Security Center:SOAR

用語

説明

プレイブック

• プレイブックは、特定のインシデントや脅威に対処するために調整された、構造化された対応計画です。特定のセキュリティインシデントの検出など、特定の条件が満たされた場合に実行すべきステップとアクションの概要を示します。

• 自動応答ルールの操作として「プレイブックの実行」を指定し、プレイブックを選択してアラートやインシデントを自動的に処理できます。

• プレイブックは単一のプロセスで構成されます。バージョン管理の実装、入出力テストの実施、実行回数の追跡、およびプロセスの結果の分析が可能です。

• プレイブックの種類：

  • Predefined Playbook：一般的なクラウドセキュリティの脅威シナリオに対応するため、システムには定義済みのプレイブックプロセスが用意されています。これらのプレイブックを直接使用してセキュリティインシデントを管理し、自動応答ルールに実装することで、使用を簡素化できます。たとえば、組み込みのプレイブックは Alibaba Cloud セキュリティグループを活用して、インバウンドの高リスク IP アドレスをブロックできます。

  • Custom Playbook：ビジネスシナリオに合わせて、さまざまなコンポーネントを選択し、柔軟に設定できます。このタイプのプレイブックは、複雑なロジックや特定の状況に最適です。

プロセス

• プロセスは、順次実行される一連のタスクまたはアクションです。プロセスは、事前定義されたステップを実行することによって、特定の目標を達成したり、特定の機能を実装したりするように設計されています。自動通知プロセスや自動即時修正プロセスなど、さまざまな自動化プロセスを作成できます。

• 標準的なフローチャートを描くのと同じ方法で、自動化プロセスを作成できます。自動化プロセスには、開始、判断、アクション、終了の各ノードが含まれます。プロセスは、相互に接続された複数のコンポーネントで構成されます。キャンバス上で視覚的にプロセスを編集し、プロセス内の各コンポーネントのアクションを定義できます。たとえば、端末管理コンポーネントに対してネットワーク無効化アクションを定義できます。

• プロセスは作成後にトリガーできます。たとえば、チケットが作成された後、自動チケットレビュープロセスがトリガーされます。

コンポーネント

• コンポーネントは、WAF、ファイアウォール、チケットシステム、データベースサービス、通知サービスなどの外部システムまたはサービスに対応します。コンポーネントは、外部システムまたはサービスに接続するコネクタとして解釈できます。コンポーネントには複雑なロジックは含まれません。複雑なロジックは、コンポーネントに接続されている外部システムまたはサービスによって提供されます。

• コンポーネントを選択した後、コンポーネントのアセットとアクションを選択する必要があります。

• コンポーネントは、プロセスオーケストレーションコンポーネント、基本オーケストレーションコンポーネント、およびセキュリティハンドリングコンポーネントに分類されます。

リソースインスタンス

リソースインスタンスは、外部サービスのリソースです。MySQL コンポーネントを例にとると、企業は複数の MySQL データベースを使用している場合があります。MySQL コンポーネントを使用する際には、どのデータベースに接続するかを決定する必要があります。

アクション

アクションは、コンポーネントによって提供される機能の一種です。各コンポーネントは複数のアクションを持つことができます。たとえば、端末管理コンポーネントは、アカウントの無効化、ネットワークの隔離、通知の送信などのアクションをサポートします。