第4章 セキュリティー関連のイベントに対応するための Event-Driven Ansible

Event-Driven Ansible は、組織がリアルタイムのイベントに動的に対応できるようにする強力な自動化フレームワークです。さまざまなソースからのトリガーをリッスンし、条件を評価して、Ansible Playbooks を使用して自動対応を実行します。

セキュリティーオペレーションの観点では、Event-Driven Ansible はセキュリティー関連のイベントへの対応を自動化することで、迅速なインシデント対応、脅威の軽減、システム強化を実現します。イベント駆動型の自動化は、IT 環境内の変化する状況に自動的に応答し、問題をより迅速に解決して、日常的な反復タスクを削減するプロセスです。Event-Driven Ansible は、ルールを使用してイベントのソースと対応するアクションを結びつけます。意思決定機能は、監視ツールから「イベント」を受信し、必要なアクションをトリガーします。Ansible ルールブックはイベントのソースを定義し、「もしこうなったら、こうする (if-this-then-that)」という形式の指示を使用して、そのイベントに遭遇した際に実行するアクションを記述します。Ansible ルールブックは、Playbook の実行やモジュールの直接実行などのアクションにイベント条件をマッピングします。Ansible を通じて、このイベント駆動型の自動化プロセスがセキュリティー関連のイベントに適用され、イベント駆動型セキュリティーが実現します。セキュリティーリスクを迅速に特定して対処するには、広範な監視ツールのセットが必要です。これらのツールが問題や懸念事項を特定すると、イベント駆動型の自動化ソリューションがログソースを Security Information and Event Management (SIEM) システムに返し、人間による介入、トリアージ、または解決が行われます。自動化されたイベント駆動型の脅威対応の例には、ポート、IP、またはデバイスのシャットダウンが含まれます。イベントソースがネットワークルーターを監視していて、ルーターが応答していないことを検出すると、これをイベントとして認識します。Event-Driven Ansible はこのイベントを受け取り、ルールブックのルールで定義された条件と照合します。この場合の条件は、「‘no response’ を示すイベントに遭遇した場合、ルーターをリセットする」となります。Event-Driven Ansible はルールブック内の指示をトリガーし、ルーターがリセットされ、正常な機能に復旧します。これは人間の介入なしにいつでも発生する可能性があります。

Event-Driven Ansible は、次の一般的なセキュリティーユースケースを自動化できます。

以下は、不正な SSH アクセスを検出して対応するために Event-Driven Ansible を使用するワークフローシナリオの例です。