Mission Controlで何が変わる？

Mission Control 待望のGA！

Splunkの統合セキュリティプラットフォームでの運用を行う上で重要な意味を持つMission Controlがこの2月にリリースされました。Mission ControlはSplunkが提供する新しいセキュリティオペレーションプラットフォームです。

Splunkは業界をリードするSIEM（Security Information and Event Management）を実現するSplunk Enterprise Securityと、業界をリードするSOAR（Security Orchestration, Automation, and Response）をこれまでも提供してきました。Mission Controlは正に宇宙船や人工衛星を一箇所で管理するMission Control Centerのように、SplunkのSIEMとSOARを一箇所で有機的に結合しながら管理できる統合セキュリティオペレーションを実現できます。

実際の画面を見てみたい

実際にMission ControlとEnterprise Securityにはどのような違いがあるのか見てみましょう。

以下はEnteprise SecurityとMission Controlでインシデントレビューのページを見てみたところです。

Mission Controlでは左側に識別の容易なインシデントID（Human Readable IDと呼ばれます）が割り振られ、識別がしやすくなっていますが、これだけだとMission Controlの特徴は良く分からないのではないかと思います。Enterprise Securityのインシデントレビュー画面が不便であったためにMission Controlが作られたわけではないので、インシデントレビュー画面で大きな差が出ないのは当然のことなのかもしれません。

この二つの違いはインシデントレビューを始めると良く分かります。まず、ケースレビューを始めるためにMission Controlを開いた画面が以下のものです。

インシデントの内容に応じたResponse Templateが選択されていますが、こちらのResponse Templateを指定することによって、インシデントレビューの内容に応じたSOARのPlaybookが直接実行できるようになっていることがわかります。

Response Templateの設定は上部の「コンテンツ」より編集できますが、ここでインシデントレビューのタスクを定義し、統一された手順でインシデントレビューを行い、SOARのPlaybookにも効率よくアクセスできるようになります。

設定画面ではResponse Templateとインシデントタイプを紐づけることによって、インシデントタイプを指定すると自動的にResponse Templateが指定され、定型化されたインシデントレビューを効率よく実施できるようになります。

統合セキュリティプラットフォームのためのMission Control

Mission ControlはSIEMとSOARにアクセスするただのポータルAppではありません。

検知や調査を統合し、定型化された対応を実現するテンプレートを提供しながら効率よくケースレビューを行うためのテンプレートと、最新のセキュリティオートメーションによる強力なSOARのPlaybookに効率よくアクセスするための統合セキュリティプラットフォームです。

Mission Controlでぜひ複雑化するセキュリティオペレーション（SecOps）へ備えてください。