今日の複雑なサイバーセキュリティ環境において、企業は迅速かつ効果的な対応を必要とする圧倒的な数のセキュリティ警告やインシデントに直面しています。セキュリティオーケストレーション、自動化、レスポンス(SOAR)プラットフォームは、反復的なタスクを自動化し、セキュリティチーム間のシームレスなコラボレーションを可能にすることによって、セキュリティオペレーションを合理化する貴重なツールとして登場しました。人工知能(AI)機能をSOARのプレイブックに統合することで、効率と効果を新たな高みへと導き、インシデントレスポンスに革命をもたらし、潜在的な脅威を軽減することができます。この記事では、SOARプレイブックにおけるAIの多くの可能性をいくつか取り上げ、AIがセキュリティ運用にもたらす変革の可能性を強調します。
目次
インシデントの概要を生成
機械学習と高度な分析の力を活用することで、AIシステムはセキュリティデータを分析し、簡潔なインシデントシナリオを迅速に作成することができます。AIは、自然言語処理とインテリジェントな文脈を活用し、ログ、アラート、脅威情報などの多様なデータソースをふるいにかけて、有意義な洞察を抽出することが可能です。これにより、セキュリティアナリストやインシデント対応担当者は、インシデントの性質、潜在的な影響、緩和のために必要なステップを迅速に把握することができます。SOARのAIは、わかりやすいインシデントの説明を提供することで、組織が情報に基づいた意思決定と迅速な行動を取ることを支援し、防御を強化してセキュリティ侵害の影響を最小限に抑えることができます。
修復のための推奨事項を提供
AIは、過去のインシデントデータと過去の修復アクションから学習し、効果的な修復戦略の推奨事項を提供することができます。現在発生しているインシデントと過去に解決したインシデントの特徴や類似点を分析することで、AIは実証済みのベストプラクティスに基づく適切な修復手順を提案できます。これらの推奨事項には、侵害されたシステムの隔離、パッチの適用、セキュリティ設定の更新、追加のセキュリティ制御の導入などの具体的なアクションを含めることができます。大量のデータを処理し、実用的な洞察を導き出すAIの能力を活用することで、セキュリティチームは迅速かつ効率的に対応し、インシデントの影響を軽減し、将来の同様の発生を防止することができます。
保護のための推奨事項を提供
AIは修復の推奨事項に加え、将来のインシデントを防止するためのセキュリティ態勢の改善に関するガイダンスも提供できます。AIは、インシデントデータを分析することで、脆弱性、設定ミス、セキュリティ制御のギャップを特定することができます。この分析に基づいて、AIは、侵入検知・防止システムの導入、アクセス制御の強化、セキュリティポリシーの更新、セキュリティ啓発トレーニングの実施など、防御を強化するための推奨事項を提示することができます。このような積極的な提案により、組織は全体的なセキュリティ体制を強化し、将来のインシデントのリスクを軽減できます。
多言語対応
AIの言語処理能力により、SOARプラットフォームは多言語に対応し、インシデントレスポンスにおける言語の障壁を克服できます。インシデントレポートの分析、英語以外のソースからの情報抽出、グローバルチームとのコミュニケーションなど、AIは様々な言語のテキストを理解し処理することができます。この多言語サポートにより、セキュリティチームは、セキュリティチームは効果的にインシデントに対処し、多様な国際環境でシームレスに連携できるようになり、SOARプラットフォームの全体的な有効性と範囲が強化されます。
自動データ操作
誤った正規表現を使わず、IOCを収集する
正規表現(regex)を使ってIOC(Indicators of Compromise)を抽出する従来の方法は、エラーが発生しやすく、時間がかかることがあります。AIを活用したアルゴリズムは、自然言語処理や機械学習などの高度な技術を採用してIOCを正確に収集することで、これらの制約を克服することができます。テキストデータ、ネットワークトラフィック、行動パターンを分析することで、AIはIOCをより確実に特定・抽出し、誤検知を低減することができます。この自動化されたIOC抽出により、自動化の効率と精度が向上します。
データ変換
AIは、SOARプラットフォーム内のセキュリティデータを正規化し、充実させるために不可欠な、自動データ変換を可能にします。さまざまなソースからのさまざまなデータ形式と構造により、データ変換タスクはセキュリティチームにとって複雑で時間のかかるものになる可能性があります。AIは、データ属性の特定とマッピング、データクレンジングの実行、正規化技術の適用により、これらのプロセスを自動化することができます。この変換により、データ統合が簡素化され、異なるデータセット間でシームレスな相関と分析が可能になります。充実した標準化されたデータにより、インシデント対応の一貫性が確保され、SOARプラットフォーム内の自動ワークフローの有効性と意思決定が改善されます。
図 3: データ変換
自動化された意思決定
AIによる自動意思決定は、利用可能な対応アクションとその潜在的な結果を考慮することで、インシデント対応プロセスを最適化する上で重要な役割を担っています。インシデントに直面した場合、セキュリティチームは、IPアドレスのブロック、デバイスの隔離、フォレンジック調査の開始など、自由に使える複数の対応策を持つことがよくあります。AIは、過去のインシデントデータ、脅威インテリジェンスフィード、機械学習モデルを活用して、情報に基づいた最適な対応策に関する意思決定を行うことができます。インシデントの特徴、重大性、関係する資産、組織のセキュリティ・ポリシーを分析することで、AIは最適な対応策を決定することができます。この自動化された意思決定プロセスにより、セキュリティチームは貴重な時間を節約し、手動による意思決定で発生しうる人為的ミスのリスクを低減することができます。
Trellixの自動応答へのAIの統合
TrellixとOpenAI for Automated Responseの統合により、これらのアイデアの多くとそれ以上のものを利用することができるようになります。以下の手順で、今日からあなたのインスタンスにOpenAIを統合することができます。
OpenAI APIキーを取得する
-
- https://platform.openai.com/login?launchにログイン
- APIの選択
-
- 3. プロフィールアイコンを選択
4.「APIキーを表示」を選択
5. 新しい秘密キーの作成を選択
6. APIキーの名前を入力
7. 新しく作成した統合用のキーを保存
自動応答での統合の構成
-
- インスタンスに統合をインストール
a. プラグインを手動でダウンロードする必要がある方は、以下のURLでダウンロードできます。
https://fireeye.market/apps/wBmqIEc2
b. マーケットプレイスに直接接続しているインスタンスでは、プラグインメニューからワンクリックで統合を直接インストールすることができます。
2. 統合用の新しいデバイスを追加
3. デバイスの詳細を入力
4. API キーを入力
5. 設定を保存
これで、Trellix自動応答プレイブックで統合を利用する準備が整いました。あなたの組織でのこのようなプレイブックの使用例について議論をされたい場合、また時間のかかるタスクを自動化するためのプレイブックを組織に導入するためのサポートが必要な場合は、Trellixの営業担当者に連絡をお取りいただき、Trellixプロフェッショナルサービスがどのように支援できるか、オプションについてご相談ください。
注意:ChatGPTに送信されるデータには注意が必要です。AIに送信されたすべてのデータは、モデルが学習し、より効果的になるためにこのデータを使用するように、APIのすべてのユーザー間で共有されています。
実際の動作の様子は、以下のビデオでご覧いただけます。
※本ページの内容は2023年6月7日(US時間)更新の以下のTrellix Storiesの内容です。
原文: Harnessing the Power of AI in SOAR: Enhancing Incident Response and Automation
著者: Tyler Horschig