最近、XSOAR を触れる環境を手に入れたのですが、XSOAR については全くのど素人でしたので、右も左もわからない状態でした。
Youtube のXSOARに関するチャンネルをみたりもしていたのですが、そこで紹介されている手順が個人のPC環境ではなかなか手に入らない環境を前提としたものであり、実践が難しい状況でした。
そこで、参考になるものが他にないか探していたのですが、そんな中、英語ではありますが「PALO ALTO CORTEX XSOAR:A Practical Guide」という本がKindleで売られていることを発見しました。
まず本のサンプルでダウンロードしてみたところ、XSOAR 環境構築直後のコマンドラインやXSOARの中のPlaygroundを使った動作確認方法が書かれており、実際にそれを試したところ、コマンドの確認以上の効果を感じたので購入してみることにしました。
インシデントの取り込み方法をわかりやすく記載
SOARというとどうしてもPlaybookにフォーカスがあたりがちですが、この本ではそれを作成する前の
・マーケットプレイスからのインテグレーションの取り込み
・インテグレーションからインスタンスの作成
・インシデントタイプの作成
・データフィールドの作成
・分類(Classifier)やデータ・マッピング
・インスタンスへのインシデントタイプ、分類、マッピングの割当
・インシデントの取り込み
といったものが手順どおり1つ残らず記載されており、この通り進めていくだけで1〜日程度あればインシデントの取り込みまで完了することができます。
また当然ですが、上記以外にもPlaybookの作成やTIM(脅威情報マネジメント)の部分もしっかり書かれているようです。(まだ私はそこまでたどり着いていませんが。)
記載されている情報はやや古い
ただし、約1年前に発行された本のため、XSOAR ダッシュボードのGUIの記載については、ところどころ本の内容と実際の画面が異なっています。
もし上記の手順でひっかかってしまうことがあるとしたら、この画面の差異によるものかなと思います。
Gmail のフォルダからSpam報告メール取り込み
実際に私はこの本を見ながらXSOARでインシデント作成までの手順を実施してみましたが、XSOAR のインストールがすでに完了している状態だったので、半日かからずに完了することができました。
すこし手こずった部分があるとすると、先ほど触れた情報の古さの部分ですね。
また、私が英語を読み飛ばしてしまっただけかもしれませんが、ほんの一部、明確に記載がされていない部分があったようにも思います。
ただそれも、考えれば対応可能な範囲ですので概ね問題ないかと思います。
今後はこの本の後半戦の実践にチャレンジ
先ほど書いたように、私は今のところインシデントの作成の部分までしか読んで実践できていません。
これからもこの本を参考にしながら、そのインシデントをトリガとしたPlaybookの作成をしてみたいと考えています。
コメントを残す