SOC リーダーは、計算が合わない基本的な計算と日々戦っています。データ量は飛躍的に増加し、攻撃対象領域は世界的に拡大していますが、チームの能力は直線的なままです。雇用によってこの問題から逃れることはできません。
個々のアラートを追跡しようとするのは、無駄な戦略です。成功するには、単純な自動化スクリプトを超えて、エージェント AI の時代に移行する必要があります。
Elastic では、現代のセキュリティ運用を運用上の神経系として捉えています。必要なのは、感覚(すべてを見るためのデータ基盤)、脳🧠(ノイズの中から信号を見つけるための AI 駆動型分析)、そして手🙌(アクションを実行して結果を促進するワークフロー)です。
Agent Builder と Elastic Workflows の導入により、これらの要素が統合されます。私たちが提供しているのは単なるチャットボットではありません。エージェントがデータに基づいて推論し、ワークフローが双方向で高度なアクションを実行する、自律的な SOC を構築する機能を提供します。
ここでは、これら 2 つの強力なエンジンが連携してセキュリティ運用を変革する方法について説明します。
「脳」と「手」の連携の力
この組み合わせがなぜ重要なのかを理解するには、それらの役割を区別する必要があります。
- 弾性ワークフロー (The Hands):これらは決定論的です。これらは、「X が発生した場合、Jira チケットを作成し、Slack に ping を送信し、ホストを分離する」といった、厳格で反復可能なプロセスに最適です。構造、監査可能性、信頼性を実現します。
- エージェント ビルダー (脳):エージェントは確率と推論に基づいています。彼らは環境を認識し、一連の手順を計画し、適応します。エージェントは漠然とした脅威レポートを確認し、証拠を見つけるためにどのクエリを実行するかを決定できます。
魔法は相互作用するときに起こります。以前は、厳格なプレイブックか手動調査のどちらかを選択する必要がありました。ワークフローは、自動化ループ中に複雑な分析を実行するためにエージェントを呼び出すことができるようになりました。また、エージェントは、チャット中に信頼性の高い負荷の高いアクションを実行するためのツールとしてワークフローを呼び出すことができます。
これが何ではないのか
はっきりさせておきますが、これはアナリストを交代させるということではありません。それは、実際に重要な仕事、つまりいかなるモデルも再現できない創造的で敵対的な思考を妨げる苦労を取り除くことです。目標は、チームを事後対応型のログ追跡者から事前対応型の脅威ハンターへと変えることです。エージェントは単純な作業を処理し、あなたのスタッフが判断を下します。
ユースケース: アラート時の自動トリアージ
人間の介入なしにアラートから分析へ
ランサムウェア攻撃 (例: BlackCat/ALPHV - サービスとしてのランサムウェア操作) を含む実際のシナリオを見てみましょう。従来の設定では、アラートが発動され、アナリストはログの収集、ウイルスの合計数のチェック、概要の作成に 30 分を費やします。
Elastic を使用すると、アナリストがラップトップを開く前にこのトリアージフェーズ全体が自動化され、トリアージの平均時間が 30 分から 2 分未満に短縮されます。
ワークフロー:
- トリガー: 攻撃検出はスケジュールに従って実行され、 15 の異なるアラートを単一の高精度の攻撃チェーンに関連付けます。
- ワークフロー ステップ (エンリッチメント):ワークフローは自動的にトリガーされ、関係するすべてのエンティティ (ホスト、ユーザー、ファイル ハッシュ) をループします。VirusTotal などの脅威情報ソースに対して検索を実行します。
- ワークフロー ステップ (エージェントの呼び出し):ワークフローは、このデータ バンドルを特定の「トリアージ エージェント」に渡します。
- エージェントの実行:エージェントは単にデータをコピーして貼り付けるだけではありません。攻撃チェーンを推論し、それを MITRE ATT&CK フレームワークと比較し、関連するログを相関させて、Tier 2 アナリスト向けにカスタマイズされた、人間が判読できる調査概要を生成します。
- 結果:ワークフローは、この AI 生成分析を、重大度スコアリング、詳細な調査、根本原因分析、推奨される次のステップを含めて、新しいケースに直接投稿します。
ユーザーへの影響:アナリストは、生のログを追跡するのではなく、完全にコンテキスト化されたケースを確認することで 1 日を始めます。
ユースケース: 「人間参加型」調査
自然言語を決定論的なアクションに変換する
アナリストが調査を開始すると、オンコール担当者の確認、戦略会議の設定、経営陣への通知など、業務フローを中断させる管理タスクを実行する必要が生じることがよくあります。
Elastic Security では、アナリストはチャット インターフェースに留まります。ワークフローをエージェントのツールとして定義できるため、アナリストはエージェントにロジスティクスの処理を依頼するだけで済みます。
ワークフロー:
- アナリストのプロンプト: 「事件が確認されました。誰が呼び出し中ですか?このインシデント用の Slack チャンネルを作成して招待してください。」
- エージェントの推論:エージェントは、意図が事前に構成した「インシデント対応設定」ワークフロー ツールと一致することを認識します。
- ワークフロー実行:
- ステップ 1: PagerDuty 統合をクエリしてオンコール エンジニアを検索します。
- ステップ 2: Slack API を呼び出して、
#incident-[id]という名前のチャネルを作成します。 - ステップ 3: 最初のケース概要をそのチャネルに投稿します。
- 結果:エージェントはアナリストに「チャネル #incident-982 を作成し、Jane Doe (オンコール) をチャネルに追加しました。」と確認します。
ユースケース: ガイド付き修復と封じ込め
高速かつ正確な応答
脅威を封じ込めるときはスピードが重要ですが、安全性も同様に重要です。LLM がファイアウォールへの API 呼び出しを「幻覚」することは望ましくありません。ここで、エージェント + ワークフローの組み合わせが安全性の面で効果を発揮します。
ワークフロー:
- アナリストのプロンプト: 「BlackCat アラートに関係するホストを隔離します。」
- エージェントの推論:エージェントは調査のコンテキストから
host123ホストを識別します。「ホスト分離」ワークフローを呼び出すプランを作成します。 - 決定ポイント:エージェントはユーザーに計画を提示します: 「Elastic Defend を介して host123 の「ホストの分離」ワークフローをトリガーしようとしています。」
- ワークフロー実行:決定論的なワークフローは、Elastic Defend (XDR) を介して分離コマンドを実行し、アクションがログに記録され、エンジニアリング チームによって定義されたとおりに実行されることを保証します。
- 結果:宿主は直ちに隔離されます。
ユーザーへの影響:ハードコードされた自動化の安全性と監査証跡を備えた自然言語によるやりとりの容易さが得られます。
柔軟な AI チャットと厳格な SOAR プレイブックのどちらかを選択しなければならない世界は終わりつつあります。将来は、この 2 つが密接にリンクした自律型 SOC が実現します。
Agent Builder を使用して、特定の環境を理解するカスタムエージェントを作成し (独自のデータで RAG を使用)、Elastic Workflows をツールとして装備することで、チームの能力と規模の専門知識を効果的に高めることができます。単にチャットボットを展開するだけではなく、ランブックを理解し、権限を尊重し、24時間365日働く仮想チームメンバーを展開することになります。
Agent Builder の使用開始に関する詳細については、このブログをお読みください。
Agent Builder とワークフローは現在、技術プレビューとしてご利用いただけます。Elastic Cloud トライアルを開始し、こちらでAgent Builder のドキュメントを、こちらでワークフローのドキュメントを確認してください。