IBM Security SOARについて
IBM Security SOAR (旧レジリエント) は、セキュリティー・チームがサイバー脅威に自信を持って対応し、インテリジェンスで自動化し、一貫性を持って連携できるように設計されています。確立されたインシデント対応プロセスを動的なプレイブックに体系化することで、チームがインシデントを解決できるように導きます。オープンで非依存的なプラットフォームは、インテリジェンスによるアクションの自動化と他のセキュリティ ツールとの統合により、対応を加速し、調整するのに役立ちます。
機能、ワークフロー、ルール
クライアントは、 Recorded Futureデータに基づいて特定のアクションを実行したり、ワークフローを次のステップに進めたりするカスタム ワークフローを作成することもできます。 Recoded Future for IBM Security SOAR アプリをインポートすると、2 つのワークフロー例が表示されます。
Recorded Futureワークフロー 1:データを変換し、アーティファクトの説明セクションに配置します。
Recorded Futureワークフロー 2:リスク スコアが 50 以上の場合、インシデントにリスク スコアとIntelligence Card URL を含むメモを作成します。
IBM Each Workflowは、Recorded Future for IBM Security SOARパッケージに付属するサンプルルールの一部です。
Recorded Futureチェックは自動ルールであり、アーティファクトが作成されるたびにトリガーされます。 内部的にはワークフロー #2 を使用します。
Recorded_Future_Lookupは手動ルールであり、アーティファクト ページのオプション メニューから実行できます。内部的にはワークフロー #1 を使用します。
アーティファクトの充実
IBM Security SOARのデプロイメントを構成することで、 Recorded FutureのThreat Intelligenceコンテキストを使用して、インシデントに追加されたアーティファクトを自動または手動でエンリッチメントできます。インシデントの対応者がIBM Security SOARでアーティファクトをキャプチャーすると、統合によってRecorded Futureへの最新のThreat Intelligenceエンリッチメントのリクエストが自動的に送信されます。エンリッチメントの検索はバックグラウンドタスクとして実行され、エンリッチメントが利用可能になると、IBM Security SOARのインシデント対応者に対してアーティファクトにフラグが付けられます。
強化されたアーティファクトの種類は次のとおりです。
- DNS名
- Threat CVE ID
- MD5ハッシュ、 SHA1ハッシュ、 SHA256ハッシュ
- URL
- IPアドレス
例: IPアーティファクトの作成
例: インシデントに添付されたアーティファクトを手動で強化する
例: エンリッチメントされたアーティファクトのエンリッチメント詳細にマウスを合わせる
例: インシデントに添付されたアーティファクトの完全なエンリッチメントをクリックする
インストール
インストールおよび使用方法の手順は、IBM App Exchangeから直接ダウンロードできます。
その他のリソース