Security Playbooks 活用
～負荷なく対処速度を上げて”安心”しよう！～

今日はお客さまの立場でお話させていただきますのでよろしくお願いします！さっそくですが、Vision Oneってこれまでの”検知”を主軸にしたトレンドマイクロ製品と運用の考え方も違いますよね。

そうですね。Vision Oneは、セキュリティリスクを可視化し、検出>>調査>>対処 を一気通貫でできるプラットフォームなので、検知時だけではなく、潜在的なリスクの把握やレポートにもご利用いただけるソリューションになっています。お客さまの環境のセキュリティ全様を可視化して、Next Actionの必要性を判断できる、必要なアクションをすぐに起こせる、というところに価値があると考えています。

今までみたいに「対処できない検知があった時だけログインする」ではないんですね。期待値は大きいものの、色々な情報が見え、できることが多すぎて、どう使えばよいか戸惑うことも・・・。

Vision Oneは、トレンドマイクロの豊富な脅威情報を活用して、本当に対応が必要な脅威の検知のみを視覚的にお知らせします。なので、まず、影響範囲の確認と優先度の高い対処を実施することを目的に設計された機能「Workbench」を使うのがよいと思います。運用面からもいきなりいろんなことはできないと思いますので。
この「Workbench」がXDRを効率的に運用するために、トレンドマイクロの英知を集結した機能ですので、ぜひ有効に使っていただきたいです。

特にアクションを実施する対象がユーザ端末の場合は、ユーザとのコミュニケーションなども全体運用の中で考えていただくとスムーズな運用になると思います。まず、Security Playbooksでユーザには影響しない（隔離処理はしない）設定のみをしておき、具体的にどのような処理プロセスになるのかを試されると、実際に必要な運用イメージがわきやすいと思います。

利用するにも動作確認が必要とお客さまがおっしゃっていましたが、ユーザ影響がなければ気軽に試せそうです。

Vision Oneは脅威の全体像が可視化されて、どこに弱点があるのかわかりやすくなる一方で、運用しきれない懸念もありました。実際には絞り込まれたアラートのみが表示されているので、できることから実施し、アクションが定型化できたら自動化していく、という流れを作れるとよいのかもしれませんね。

いやいや、対応全部を一度に自動化しようと思うと大変。「特定の脆弱性が見つかったときだけ」「エビデンス収集だけ」と処理を区切って自動化すると、少しづつ手を離せるものが増えてくるのではないでしょうか。また、先ほど紹介したように、Security Playbooksでユーザに影響しない処理だけを設定して処理の内容や流れを把握することもできるので、まずは気軽にお試しで自社で活用できそうな設定をして体感してみてください。実行したSecurity Playbooksの結果は一覧で確認できますよ。

自社に合った自動化運用がつかめてきたら、ロジックを追加して拡張していけばいいんですね。既存のアラート確認・対応プロセスが動いていれば、お試しでSecurity Playbooksを設定してもセキュリティレベルは下がりませんし、適用すれば、負荷なく対応速度が上がりますので、Security Playbooksの活用で、お客さまによりセキュアな環境を維持できる実感をもっていただけそうです。
フローチャートに沿って設定するだけなので、テンプレートを活用する形で試してみたいと思います。まずは、、、「何かあったらまず抜線！」運用をされているお客さまに「①隔離処理なしPlaybookで運用確認→②隔離処理を追加設定して自動化！」と段階的にお試しいただき、業務時間外も安心していただきたいと思います。

ぜひ自社に合った効率的で効果的な運用方法を探ってみてください。より必要な機能があれば教えてくださいね。そして、どうしても運用が厳しい場合もトレンドマイクロにご相談ください。解決方法を一緒に検討いたします！