2025年9月19日The Hacker NewsAI自動化 / セキュリティオペレーション

Image

ワークフローオーケストレーションおよびAIプラットフォームであるTinesのチームによって運営されているTinesライブラリには、コミュニティのセキュリティ実務者によって共有された1,000以上の事前構築済みワークフローが収録されています。これらはすべて、プラットフォームのCommunity Editionから無料でインポートおよび展開できます。

今回ご紹介するワークフローは、Confluenceから適切な標準作業手順書(SOP)を自動的に特定・実行することで、セキュリティアラートの対応を効率化します。アラートが発生すると、AIエージェントがそれを分析し、関連するSOPを見つけ、必要な是正措置を実行します。その間、オンコールチームにはSlackを通じて常に情報が共有されます。

このワークフローは、TinesのセキュリティリサーチャーL2であるMichael Tolan氏と、TinesのシニアソリューションエンジニアであるPeter Wrenn氏によって作成されました。

本ガイドでは、ワークフローの概要と、導入・稼働までのステップバイステップの手順をご紹介します。

課題 – 手動によるアラートトリアージとSOP実行#

セキュリティチームがアラートに効率的に対応するためには、脅威の種類を迅速に特定し、適切なSOPを探し出し、必要な是正措置を実行することが求められます。

ワークフローの観点から、チームはしばしば以下の作業を行う必要があります:

  • 受信したセキュリティアラートを手動で分析する
  • Confluence内で関連するSOPを検索する
  • 調査結果や対応内容をケース管理システムに記録する
  • 複数のセキュリティツールを使って是正措置を実行する
  • 対応後に再度ケース管理システムを更新する
  • 関係者にインシデントや対応内容を通知する

この手動プロセスは時間がかかり、ヒューマンエラーが発生しやすく、同様のアラートに対する対応の一貫性が損なわれる可能性があります。

解決策 – AIによるアラートトリアージとSOP自動実行#

この事前構築済みワークフローは、AIエージェントとConfluenceのSOPを活用することで、アラートトリアージの全プロセスを自動化します。このワークフローにより、セキュリティチームはより迅速かつ一貫性のある対応が可能になります:

  • AIを使って受信アラートを分析・分類
  • Confluence内で関連SOPを自動的に検索
  • 追跡用の構造化されたケース記録を作成
  • 2つ目のAIエージェント(サブエージェント)で是正措置を実行
  • すべての対応を記録し、Slackでオンコールチームに通知

その結果、確立された手順に基づいた一貫性のあるセキュリティアラート対応が実現します。

このワークフローの主な利点#

  • 平均是正時間(MTTR)の短縮
  • セキュリティ手順の一貫した適用
  • すべての対応内容の包括的な記録
  • 繰り返し作業によるアナリストの疲労軽減
  • 自動通知による可視性の向上

ワークフロー概要#

使用ツール:#

  • Tines – ワークフローオーケストレーションおよびAIプラットフォーム(無料のCommunity Editionあり)
  • Confluence – SOP用ナレッジ管理プラットフォーム

この特定のワークフローでは、以下のソフトウェアも使用しています。ただし、TinesとConfluenceと組み合わせて、現在ご利用中の任意のエンリッチメント/是正ツールを追加・削除してご利用いただけます。

  • CrowdStrike – 脅威インテリジェンスおよびEDRプラットフォーム
  • AbuseIPDB – IPレピュテーションデータベース
  • EmailRep – メールレピュテーションサービス
  • Okta – アイデンティティおよびアクセス管理
  • Slack – チームコラボレーションプラットフォーム
  • Tavily – AIリサーチツール
  • URLScan.io – URL解析サービス
  • VirusTotal – ファイルおよびURLスキャンサービス

仕組み#

パート1:アラートの受信と分析#

  • 統合されたセキュリティツールからアラートを受信
  • AIエージェントがアラートを分析し、種類と重大度を判定
  • システムがアラートの分類に基づきConfluenceから関連SOPを検索
  • アラートの詳細と特定されたSOPでケース記録を作成

パート2:是正措置と記録#

  • 2つ目のAIエージェントがケースとSOP指示を確認
  • AIエージェントが適切なセキュリティツールを使って是正措置をオーケストレーション
  • すべての対応がケース履歴に記録される
  • アラートの詳細と対応内容を含むSlack通知がオンコールチームに送信される

ワークフロー設定 – ステップバイステップガイド#

1. Tinesにログインするか、新しいアカウントを作成します。

Image

2. ライブラリ内の事前構築済みワークフローに移動し、「インポート」を選択します。

Image

3. 資格情報の設定#

Image

このワークフローで使用するすべてのツールの資格情報が必要です。ご自身の環境に合わせて、必要なツールを追加・削除できます。

  • Confluence
  • CrowdStrike
  • AbuseIPDB
  • EmailRep
  • Okta
  • Slack
  • Tavily
  • URLScan.io
  • VirusTotal

資格情報ページから「新しい資格情報」を選択し、該当する資格情報までスクロールして必要事項を入力してください。ヘルプが必要な場合はexplained.tines.comの資格情報ガイドを参照してください。

4. アクションの設定#

環境変数を設定します。本ワークフローでは、特に通知用Slackチャンネルの設定が必要です(デフォルトでは#alertsにハードコードされていますが、Slackアクションで調整可能です)。

5. AIプロンプトのカスタマイズ#

ワークフローには2つの主要なAIエージェントが含まれています:

  • アラート分析エージェント:アラートの種類を特定しやすくするためにプロンプトをカスタマイズ
  • 是正エージェント:是正措置の指示をガイドするためにプロンプトをカスタマイズ

6. ワークフローのテスト#

テスト用アラートを作成し、以下を確認します:

  • アラートが正しく分類される
  • 正しいSOPがConfluenceから取得される
  • 適切な詳細でケースが作成される
  • 是正措置が実行される
  • Slack通知が送信される

7. 公開と運用開始#

テストが完了したら、ワークフローを公開し、セキュリティツールと連携させてリアルタイムアラートの受信を開始します。

このワークフローを試してみたい場合は、無料のTinesアカウントにサインアップできます。

翻訳元: https://thehackernews.com/2025/09/how-to-automate-alert-triage-with-ai.html

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です