SOARによる内部脅威への対応

 

内部脅威は、組織と関係のある個人が、知的財産やその他のデータの窃盗など、悪意を持ってアクセス権を悪用した場合に発生します。内部脅威の検出は困難な場合があります。しかし、セキュリティ情報イベント管理（SIEM）システムやデータ損失防止（DLP）製品を活用することで、組織から不正または予期せぬデータが流出したことを検知し、アラートを生成できます。.

これらのイベントを検知したら、セキュリティオペレーションセンター（SOC）は迅速に調査する必要があります。Swimlaneと当社の 内部脅威のユースケース, 、これらの内部脅威を迅速かつ正確に調査し、対応することができます。.

SIEMまたはDLP製品からアラートを受信すると、Swimlaneはアラートを自動的に取り込み、調査を開始します。このユースケースの最初のステップは、アラートを生成したユーザーに関する情報をActive Directoryに自動的に照会することです。このステップが完了すると、Swimlaneは複数のオープンソースインテリジェンス（OSINT）と脅威インテリジェンスソースを使用して自動的にエンリッチメントを開始し、宛先IPアドレスが悪意のある（または既知の悪意のある）ものである可能性を判断します。.

さまざまなエンリッチメント ソースのサンプルとして、このユース ケースには次の製品との統合が含まれています。

• ウイルストータル
• ハイブリッド分析
• エイリアンボールトOTX
• マルチバース
• 脅威マイナー
• 能力
• IPINFO.io
• ウイルストラッカー

社内外の脅威インテリジェンスなど、様々なソースを追加したい場合は、200以上の連携機能をご利用いただけます。お客様の製品との連携機能がまだない場合でも、バックログに既に対応している可能性があります。また、連携をリクエストすることも可能です（当社の連携チームは優秀なチームです！）。.

Swimlaneは結果に基づき、エンリッチメントソースを集計し、スコアリングします。次に、SwimlaneはSIEM（この例ではElastic）にクエリを送信し、このIPアドレスと通信している可能性のある他のシステムの有無を確認します。エンリッチメントソースのスコアと追加ログの組み合わせにより、低、中、高の判定ステータスが生成されます。次の図は、このプロセスの概要を示しています。

全体的な決定がmと考えられる場合エディウム、, スイムレーンは、インシデント対応チームなどの必要な関係者に自動メール通知を送信します。決定がhと判断された場合、高い, 、Swimlane は電子メール通知の送信に加えて追加のアクションを実行します。

Swimlaneは、Active Directory内のユーザーアカウントを自動的に無効化し、組織で定義された適切な担当者にメールで通知を送信します。最後に、SwimlaneはEDR製品（この場合はCarbon Black）を使用して、このホストを隔離します。追加の対応や修復が必要な場合は、ワークフローに簡単に追加できます。.

他のユースケースと同様に、内部脅威の調査と対応のためのワークフローは定義済みで、組織のニーズに合わせて簡単に変更できます。リスクスコアの計算方法を変更したり、特定のエンリッチメントソースに他のエンリッチメントソースよりも高い重み付けを設定したりすることも簡単に行えます。また、特定の自動アクション（その他の必要なアクションに加えて）の実行タイミングも簡単に変更できます。.

こちらは スイムレーン内部脅威のユースケース ワークフローの概要:

ご紹介したとおり、 内部脅威のユースケース ワークフローのユースケースを実際に見てみましょう！登録はこちら 今後のSwimlaneウェビナー 今！