SOAR と自動化された電子メール脅威対応におけるフィッシング トリアージの使用例を強調表示する電子メール受信トレイ通知アイコン

最初のSOARユースケース:フィッシングトリアージ

ユーザーアバター
ジェイ・スパン
3 1分間の読書

 

フィッシング 依然として危険なほど効果的な攻撃方法であり続けている。 成功した攻撃の91%はフィッシングから始まります. 平均すると、, 送信されたフィッシングメールの30%が開封され閲覧される. メールの作成と送信にかかるわずかなコストと労力を考えると、 この方法が今でも人気があるのも不思議ではない 攻撃者にとって、フィッシング攻撃を見抜くことはますます困難になっています。フィッシングメールを送信する攻撃者は、悪意のある添付ファイルやリンクがアクセスされるまでに、10%から15%の時間がかかると予想しています。 一部の企業では.

フィッシングなし オートメーション, 、アナリストは、何らかの検出システムまたはユーザーからの通知を通じて、潜在的に悪意のあるメールを手動で受信する必要があります。次に、アナリストはメールを調査し、詳細を手動で抽出して検証する必要があります。これは、メールのすべての部分(ヘッダー、本文などすべて)を詳細に調べ、侵害の兆候(IOC)になりそうなものを特定することを意味します。IOC のリスクを判断するために、アナリストはさまざまな脅威インテリジェンスとエンリッチメント ソースにアクセスする必要があります。これには通常、IOC を調査してリスクを判断するために、情報をコピーして別のウィンドウまたはブラウザー タブに貼り付ける必要があります。これらの手順は面倒で時間がかかり、単調で、反復的で、簡単に混乱します。対応と修復アクションを実行すると、1 つの潜在的なフィッシング メッセージを処理するタスク全体にさらに多くの手順と時間が追加されます。.

この問題に対処する優れた方法は、既存のツールとスタッフを大幅に効率化することです。. フィッシングトリアージの自動化セキュリティオーケストレーション、自動化、対応(SOAR) は、ほとんど、場合によってはすべての手作業を排除する方法です。さらに、SOAR は、すべてのイベントとすべての関連ステップを機械の速度で処理する方法を提供します。Swimlane を SOAR プラットフォームとして使用すると、電子メールを取り込んで解析し、脅威インテリジェンスを検索して対応と修復を処理できるため、これらのステップは人間の能力をはるかに超える速度で実行されます。また、これらのステップは、プレイブックに従って実行されることが保証されています。Swimlane はステップを省略したり、誤ってミスをしたりすることがないため、精度も人間の能力を超えています。最も重要なことは、SOAR は、アナリストをすぐに疲れさせ、圧倒してしまう退屈で単調な反復タスクを処理することです。つまり、アナリストは、調査、脅威ハンティング、疑わしいイベントの専門家による評価など、より重要な人間のタスクに価値を提供できるようになります。下の図は、Swimlane を使用してフィッシング トリアージを実現する方法の 1 つを示す全体像です。.

最初のSOARユースケースフィッシングトリアージ

このフィッシングインシデントワークフローは、Swimlaneが監視対象の組織のメールボックスからメールを取り込むことから始まります。このメールボックスには、ユーザーがスパムの疑いのあるメールや、 フィッシングメール. メールが届くと、自動的に取り込まれ、解析されます。ヘッダー、件名、本文、メールアドレスなどの詳細情報は、新しく作成されたケースレコードのデータフィールドに入力されます。IPアドレス、URL、ドメインなどの潜在的なIOC(侵入の痕跡)も、適切なフィールドに入力されます。ワークフローによってIOCが特定されると、他のツールとの統合が自動的に開始され、データが拡充され、関連するリスクレベルが判断されます。フィッシングワークフローでは、統合機能を使用してユーザーの詳細を確認し、必要に応じてレコードに追加のユーザー情報を追加します。メール内の添付ファイルやURLは、サンドボックスリソースを使用して展開され、評価されます。このワークフローでは、ファジーハッシュを使用してデータを他の既知のイベントと照合します。.

様々なツールやリソースから返されたデータは、すぐにレコードに追加されます。ワークフローは、レコード内の統合された情報を使用して、全体的なリスクスコアと、 フィッシングメール 悪意のある、疑わしい、または無害と見なすべきです。全体的なリスクが深刻で、メールが悪意のあるものであることを示す場合、ワークフローは指定された対応や修復を実行します。この例では、EDRツールを使用してエンドポイントを自動的に隔離する、システムを感染していない状態に復元するためのITチケットを自動的に生成して割り当てる、SOCとユーザーに状況を知らせる通知を送信するなどの手順が含まれます。.

スイムレーン また、脅威ハンティングなどの追加のプロアクティブなタスクの自動化も実現します。悪意のあるメールが発見されると、SOARソリューションは組織内のすべてのメールボックスを即座に検索し、悪意のある兆候が見られる他のメールボックスを特定します。必要な自動化レベルに応じて、これらの追加メールを自動的に削除するか、選択したアクションをワンクリックで選択してアナリストに自動的に提示することができます。. フィッシングアラートのトリアージの自動化 これは、SOAR が組織にもたらすメリットを示す 1 つのユースケース例にすぎません。. 私たちと一緒に飛び込みましょう さらに詳しく知るには!

タグ

2025 年 3 月 26 日
モバイルフィッシングの増加とモバイルフィッシングの防止方法
続きを読む
2024 年 5 月 10 日
RSA 2024の裏側:初参加者の成功と苦難
続きを読む
2021年11月17日
ブラックフライデー以降のサイバーセキュリティ:小売業向けセキュリティ自動化のユースケース
続きを読む

ライブデモをリクエストする