すべてのプロダクト
Search
ドキュメントセンター

Security Center:オートメーションルール

最終更新日:May 28, 2026

Agentic SOC のオートメーションルールは、SOAR (Security Orchestration, Automation, and Response) を通じてセキュリティシステムとサービスをオーケストレーションし、アラートとインシデントに対する自動応答を可能にします。

背景情報

セキュリティの専門家は、セキュリティレビューやトロイの木馬、マイニングプログラムへの対処といった定型作業に多くの時間を費やしており、ネットワーク防御やセキュリティ研究などの重要な業務に集中しにくい状況です。

SOAR は日常的なセキュリティ運用を自動化し、インシデントレスポンスを加速します。これにより、セキュリティの専門家は APT に注力できます。SOAR で明確かつ実行可能な標準として文書化された定型プロセスは、他の担当者にとってのベストプラクティスにもなります。

用語

オートメーションルールの主要な概念は次のとおりです。

用語

説明

プレイブック

  • 特定のインシデントまたはセキュリティ脅威が検出された際に実施する手順を定義した、構造化された対応計画です。

  • オートメーションルールのアクションとして [Run Playbook] を設定すると、アラートとインシデントを自動的に処理できます。

  • 各プレイブックには 1 つのプロセスが含まれます。バージョン管理の適用、入力/出力テストの実行、実行回数の追跡、結果の分析を行えます。

  • プレイブックの種類:

    • [Predefined Playbook]:一般的なクラウドのセキュリティ脅威に対応する、すぐに使用できるプレイブックです。オートメーションルールに直接適用できます。たとえば、組み込みプレイブックを使用して、Alibaba Cloud のセキュリティグループで高リスクのインバウンド IP アドレスをブロックできます。

    • [Custom Playbook]:コンポーネントを柔軟に構成できる、ユーザー定義のプレイブックです。複雑なロジックや特定のビジネスシナリオに適しています。

プロセス

  • 事前定義された手順に従って、特定の目標を達成するために 順次実行されるタスクまたはアクション の一連の流れです。例として、自動通知や即時修復のプロセスがあります。

  • 標準的なフローチャートのように自動化プロセスを構築します。各プロセスには、接続されたコンポーネントで構成される 開始、判定、アクション、終了ノード が含まれます。キャンバス上でプロセスを視覚的に編集し、端末管理コンポーネントのネットワーク無効化アクションなど、各コンポーネントのアクションを定義します。

  • プロセスは作成後にトリガーできます。たとえば、チケットを作成することで、チケットの自動レビュープロセスをトリガーできます。

コンポーネント

  • コンポーネントは、WAF、ファイアウォール、チケットシステム、データベース、通知サービスなどの 外部システムまたはサービスに対応 します。コンポーネントはコネクタとして機能します。複雑なロジックは持たず、接続先の外部システムに処理を委譲します。

  • コンポーネントを選択した後、そのコンポーネントの アセットアクション を選択する必要があります。

  • コンポーネントは プロセスオーケストレーションコンポーネント、基本オーケストレーションコンポーネント、セキュリティ処理コンポーネント に分類されます。

リソースインスタンス

外部サービス内の特定のリソースです。たとえば、MySQL コンポーネントを使用する場合は、接続先の MySQL データベースを指定する必要があります。

アクション

コンポーネントが提供する機能です。各コンポーネントは複数のアクションをサポートします。たとえば、端末管理コンポーネントは、アカウントの無効化、ネットワーク隔離、通知の送信などのアクションを提供します。

プロセスフローチャート

image