インシデント対応
インシデント対応AIは、インシデントライフサイクル全体を通じてインテリジェントな自動化とガイダンスを提供します — 初期分類から封じ込め、修復、インシデント後分析まで。
主な機能
- 自動分類: AI駆動のインシデント重大度評価とカテゴリ分け
- 動的プレイブック: インシデントタイプと重大度に基づくコンテキスト認識型対応プレイブック生成
- 証拠管理: 証拠保全チェーン追跡を備えた自動証拠収集
- 封じ込めガイダンス: 脅威分析に基づく推奨封じ込めアクション
- コラボレーション: 自動ステークホルダー通知とコミュニケーションテンプレート
- 教訓: インシデント後分析と推奨セキュリティ改善
インシデントライフサイクル
1. 分類
インシデントが作成されると(手動またはエスカレーションされたアラートから)、AIが以下を実行:
- インジケーターとビジネスへの影響に基づく重大度評価
- 攻撃タイプの特定とMITRE ATT&CKへのマッピング
- 影響を受ける資産と潜在的な影響範囲の特定
- 初期対応優先度の推奨
2. 調査
アクティブな調査中:
- 調査すべき関連データソースを提案
- タイムラインにまたがる関連アラートとイベントの相関
- 侵害インジケーター(IOC)の特定
- 脅威インテリジェンスからのコンテキスト分析の提供
3. 封じ込め(RespondおよびHuntティア)
確認された脅威に対して:
- 脅威タイプに基づく封じ込めアクションの推奨
- 分離およびブロック推奨の生成
- 永続化メカニズムの監視
- 封じ込め有効性の検証
4. 復旧
封じ込め後:
- 修復チェックリストの提供
- システム復旧手順の推奨
- 追加すべき予防的コントロールの提案
- 修復進捗の追跡
5. インシデント後
解決後:
- 包括的なインシデントレポートの生成
- 検出と対応のギャップの特定
- 検出ルール改善の推奨
- 将来の参照のためのナレッジベースエントリの作成
サービスティア別機能
| 機能 | Detect | Respond | Hunt |
|---|---|---|---|
| アラート文書化 | あり | あり | あり |
| アクティブ対応 | なし | あり | あり |
| 封じ込め | なし | あり | あり+高度 |
| カスタムプレイブック | なし | なし | あり |
| オンサイト対応 | なし | なし | あり(24時間) |