Tinesを使ったAIエージェントとConfluence SOPによるアラートトリアージ自動化の方法

2025年9月19日The Hacker NewsAI自動化 / セキュリティオペレーション

ワークフローオーケストレーションおよびAIプラットフォームであるTinesのチームによって運営されているTinesライブラリには、コミュニティのセキュリティ実務者によって共有された1,000以上の事前構築済みワークフローが収録されています。これらはすべて、プラットフォームのCommunity Editionから無料でインポートおよび展開できます。

今回ご紹介するワークフローは、Confluenceから適切な標準作業手順書（SOP）を自動的に特定・実行することで、セキュリティアラートの対応を効率化します。アラートが発生すると、AIエージェントがそれを分析し、関連するSOPを見つけ、必要な是正措置を実行します。その間、オンコールチームにはSlackを通じて常に情報が共有されます。

このワークフローは、TinesのセキュリティリサーチャーL2であるMichael Tolan氏と、TinesのシニアソリューションエンジニアであるPeter Wrenn氏によって作成されました。

本ガイドでは、ワークフローの概要と、導入・稼働までのステップバイステップの手順をご紹介します。

課題 – 手動によるアラートトリアージとSOP実行#

セキュリティチームがアラートに効率的に対応するためには、脅威の種類を迅速に特定し、適切なSOPを探し出し、必要な是正措置を実行することが求められます。

ワークフローの観点から、チームはしばしば以下の作業を行う必要があります：

• 受信したセキュリティアラートを手動で分析する
• Confluence内で関連するSOPを検索する
• 調査結果や対応内容をケース管理システムに記録する
• 複数のセキュリティツールを使って是正措置を実行する
• 対応後に再度ケース管理システムを更新する
• 関係者にインシデントや対応内容を通知する

この手動プロセスは時間がかかり、ヒューマンエラーが発生しやすく、同様のアラートに対する対応の一貫性が損なわれる可能性があります。

解決策 – AIによるアラートトリアージとSOP自動実行#

この事前構築済みワークフローは、AIエージェントとConfluenceのSOPを活用することで、アラートトリアージの全プロセスを自動化します。このワークフローにより、セキュリティチームはより迅速かつ一貫性のある対応が可能になります：

• AIを使って受信アラートを分析・分類
• Confluence内で関連SOPを自動的に検索
• 追跡用の構造化されたケース記録を作成
• 2つ目のAIエージェント（サブエージェント）で是正措置を実行
• すべての対応を記録し、Slackでオンコールチームに通知

その結果、確立された手順に基づいた一貫性のあるセキュリティアラート対応が実現します。

このワークフローの主な利点#

• 平均是正時間（MTTR）の短縮
• セキュリティ手順の一貫した適用
• すべての対応内容の包括的な記録
• 繰り返し作業によるアナリストの疲労軽減
• 自動通知による可視性の向上

ワークフロー概要#

使用ツール：#

• Tines – ワークフローオーケストレーションおよびAIプラットフォーム（無料のCommunity Editionあり）
• Confluence – SOP用ナレッジ管理プラットフォーム

この特定のワークフローでは、以下のソフトウェアも使用しています。ただし、TinesとConfluenceと組み合わせて、現在ご利用中の任意のエンリッチメント／是正ツールを追加・削除してご利用いただけます。

• CrowdStrike – 脅威インテリジェンスおよびEDRプラットフォーム
• AbuseIPDB – IPレピュテーションデータベース
• EmailRep – メールレピュテーションサービス
• Okta – アイデンティティおよびアクセス管理
• Slack – チームコラボレーションプラットフォーム
• Tavily – AIリサーチツール
• URLScan.io – URL解析サービス
• VirusTotal – ファイルおよびURLスキャンサービス

仕組み#

パート1：アラートの受信と分析#

• 統合されたセキュリティツールからアラートを受信
• AIエージェントがアラートを分析し、種類と重大度を判定
• システムがアラートの分類に基づきConfluenceから関連SOPを検索
• アラートの詳細と特定されたSOPでケース記録を作成

パート2：是正措置と記録#

• 2つ目のAIエージェントがケースとSOP指示を確認
• AIエージェントが適切なセキュリティツールを使って是正措置をオーケストレーション
• すべての対応がケース履歴に記録される
• アラートの詳細と対応内容を含むSlack通知がオンコールチームに送信される

ワークフロー設定 – ステップバイステップガイド#

1. Tinesにログインするか、新しいアカウントを作成します。

2. ライブラリ内の事前構築済みワークフローに移動し、「インポート」を選択します。

3. 資格情報の設定#

このワークフローで使用するすべてのツールの資格情報が必要です。ご自身の環境に合わせて、必要なツールを追加・削除できます。

• Confluence
• CrowdStrike
• AbuseIPDB
• EmailRep
• Okta
• Slack
• Tavily
• URLScan.io
• VirusTotal

資格情報ページから「新しい資格情報」を選択し、該当する資格情報までスクロールして必要事項を入力してください。ヘルプが必要な場合はexplained.tines.comの資格情報ガイドを参照してください。

4. アクションの設定#

環境変数を設定します。本ワークフローでは、特に通知用Slackチャンネルの設定が必要です（デフォルトでは#alertsにハードコードされていますが、Slackアクションで調整可能です）。

5. AIプロンプトのカスタマイズ#

ワークフローには2つの主要なAIエージェントが含まれています：

• アラート分析エージェント：アラートの種類を特定しやすくするためにプロンプトをカスタマイズ
• 是正エージェント：是正措置の指示をガイドするためにプロンプトをカスタマイズ

6. ワークフローのテスト#

テスト用アラートを作成し、以下を確認します：

• アラートが正しく分類される
• 正しいSOPがConfluenceから取得される
• 適切な詳細でケースが作成される
• 是正措置が実行される
• Slack通知が送信される

7. 公開と運用開始#

テストが完了したら、ワークフローを公開し、セキュリティツールと連携させてリアルタイムアラートの受信を開始します。

このワークフローを試してみたい場合は、無料のTinesアカウントにサインアップできます。