ワークフローオーケストレーションとAIプラットフォームであるTinesのチームによって運営されているTinesライブラリには、コミュニティ全体のセキュリティ実務者によって共有された事前構築のワークフローが特徴であり、すべてプラットフォームのCommunity Editionを通じて無料でインポートおよび展開できます。
最近の注目すべきものは、CISAや他のベンダーからのセキュリティアドバイザリの監視を自動化し、CrowdStrikeの脅威インテリジェンスでアドバイザリを強化し、チケット作成と通知を合理化するワークフローです。LivePersonのセキュリティエンジニアであるJosh McLaughlinによって開発されたこのワークフローは、手動作業を大幅に削減しながら、アナリストが最終決定を管理できるようにし、チームが新しい脆弱性に迅速に対応できるようにします。
「自動化する前は、45の脆弱性のチケットを作成するのに約150分かかっていました」とJoshは説明します。「自動化後、同じ数のチケットに必要な時間は約60分に短縮され、大幅な時間を節約し、コピー&ペーストやウェブブラウジングのような手動作業からアナリストを解放しました。」LivePersonのセキュリティチームは、自動化とオーケストレーションによってこのプロセスにかかる時間を60%削減し、効率とアナリストの士気を大幅に向上させました。
このガイドでは、ワークフローの概要と、それを稼働させるためのステップバイステップの手順を共有します。
問題 – 重要なアドバイザリの手動追跡#
セキュリティチームにとって、新たに公開された脆弱性をタイムリーに把握することは不可欠ですが、複数のソースを監視し、脅威インテリジェンスでアドバイザリを強化し、修正のためのチケットを作成することは、時間がかかりエラーが発生しやすい作業です。
チームはしばしば以下を行う必要があります:
- CISAや他のソースからアドバイザリを手動で確認する
- 関連するCVEを調査する
- 行動が必要かどうかを判断する
- チケットを手動で作成し、関係者に通知する
これらの繰り返しのステップは、貴重なアナリストの時間を消費するだけでなく、重要な脆弱性が見逃されたり遅れたりすると、一貫性のない対応を引き起こすリスクがあります。
解決策 – 自動化された監視、強化、チケット作成#
Joshの事前構築されたワークフローは、プロセスをエンドツーエンドで自動化しますが、重要な意思決定ポイントでアナリストを管理下に置くことが重要です:
- CISA(または選択したオープンソースフィード)から新しいアドバイザリを取得する
- CrowdStrikeの脅威インテリジェンスを使用して発見を強化する
- セキュリティチームにSlackで通知し、承認と拒否ボタンを介して迅速に入力を提供するよう促す
- 承認されると、脆弱性の詳細を含むServiceNowチケットを自動的に作成する
その結果、アナリストが提供できる重要な思考と優先順位付けを犠牲にすることなく、脆弱性が迅速に追跡され、対応されることを保証する合理化された効率的なプロセスが実現します。
このワークフローの主な利点:
- 手動作業を削減し、応答時間を短縮する
- 脅威インテリジェンスを活用してより賢明な優先順位付けを行う
- 新しい脆弱性の一貫した処理を保証する
- セキュリティとITチーム間の協力を強化する
- 退屈な作業を排除することで士気を向上させる
- 簡単で迅速な承認でアナリストを管理下に置く
ワークフローの概要#
使用ツール:
- Tines – ワークフローオーケストレーションとAIプラットフォーム(Community Edition利用可能)
- CrowdStrike – 脅威インテリジェンスとEDRプラットフォーム
- ServiceNow – チケット管理とITSMプラットフォーム
- Slack – チームコラボレーションプラットフォーム
動作方法:
- RSSフィード収集:CISAのRSSフィードから最新のアドバイザリを取得
- 重複排除:重複するアドバイザリをフィルタリング
- ベンダーフィルタリング:主要なベンダーやサービス(例:Microsoft、Citrix、Google、Atlassian)からのアドバイザリに焦点を当てる
- CVE抽出:アドバイザリの説明からCVEを特定
- 強化:CVEをCrowdStrikeの脅威インテリジェンスと照合して追加のコンテキストを提供
- Slack通知:アクションボタン付きで強化された脆弱性を専用のSlackチャンネルに送信
- 承認フロー:
- 承認されると、ワークフローはServiceNowチケットを作成
- 拒否されると、ワークフローはチケットを作成せずに決定を記録
ワークフローの設定 – ステップバイステップガイド#
 |
| Tines Community Editionのサインアップフォーム |
1. Tinesにログインするか、新しいアカウントを作成します。
2. ライブラリの事前構築ワークフローに移動します。インポートを選択します。これにより、新しい事前構築ワークフローに直接移動します。
 |
| Tinesのドラッグ&ドロップキャンバス上のワークフロー |
 |
| Tinesで新しい資格情報を追加する |
3. 資格情報を設定する#
Tinesテナントに追加する必要がある3つの資格情報があります:
- CrowdStrike
- ServiceNow
- Slack
上記に挙げたものと同様のサービスも、ワークフローにいくつかの調整を加えることで使用可能です。
資格情報ページから、新しい資格情報を選択し、関連する資格情報までスクロールして必要なフィールドを入力します。CrowdStrike、ServiceNow、Slackの資格情報ガイドについては、explained.tines.comをご覧ください。
4. アクションを設定する#
- アドバイザリ通知用のSlackチャンネルを設定する(slack_channel_vuln_advisoryリソース)。
- ServiceNowアクションでチケットの詳細を設定する(例:優先度、アサインメントグループ)。
- 必要に応じて、組織の優先順位に合わせてベンダーフィルタリングルールを調整する。
5. ワークフローをテストする#
CISAから最近のアドバイザリを取得してテストをトリガーし、以下を確認します:
- Slack通知が正しいフォーマットで送信される
- 承認ボタンが期待通りに機能する
- 承認時にServiceNowチケットが正しく作成される
6. 公開して運用化する#
テストが完了したら、ワークフローを公開します。Slackチャンネルをチームと共有し、効率的にアドバイザリをレビューし承認することを開始します。
このワークフローをテストしたい場合は、無料のTinesアカウントにサインアップできます。