SOARの基礎知識
SOARとは、Security Orchestration, Automation and Responseの略で、セキュリティインシデントに関する情報を収集し、適切な対応を行うためのインシデント管理機能を提供しています。セキュリティインシデントを検知するために、複数のソースからデータを収集し、異常を検知するためのルールやアルゴリズムを適用しています。例えば検知したインシデントを、重要度や影響範囲などに応じて分類し、適切な対応を行うための優先度を設定や、そのインシデントを適切な担当者に通知し、迅速かつ正確な対応を行うための手順を示します。加えて、インシデントに対する適切な対応を行うための自動化されたワークフローを提供します。例えば、アラートの送信、インシデントの調査、原因の特定、対策の立案、対策の実施、などが含まれます。
また、インシデントの状況を監視し、適切な報告書を生成するための機能を提供することで、インシデントの状況を定期的に把握し、改善に向けた取り組みを進めることができます。
SOARの定義
インシデント対応の自動化を目的とし、以下の機能を有する製品
・インシデント情報の集約
・インシデントの対処優先度設定(トリアージ)
・特定のインシデントへの対応手順を登録し、作業を自動化する
