SecOpsコミュニケーションを変革し、インシデント解決を迅速化するためのヒント

セキュリティアナリストの悩み

セキュリティ組織の複雑化と相互連携が進むにつれ、セキュリティ担当者は、それぞれのチーム外の関係者との連携の中核を担うことが多くなります。こうした部門横断的なコミュニケーションの責任は、既に多忙な日常業務に加えて、さらに重くのしかかることになります。.

セキュリティオペレーションセンターの一日（SOC）アナリストは次のように展開します。

1. その セキュリティ自動化 プラットフォームはアラートを受信します。アラートを自動的に処理・強化し、アナリストに通知します。これにより、アナリストは今後の調査に必要な関連情報を可能な限り多く得ることができます。.

2. ケースをレビューした後、アナリストはユーザーのアクティビティの目的と想定される性質を確認する必要があります。この例では、ユーザーは社内にいますが、セキュリティ部門の外部にいます。.
   
3. 次に、セキュリティアナリストはユーザーに連絡を取り、ケースを更新しますが、調査を続行するにはユーザーからの返答を待つ必要があります。その間、 SOCアナリスト 次のアラートに進みます。.
   
4. 任意の時間が経過すると、ユーザーはアナリストのメッセージを確認し、応答します。.

5. そうして初めて、セキュリティアナリストは調査を続行できます。タスク切り替え後、アナリストはケースの詳細を再確認する必要があります。.

このプロセスはアナリストにとってフラストレーションの要因となり、アラート解決全体の遅延につながります。アナリストはユーザーが返信するタイミングを把握できず、ケースを改めて理解する必要があり、作業負荷が増大します。.

実践者のための力：シームレスなコミュニケーションの価値 

スイムレーンタービン セキュリティ自動化プラットフォームの機能拡張として、コラボレーションモジュールを提供しています。このコラボレーション拡張機能は、モジュール式で再利用可能なコンポーネントを使用して、定義済みのテンプレートを作成し、メール、Slack、Microsoft Teamsなどの外部メッセージングシステムにコンテキストに応じたメッセージを送信します。これらのメッセージは、例えば以下のような、ユーザーが定義した任意の数の選択肢に基づいてアクションをトリガーできます。 承認、確認、拒否、または連絡の要求. コラボレーション拡張機能に含まれるこれらの機能により、Swimlane 以外のユーザーでも Turbine が生成したメッセージに簡単に応答し、セキュリティ ワークフローに参加できるようになります。.

読み進めて詳細をご覧ください Turbineコラボレーション拡張機能を活用する3つの方法.

1. ユーザー中心のトリアージで検出信号を強化

まず、「検知」の概念と範囲について説明する価値があります。検知とは、1つまたは複数のイベントを集約し、相関関係を分析することで、実用的なアラートを生成することです。現代のセキュリティ運用（セキュリティオペレーション）テクノロジースタックには、アラートデコレーションと呼ばれる追加フェーズがあります。アナリストによるアラートの理解を深めるために、追加のルックアップ、エンリッチメント、その他の自動化されたアクティビティが実行されます。.  

Turbineコラボレーション拡張機能は、最新のSecOps機能に、ユーザー中心のトリアージレイヤーという新たな検出分析レイヤーを追加します。システムは、アラートのコンテキストに基づいて強化された事前定義されたテンプレートを自動的に読み込みます。組織内の影響を受けたユーザーには、「このアクティビティを実行しましたか？」や「この時間にこの場所からログインしましたか？」といった質問が送信されます。その後の自動化アクティビティは、ユーザーが事前定義されたオプションリストから選択した内容に基づいて実行されます。.

このユーザーインタラクションにより、検出範囲が拡大すると同時に、SOCアナリストの時間と手作業が削減されます。この例だけでも、アナリストの毎週何時間もの労力を節約できます。.

2. 承認されたアクションを自動化する

セキュリティ組織だけでなく、情報技術（IT）部門全体の相互接続性も高まっています。マイクロサービスの利用が拡大するにつれ、問題軽減のための個々の取り組みがシステム全体にどのような影響を与えているかを完全に把握することが難しくなっています。こうした相互接続性と複雑さのため、脅威軽減活動が業務の中断を引き起こすことは珍しくありません。SOCアナリストは、この相互接続されたインフラストラクチャの専門家である必要はありません。そのため、多くのセキュリティチームは、行動を起こす前に主要な関係者に軽減策を提案しなければなりません。質問から回答を得て、その回答に基づいて行動を起こすまでのこのタイムラグにより、脅威軽減に不可欠な時間が長引いてしまいます。. 

Turbineコラボレーション拡張機能により、アナリストは専門家に自動承認リクエストを迅速かつ効率的に送信できます。事前定義された選択肢のリストから回答を受け取ると、Turbineはアナリストによる追加の介入を必要とせずに、軽減されたアクションを自動的に実行します。.

3. チーム通知を効率化する

自動検知の支援を受けたアナリストの役割は、干し草の山から針を探すようなものです。しかし、テレメトリソースとその量が増え続けるにつれて、自動検知の数も増加し、課題は干し草の山から針を探すことから、針山から針を探すことへと変化します。このため、アナリストにとって最も重要な針を特定することは非常に困難です。.
その タービン コラボレーション拡張機能により、SOCアナリストはSlackやMicrosoft Teamsといったセキュリティ自動化プラットフォーム外部のコミュニケーションチャネルにメッセージを送信できます。これにより、事前定義されたオプションリストから迅速に初期アクションを実行できます。. 検出、検証、エスカレーション！

実際に動作を見てみましょう

より詳しい手順については、ビデオデモをご覧ください。 スイムレーンタービン コラボレーション拡張機能により、コミュニケーションが大幅に容易になります。.

結論として、Turbineはコラボレーションを根本から再構築し、コミュニケーションと応答時間の改善と加速を最優先します。この変化は、実務者に制御権を戻すことで、実務者の能力を強化します。Turbineの自動化はアナリストの注意を引きつけ、運用環境におけるその有効性に貢献します。.

スイムレーンタービンをまだ探索する機会がない場合は、ぜひリクエストしてください。 デモはここ。.