Chronicle SOAR を使用する

Chronicle SOAR プラットフォームを使い始めるために、まず理解すべきは、ドキュメントで頻繁に言及され、知っておくべき基本的なコンセプトです。

各説明は前の説明に依存するため、必ず所定の順序でお読みください。

コネクタ

コネクタは、Chronicle SOAR へのアラートの取り込みポイントです。これらの目標は、さまざまなソースの未加工の入力データを Chronicle SOAR データに変換することです。コネクタは、サードパーティ ツールからアラート（または同等のデータ）を受け取り、正規化されたデータをデータ処理レイヤに転送します。Chronicle SOAR は、今日よく使われているセキュリティ システム用にすぐに使えるコネクタを備えており、必要に応じて新しいセキュリティ システムを簡単に開発するための Python SDK も用意されています。

ケース、アラート、イベント:

ケースは、コネクタによってさまざまなソースから取り込まれたアラートで構成されます。各アラートには 1 つ以上のセキュリティ イベントが含まれます。プラットフォームに取り込まれると、これらのイベントが分析され、インジケーター、宛先、アーティファクトなどが Chronicle SOAR 内のエンティティと呼ばれるオブジェクトに抽出されます。

エンティティ

エンティティは、アラート（IOC、アーティファクトなど）から抽出されたスポットを表すオブジェクトです。

エンティティを使用すると、履歴を自動的に追跡し、人手を介さずにアラートをグループ化して、異なるエンティティ間の関係に基づいて悪意のあるアクティビティを追跡できます。

プラットフォーム内でエンティティとその接続を視覚的に表示するために、マッピングとモデリングを含むオントロジーの構成プロセスがあります。このプロセスでは、アラートの視覚的な表現と、抽出するエンティティを選択します。

Chronicle SOAR では、よく使われる多くの SIEM プロダクトがすぐに利用できる、基本的なオントロジー ルールが用意されています。

Chronicle SOAR でエンティティを作成する方法:

マッピングとモデリングのプロセスにより、特定のモデル ファミリーに関連するエンティティを作成し、それらの間の接続を 1 つのケースで可視化できます。

マッピングとモデリングにより、エンティティ プロパティを定義できます。たとえば、エンティティが内部か外部のどちらであるかは設定の構成で定義され、ハンドブックで実行するプロダクト別に悪意があるのかなどを定義できます。マッピングとモデリングは、ソース、時間、タイプなどを対象としています。

マッピングとモデリングは、最初の取り込み時に 1 回行われ、その後、関連する挿入された各ケースに対してルールが実行されます。 

ハンドブック

ハンドブックは、事前定義されたトリガーによってトリガーできる自動化プロセスです。たとえば、プロダクト名「Mail」を含むアラートごとにハンドブックをトリガーできます。つまり、ハンドブックは、このプロダクトから Chronicle SOAR に取り込まれた各アラートに添付されます。

各ハンドブックは、アラート エンティティに定義されたスコープで手動または自動で実行するように構成できるアクションで構成されています。たとえば、URL エンティティなどの特定のエンティティ タイプでのみ自動的に実行されるように VirusTotal - スキャン URL アクションを構成できます。

アクションは、アクションのツリーを形成する条件（フロー）に従って、定義された順序で実行されます。最後のアクションが完了すると、ハンドブックはトリガーしたアラートの解決策に達します。

環境

異なる環境を定義してデータ分離を作成し、プラットフォーム ユーザーを 1 つ以上の環境に割り当てることができます。つまり、ユーザーには、これらの環境から取得したケースと関連情報のみが表示されます。一部のユーザーロールはすべての環境にアクセスできるため、ユーザーはプラットフォーム内のすべての環境（後で追加された新しい環境を含む）のデータへの完全アクセス権が付与されます。