huawei Cloud Web Application Firewall アラートログ |
Cloud Firewall | Huawei Cloud Firewall アラートログ | |
Azure | Windows Defender for Endpoint | エンドポイントアラートログ |
Azure Active Directory | Azure Active Directory 監査ログおよび Azure Active Directory ログオン監査ログ | |
Activity | 監査ログ | |
SQL Database | SQL Server 監査ログ | |
AWS | CloudTrail | CloudTrail ログ |
Redshift | Redshift 監査ログ | |
GuardDuty | GuardDuty 検出結果アラートログ | |
PostgreSQL on Amazon RDS | PostgreSQL イベントログ | |
Volcengine | Security Center | HIDS アラートログ |
Fortinet | Fortinet Firewall | Fortinet Firewall アラートログ、Fortinet Firewall フローログ、Fortinet 監査ログ |
Chaitin | Chaitin WAF | Chaitin WAF アラートログおよび Chaitin WAF フローログ |
Microsoft | Microsoft Defender for Endpoint | Windows セキュリティイベントログ |
Sangfor | Sangfor Endpoint Secure aES (EDR) | エンドポイントでの検出と対応アラートログ |
Hillstone Networks | Hillstone Networks Firewall | Hillstone Networks Firewall アラートログ |
Tophant | Tophant 全トラフィックセキュリティコンピューティングおよび分析プラットフォーム | Tophant 全トラフィックセキュリティコンピューティングおよび分析プラットフォーム製品アラートログ |
SkyGuard | DLP | DLP アラートログ |
Threatbook | OneSEC | OneSEC アラートログ |
Cisco | Cisco Firepower Firewall | ファイアウォールアラートログ |
Palo Alto | 次世代ファイアウォール | ファイアウォールアラートログ |
Cortex XDR | Palo Alto Cortex アラートログおよびエンドポイントアラートログ | |
Panorama | Panorama 製品ログ | |
Ege Cloud | Polaris | レイヤー 4 内部ネットワークアクセスログおよびデータ監査ログ |
カスタムベンダー | カスタム製品 | ファイアウォールアラートログ、ファイアウォールトラフィックログ、Web Application Firewall (WAF) アラートログ、WAF トラフィックログ |
バージョンアップグレード
2025年4月3日以降に Agentic SOC を有効化したアカウントは、最新のアーキテクチャでプロビジョニングされます。
Agentic SOC 2.0 はログ正規化機能を基盤とし、Simple Log Service (SLS) の機能を再利用して、サードパーティクラウドおよびオンプレミスのセキュリティ製品からのデータインジェストを簡素化します。
バージョン間の主な違いについては、「Agentic SOC 2.0 と 1.0 の違い」をご参照ください。
よくある質問
Agentic SOC と従来の SIEM の違いは何ですか?
Agentic SOC はクラウドネイティブ環境向けに設計されており、従来の SIEM と比べて、主な違いが 4 つあります:
クラウドネイティブな統合:Alibaba Cloud および主要なクラウドプロバイダーと統合します。クラウドアセット、構成、トポロジーを理解し、クラウド環境全体でコンテキストに応じた脅威分析を提供します。
組み込み SOAR:統合された SOAR エンジンを備えています。Agentic SOC は脅威を検出するだけでなく、プレイブックを使用してクラウド製品とインフラストラクチャ全体で自動修復をオーケストレーションし、検出から対応までを完結させます。
AI 駆動型分析:組み込みのグラフコンピューティングとセキュリティ大規模言語モデルを使用して、アラートをセキュリティインシデントに自動的に集約し、攻撃タイムラインを再構築することで、高度な脅威の検出効率を向上させます。
すぐに使えるシナリオ:クリプトマイニング、ランサムウェア、Web 侵入など、一般的なクラウド攻撃シナリオ向けに、すぐに使える検出ルールと対応プレイブックを提供します。開始にあたって設定は不要です。