公开日
2023年10月26日
Security Playbooks 活用
~负荷なく対処速度を上げて”安心”しよう!~
こんにちは、カスタマーサクセスマネージャの大森です。お客さまにご利用いただいている製品/ソリューションの効果を最大化いただくために、日々活动しています。
今回は、弊社Trend Vision One?(以下 Vision One)担当ソリューションアーキテクトの長田さんと、自社に合った効果的なVision Oneの運用について会話し、「Security Playbooks」活用による効率化について考えてみました。
Vision One担当ソリューションアーキテクトの長田です。皆さんがより自社にあった運用をしていただくためのお手伝いができればと常々考えています。
1. Trend Vison Oneって今までの製品と違うよね?
今日はお客さまの立場でお話させていただきますのでよろしくお願いします!さっそくですが、Vision Oneってこれまでの”検知”を主軸にしたトレンドマイクロ製品と運用の考え方も違いますよね。
そうですね。Vision Oneは、セキュリティリスクを可視化し、検出>>調査>>対処 を一気通貫でできるプラットフォームなので、検知時だけではなく、潜在的なリスクの把握やレポートにもご利用いただけるソリューションになっています。お客さまの環境のセキュリティ全様を可視化して、Next Actionの必要性を判断できる、必要なアクションをすぐに起こせる、というところに価値があると考えています。
今までみたいに「対処できない検知があった时だけログインする」ではないんですね。期待値は大きいものの、色々な情报が见え、できることが多すぎて、どう使えばよいか戸惑うことも???。
Vision Oneは、トレンドマイクロの豊富な脅威情報を活用して、本当に対応が必要な脅威の検知のみを視覚的にお知らせします。なので、まず、影響範囲の確認と優先度の高い対処を実施することを目的に設計された機能「Workbench」を使うのがよいと思います。運用面からもいきなりいろんなことはできないと思いますので。
この「奥辞谤办产别苍肠丑」が齿顿搁を効率的に运用するために、トレンドマイクロの英知を集结した机能ですので、ぜひ有効に使っていただきたいです。
2. いつでも運用は楽な方がいい
なるほど。今まで点でしか见えなかった胁威(自社の弱点)を、线や面でみることからですね。相関が见えると、パッとどの端末が感染?攻撃のリスクを抱えているかあまり知识がなくてもわかりますね。
下図を见ると???とりあえず、このタイトルのメールは注意唤起して、この端末は调査してみようか、とすぐに思えますね。
もちろん、より详细な调査も可能ですが、お客さまの状况に応じて実际に行えるオペレーションは変わってきますし、自社にあった运用で始めていただくのが息切れしないコツではないでしょうか。
対応の运用に惯れてくると、ある程度决まった対応になってきますね。端末を隔离したり、不审なファイルを収集したり。この调査画面上からすぐに処理ができるのは魅力的ですが、いつも同じ作业となると、人依存にならなくてよい一方、もっと効率化を図れるのではと思ってしまいます。また、セキュリティ専任の方だけが运用しているわけでもないので即时対応のオペレーションが现実难しい场合もあったりします。
自動化しましょう!Vision Oneでは、可視化されたリスクをトリガーに、簡単に定型アクションを設定して自動化することができます。
自分でスクリプト组んだりするのはちょっとハードルが高いです???。
Vision Oneではよく使われるシナリオを想定してテンプレートを用意しています。ご要望や脅威の状況に応じて今後変更が入るかもしれませんが、今は8種類ご用意があります。
さっき话していた、「検知时に端末を隔离」したり、「不审なファイルを収集」したりもできそうですね。
できます!「不审なファイルを自动で厂补苍诲产辞虫に送る」なんてこともできます。せっかくなので、指定した検知があった场合に端末を自动で隔离したい场合についてご绍介します。
3. 自動化サンプルケース:
奥辞谤办产别苍肠丑に出力された端末の隔离を自动化してみる
「自動対応Playbook」というテンプレートを使って、Workbenchにアラートが出力された際に、対象の端末を自動でネットワーク隔離することができます。Workbenchの画面から対象の端末を右クリックすることで、任意のタイミングで手動隔離することができますが、このSecurity Playbooksをご利用いただくことで人の手を介せず迅速に対応可能になります。?
一次対応を迅速に行うことで、さらなる感染拡大や情报漏洩の防止を期待できそうです。「アラートに気づくのが遅れて感染が広がってしまう」という状况は、特に様々な运用を兼务していたりすると発生していまいそうで、运用担当としては気が気ではないですから???。
端末はネットワーク隔離しても、Vision Oneとの接続は保たれており、その後の調査は問題なく行えますので、隔離すべき検知を把握できたらVision Oneに隔離させてしまうのがよいのではないでしょうか。
一例にはなりますが、下记のようにテンプレートを活用しつつも、自社の运用に合わせて処理を行わせることができます。この设定で実际に端末侧で隔离が行えるのか试してみたので动画も参考に确认してみてください。
隔离时にポップアップがあがるので、ユーザにも隔离されたことがわかりますね。ただ规定のメッセージではユーザが混乱しそうなので、事前にセキュリティリスクに伴う隔离运用があることをユーザに伝えておく必要がありそうです。
特にアクションを実施する対象がユーザ端末の場合は、ユーザとのコミュニケーションなども全体運用の中で考えていただくとスムーズな運用になると思います。まず、Security Playbooksでユーザには影響しない(隔離処理はしない)設定のみをしておき、具体的にどのような処理プロセスになるのかを試されると、実際に必要な運用イメージがわきやすいと思います。
利用するにも动作确认が必要とお客さまがおっしゃっていましたが、ユーザ影响がなければ気軽に试せそうです。
4. 何を自動化する?
Vision Oneは脅威の全体像が可視化されて、どこに弱点があるのかわかりやすくなる一方で、運用しきれない懸念もありました。実際には絞り込まれたアラートのみが表示されているので、できることから実施し、アクションが定型化できたら自動化していく、という流れを作れるとよいのかもしれませんね。
いやいや、対応全部を一度に自動化しようと思うと大変。「特定の脆弱性が見つかったときだけ」「エビデンス収集だけ」と処理を区切って自動化すると、少しづつ手を離せるものが増えてくるのではないでしょうか。また、先ほど紹介したように、Security Playbooksでユーザに影響しない処理だけを設定して処理の内容や流れを把握することもできるので、まずは気軽にお試しで自社で活用できそうな設定をして体感してみてください。実行したSecurity Playbooksの結果は一覧で確認できますよ。
自社に合った自動化運用がつかめてきたら、ロジックを追加して拡張していけばいいんですね。既存のアラート確認?対応プロセスが動いていれば、お試しでSecurity Playbooksを設定してもセキュリティレベルは下がりませんし、適用すれば、負荷なく対応速度が上がりますので、Security Playbooksの活用で、お客さまによりセキュアな環境を維持できる実感をもっていただけそうです。
フローチャートに沿って设定するだけなので、テンプレートを活用する形で试してみたいと思います。まずは、、、「何かあったらまず抜线!」运用をされているお客さまに「①隔离処理なし笔濒补测产辞辞办で运用确认→②隔离処理を追加设定して自动化!」と段阶的にお试しいただき、业务时间外も安心していただきたいと思います。
ぜひ自社に合った効率的で効果的な运用方法を探ってみてください。より必要な机能があれば教えてくださいね。そして、どうしても运用が厳しい场合もトレンドマイクロにご相谈ください。解决方法を一绪に検讨いたします!
トレンドマイクロ株式会社
エンタープライズカスタマーサクセス部
デジタルカスタマーサクセスマネージャーグループ
大森 華子
トレンドマイクロ株式会社
セールスエンジニアリング部
Vision One チーム
長田 倫明