コンテンツにスキップ

5. SOAR 機能

Google SecOps には 対応、復旧を効率化する SOAR の機能も含まれています。ここでは簡単にどのような機能があるかを確認します。

Warning

このページはワークショップ環境では操作いただけません(環境メンテナンス中のため)。内容の確認のみ行ってください。

5.1 ケース管理

1.画面左上の メニューボタン から Cases をクリックして、ケース管理画面に移動します。

image-20250827005706803

2.左側に起票されているケースの一覧が表示されています。ここでは例として Imposible Travel : xxxx のケースをクリックします。

image-20250827010034477

Check

このケースは Tier1 の担当者に割り当てられていることが確認できます。また画面中ではタブがあり、全体の概要(Overview)と対応履歴(Case Wall)、グループ化されたアラートが確認できるようになっています。

3.画面中段には Gemini によるケースの要約と対応方法のアドバイスが表示されています。

image-20250827010456021

4.画面下段では、このケースに関連するエンティティ(IDやIPアドレスなど)の情報や、その関連性がグラフで表示されています。

image-20250827010934712

5.画面上段に戻り、グループ化されたアラートをクリックします。 このケースに関して、自動対応のためのプレイブックが割り当てらていることが確認できます。

image-20250827011326211

Check

Pending Actions があることから、自動対応の途中で手作業の確認待ちになっているようです。

6.また画面下部では、このユーザに関するアカウント状態や、ログインが発生した具体的な場所が地図上にプロットされています。

image-20250827011526479

5.2 プレイブックによる対応

7. Pending Actions の Respond をクリックして、対応すべき内容を確認します。ここでは他の参加者のために、アクションを実行しないでください

image-20250827011827404

Check

このPending Actionでは、不審なログインがあったユーザのクレデンシャルの情報をリセットするために、確認メールの送信するかを確認をもとめています。

8.Pending Actions の View Playbook をクリックすると、あらかじめ設定されたプレイブックの手順が確認できます。

image-20250827012246260

Check

Pending Action の前後にも、プレイブックによって動作が規定されていることを確認してください。判断を行った後も分岐した動作が用意されており、可能な限り対応を自動化できるように構築されています。

9.このステップは終了です。 まとめ に移動します。