SOARと脅威インテリジェンスを統合したプラットフォーム
続いて同社 Cortex 営業本部 本部長 露木正樹氏が新たなSOAR製品となる「Cortex XSOAR」(以下、XSOAR)を発表した。大きな特徴はSOARに脅威インテリジェンスを統合したところだ。
既知の脅威に対してはSOARの基本となる自動化とオーケストレーションで、インシデント対応の迅速化を図る。高度なプログラミングを必要としない「Visual playbook editor」も大きな特徴だ。
未知の脅威には仮想作戦室や自動ドキュメンテーションなどのリアルタイムコラボレーション機能でアナリストが協力して分析や調査をしていけるようにする。インシデント管理はセキュリティアラートの調査や照会がしやすいようなダッシュボードがあり、いわゆる「アナリストのアラート疲れ」を起こしにくいようにしている。
このSOARプラットフォームに脅威インテリジェンスも集約することで、脅威インテリジェンスと関連した作業でも効率化が図れるようにしている。例えば外部脅威インテリジェンスから新しいC&Cサーバーのアドレスが通知されたら、予防措置としてブロックするという作業が発生する。XSOARでは脅威インテリジェンスをフィードで集約しているため、ネットワークの設定変更や管理者への通知といったところも自動化が可能になる。
なおこれまでパロアルトネットワークスが提供していたDemistoはXSOARに移行となる。クラウドホスト型で契約していれば自動的に移行され、オンプレミス型ならバージョン5.5にアップグレードするとXSOARに移行となる。
露木氏は「(XSOARで)SOARを再定義する」と宣言した。
