Chronicle SOAR を使用して SLA の実施を最適化する方法

※この投稿は米国時間 2023 年 4 月 1 日に、Google Cloud blog に投稿されたものの抄訳です。

セキュリティ オペレーション プログラムの有効性を測定することはなかなか大変です。脅威の効果的な検出と対応に関しては時間が重要となるため、セキュリティ オペレーション チームではサービスレベル契約（SLA）という指標がよく使われています。SLA では、セキュリティ オペレーション チームが「ケース」を調査、対処するためにかけるべき望ましい時間を定めます。SLA は経営陣が以下を目標とする際にも、ますます重要なツールとなりつつあります。

• セキュリティ ツールやサービスが組織に与える影響をトラッキングする

• 実現するリスク低減量を測定する

• ギャップを特定し、リソースを割り当て直して、既存のプロセスを進化させる

これらの目標は、マネージド セキュリティ サービス プロバイダ（MSSP）と企業のどちらにも当てはまりますが、それぞれの視点は異なります。企業の場合、SLA は通常、トラッキングと計画のために使われます。一方、MSSP の場合、SLA は顧客との契約上の合意として使われることが多く、サイバーセキュリティだけでなく顧客満足度、ひいては収益にも影響します。SLA の導入が増えるのに伴い、スピードより品質で SLA を達成するセキュリティ ツールの必要性も高まります。そこで登場するのが Chronicle SOAR です。Chronicle SOAR は、Chronicle Security Operations スイートの一部です。

固定された時間ベースの SLA はスピードのみが重要視され、品質や効率性を追求する余地がほとんどありません。思慮深く設計された SLA を可能にするのが、Chronicle SOAR です。セキュリティ エンジニアは、改善された新しい SLA 管理を使用することで、ハンドブック自動設計プロセスの一環として、ケースやアラートの優先度ごとに SLA を設定できるようになりました。

これらの機能により、セキュリティ チームは複雑さと重大度を考慮したうえで、SLA を現実的に設計できます。たとえば、ビジネスへの影響が大きいインシデントは優先度を上げ、難易度の高いインシデントは応答時間を長く設定します。このような設定を SLA の設計に組み込むことは、質の高い成果を出して SLA を達成する鍵となります。

とはいえ、SLA の設計が優れていても可視化されていなければ、何の意味もありません。セキュリティ オペレーション プラットフォームでは、調査および対応プロセス全体で SLA を可視化し、いつ、どのように行動すべきかをアナリストが把握できるようにする必要があります。Chronicle SOAR は、ケースのヘッダーへのポップアップ、新しいアイコン、ホームページの改良により、SLA の可視性を最大限に高めています。セキュリティ チームは、どのケースの SLA の期限が近付いているのか、その詳細や要件とともに簡単に確認できます。このような可視性と、熟慮して設計された SLA が一つになったことで、セキュリティ チームは品質を犠牲にすることなく、より的確に優先順位を付けて作業を実施できるようになりました。

ベスト プラクティスを理解したところで、SOC チームがこれを実際にどのように行うのか見ていきましょう。

セキュリティ エンジニアのアプローチ

セキュリティ エンジニアは、SLA プロセスを開始するため、Chronicle SOAR にログインして設定画面を表示します。ここでは、アラートやケースの複雑さと重大度に基づいて SLA ルールを構成できます。SLA 期間（SLA 違反となるまでの時間）と SLA クリティカル期間（SLA がクリティカル フェーズに入るまでの時間）をよく考えて設定したら、[追加] をクリックします。ここから [ケース] タブに移動すると、作成したすべての SLA を確認できます。

SLA の実施を加速させる方法の一つが、Chronicle SOAR の新しい並列アクション機能の活用です。ハンドブックやアクション ブロックの一部として複数のアクションを同時に実行することで、より迅速かつ効果的に対応できるハンドブックを作成できます。

Chronicle SOAR によるセキュリティ アナリストのサポート

セキュリティ アナリストが Chronicle SOAR にログインした後、最初に行うステップは、[ケース] タブに移動して潜在的な脅威への対応を開始することです。このタブでは、ケースのヘッダーに SLA のアイコンとポップアップが表示され、そのステータスを確認できます。SLA ステータスごとに、SLA を達成するにはまずどのインシデントに対処し、応答する必要があるのか、優先順位を付けることができます。また、並列アクションでハンドブックの実行時間を短縮し、このプロセスを迅速化することも可能です。

SOC マネージャー向けの情報

SOC マネージャーが SLA のパフォーマンスをトラッキングする際、Chronicle SOAR で最初にアクセスするのは [レポート] タブです。このタブでは、インタラクティブなレポートやダッシュボードを使用して、チームの SLA の実施状況をトラッキングできます。この情報を活用して、ギャップやプロセスの改善点を特定し、チームや経営陣に報告することができます。

次のステップ

セキュリティ チームへの SLA の導入が増えるのに伴い、SLA の品質と実施の両面で優先順位を付けるセキュリティ ツールの必要性が高まっています。Chronicle SOAR と Chronicle SIEM を連携させることにより、セキュリティ チームはサイバー脅威を迅速かつ正確に検出して対処し、すべてのステークホルダーにその対応を示すことができます。

前述の機能の詳細については、Google Cloud の営業担当者または CSM チームまでお問い合わせください。Chronicle Security Operations の最新の改善点については、機能の総まとめをご覧ください。