4.2. F5 のケーススタディ

F5 と Event-Driven Ansible による自動化は、以下のようなセキュリティーオペレーションのユースケースで役立ちます。

サイバー攻撃は組織にとって永続的な脅威であり、セキュリティーツールは、人員不足のセキュリティーチームが調査できる以上のアラートを生成します。組織は、自動化を通じてセキュリティーチームが問題をより効率的に特定および修復できるようにすることで、大幅なコスト削減を実現できます。セキュリティー自動化の一般的な最初のステップは、事前に定義された調査 Playbook に従って、潜在的なセキュリティーインシデントの調査フェーズを迅速化することです。新しいセキュリティーイベントによって Ansible ルールブックがトリガーされると、自動化されたワークフローが複数の F5 ソリューションからデータを収集して相関させ、セキュリティーアナリストが調査に費やす時間を大幅に短縮します。その結果、インシデントを特定して封じ込めるまでの平均時間が短縮されます。

企業は多数のエンドポイントデバイスを管理しています。この攻撃対象領域により、組織は複数の脅威ベクトルにさらされることになります。多くのセキュリティーチームには、プロアクティブな脅威ハンティングに投資するリソースが不足していますが、自動化を使用して脅威データを監視および相関させ、実用的な分析情報を生成することで、セキュリティーチームはセキュリティーの問題をより効果的に防止し、脅威の露出を迅速に検出できます。

自動化されたサイバー攻撃の状況では、脅威に対する即時の対応が不可欠です。セキュリティーチームは、事前に構築された検証済みのワークフローを実行する自動化を使用して、即座に対応し、セキュリティーインシデントを抑制または防止できるため、攻撃者の滞在時間と被害を軽減できます。ルールは、特定のイベントに基づいてどのワークフローをトリガーするかを決定します。イベントが検出されると、自動化が実行されて問題が修復され、攻撃者のアクセスが防止され、エンドポイントが隔離され、セキュリティーポリシーが更新されて将来の発生が防止されます。たとえば、悪意のあるユーザーがアプリケーションにアクセスしようとしていることが検出された場合、イベント監視によって Ansible ルールブックがトリガーされ、悪意のあるユーザーをブロックしつつ、正当なユーザーによるアプリケーションアクセスを引き続き許可するよう F5 Advanced WAF に指示できます。