Agentic SOC のオートメーションルールは、SOAR (Security Orchestration, Automation, and Response) を通じてセキュリティシステムとサービスをオーケストレーションし、アラートとインシデントに対する自動応答を可能にします。
背景情報
セキュリティの専門家は、セキュリティレビューやトロイの木馬、マイニングプログラムへの対処といった定型作業に多くの時間を費やしており、ネットワーク防御やセキュリティ研究などの重要な業務に集中しにくい状況です。
SOAR は日常的なセキュリティ運用を自動化し、インシデントレスポンスを加速します。これにより、セキュリティの専門家は APT に注力できます。SOAR で明確かつ実行可能な標準として文書化された定型プロセスは、他の担当者にとってのベストプラクティスにもなります。
用語
オートメーションルールの主要な概念は次のとおりです。
|
用語 |
説明 |
|
プレイブック |
|
|
プロセス |
|
|
コンポーネント |
|
|
リソースインスタンス |
外部サービス内の特定のリソースです。たとえば、MySQL コンポーネントを使用する場合は、接続先の MySQL データベースを指定する必要があります。 |
|
アクション |
コンポーネントが提供する機能です。各コンポーネントは複数のアクションをサポートします。たとえば、端末管理コンポーネントは、アカウントの無効化、ネットワーク隔離、通知の送信などのアクションを提供します。 |