2025年9月19日The Hacker NewsAI自動化 / セキュリティオペレーション
ワークフローオーケストレーションおよびAIプラットフォームであるTinesのチームによって運営されているTinesライブラリには、コミュニティのセキュリティ実務者によって共有された1,000以上の事前構築済みワークフローが収録されています。これらはすべて、プラットフォームのCommunity Editionから無料でインポートおよび展開できます。
今回ご紹介するワークフローは、Confluenceから適切な標準作業手順書(SOP)を自動的に特定・実行することで、セキュリティアラートの対応を効率化します。アラートが発生すると、AIエージェントがそれを分析し、関連するSOPを見つけ、必要な是正措置を実行します。その間、オンコールチームにはSlackを通じて常に情報が共有されます。
このワークフローは、TinesのセキュリティリサーチャーL2であるMichael Tolan氏と、TinesのシニアソリューションエンジニアであるPeter Wrenn氏によって作成されました。
本ガイドでは、ワークフローの概要と、導入・稼働までのステップバイステップの手順をご紹介します。
課題 – 手動によるアラートトリアージとSOP実行#
セキュリティチームがアラートに効率的に対応するためには、脅威の種類を迅速に特定し、適切なSOPを探し出し、必要な是正措置を実行することが求められます。
ワークフローの観点から、チームはしばしば以下の作業を行う必要があります:
- 受信したセキュリティアラートを手動で分析する
- Confluence内で関連するSOPを検索する
- 調査結果や対応内容をケース管理システムに記録する
- 複数のセキュリティツールを使って是正措置を実行する
- 対応後に再度ケース管理システムを更新する
- 関係者にインシデントや対応内容を通知する
この手動プロセスは時間がかかり、ヒューマンエラーが発生しやすく、同様のアラートに対する対応の一貫性が損なわれる可能性があります。
解決策 – AIによるアラートトリアージとSOP自動実行#
この事前構築済みワークフローは、AIエージェントとConfluenceのSOPを活用することで、アラートトリアージの全プロセスを自動化します。このワークフローにより、セキュリティチームはより迅速かつ一貫性のある対応が可能になります:
- AIを使って受信アラートを分析・分類
- Confluence内で関連SOPを自動的に検索
- 追跡用の構造化されたケース記録を作成
- 2つ目のAIエージェント(サブエージェント)で是正措置を実行
- すべての対応を記録し、Slackでオンコールチームに通知
その結果、確立された手順に基づいた一貫性のあるセキュリティアラート対応が実現します。
このワークフローの主な利点#
- 平均是正時間(MTTR)の短縮
- セキュリティ手順の一貫した適用
- すべての対応内容の包括的な記録
- 繰り返し作業によるアナリストの疲労軽減
- 自動通知による可視性の向上
ワークフロー概要#
使用ツール:#
- Tines – ワークフローオーケストレーションおよびAIプラットフォーム(無料のCommunity Editionあり)
- Confluence – SOP用ナレッジ管理プラットフォーム
この特定のワークフローでは、以下のソフトウェアも使用しています。ただし、TinesとConfluenceと組み合わせて、現在ご利用中の任意のエンリッチメント/是正ツールを追加・削除してご利用いただけます。
- CrowdStrike – 脅威インテリジェンスおよびEDRプラットフォーム
- AbuseIPDB – IPレピュテーションデータベース
- EmailRep – メールレピュテーションサービス
- Okta – アイデンティティおよびアクセス管理
- Slack – チームコラボレーションプラットフォーム
- Tavily – AIリサーチツール
- URLScan.io – URL解析サービス
- VirusTotal – ファイルおよびURLスキャンサービス
仕組み#
パート1:アラートの受信と分析#
- 統合されたセキュリティツールからアラートを受信
- AIエージェントがアラートを分析し、種類と重大度を判定
- システムがアラートの分類に基づきConfluenceから関連SOPを検索
- アラートの詳細と特定されたSOPでケース記録を作成
パート2:是正措置と記録#
- 2つ目のAIエージェントがケースとSOP指示を確認
- AIエージェントが適切なセキュリティツールを使って是正措置をオーケストレーション
- すべての対応がケース履歴に記録される
- アラートの詳細と対応内容を含むSlack通知がオンコールチームに送信される
ワークフロー設定 – ステップバイステップガイド#
1. Tinesにログインするか、新しいアカウントを作成します。
2. ライブラリ内の事前構築済みワークフローに移動し、「インポート」を選択します。
3. 資格情報の設定#
このワークフローで使用するすべてのツールの資格情報が必要です。ご自身の環境に合わせて、必要なツールを追加・削除できます。
- Confluence
- CrowdStrike
- AbuseIPDB
- EmailRep
- Okta
- Slack
- Tavily
- URLScan.io
- VirusTotal
資格情報ページから「新しい資格情報」を選択し、該当する資格情報までスクロールして必要事項を入力してください。ヘルプが必要な場合はexplained.tines.comの資格情報ガイドを参照してください。
4. アクションの設定#
環境変数を設定します。本ワークフローでは、特に通知用Slackチャンネルの設定が必要です(デフォルトでは#alertsにハードコードされていますが、Slackアクションで調整可能です)。
5. AIプロンプトのカスタマイズ#
ワークフローには2つの主要なAIエージェントが含まれています:
- アラート分析エージェント:アラートの種類を特定しやすくするためにプロンプトをカスタマイズ
- 是正エージェント:是正措置の指示をガイドするためにプロンプトをカスタマイズ
6. ワークフローのテスト#
テスト用アラートを作成し、以下を確認します:
- アラートが正しく分類される
- 正しいSOPがConfluenceから取得される
- 適切な詳細でケースが作成される
- 是正措置が実行される
- Slack通知が送信される
7. 公開と運用開始#
テストが完了したら、ワークフローを公開し、セキュリティツールと連携させてリアルタイムアラートの受信を開始します。
このワークフローを試してみたい場合は、無料のTinesアカウントにサインアップできます。
翻訳元: https://thehackernews.com/2025/09/how-to-automate-alert-triage-with-ai.html