インシデント対応手順をプログラム化（Playbook化）、反復的なタスクを自動処理する事で工数を削減します。

さらに、自動アクションは数秒で実行されます。意思決定の為のインテリジェンスを自動で取得することが可能です。

他製品・ツールが提供しているAPIを利用し、情報取得や設定変更を実施します。
APIはAppsという形でテンプレート化します。Splunk Phantomは200種類以上のAppsを用意しており、1000以上のAPIを実行する事が可能です。また、既存のAppsにない場合でもPythonコードで新規に作成する事が可能です。

連携例：VirusTotalに自動でIPレピュテーション情報を問合せ、取得/悪性の場合、IPをFWのブラックリストに登録

• Splunk PhantomのApps一覧画面
  
• Appsのテンプレート概要
  （Symantec Endpoint Protectionの場合）
  

シナリオ例

セキュリティ運用ツールをSplunk Phantomに一元化し、共通の画面やチャット機能を提供することで、全ての関係者にインシデントの経緯、状況共有を実現します。

担当者間の相談や意見交換、SOC部門からネットワーク管理者への説明までSplunk Phantom上で実施する事により、チーム間・役割の壁を取り払い、効率的なオペレーションを可能にします。

発生したセキュリティイベントを管理します。

発生日、ステータス、緊急性などを参照し、イベントを効率的に管理する事が出来ます。

イベントのなかでもインシデントと認められたものをケースに昇格し、管理します。

ケースではインシデント対応状況、アサインされた担当者、次の対応ステップなどを管理し、漏れの無い迅速な対応を支援します。

テンプレートに設定されたActionやPlaybookがTaskとして一覧表示されます。

ケース管理ページ

運用者だけでなく、管理者に対してインシデント対応サマリ、Phantomによって得られた効果（ROI）等を提供します。エグゼクティブサマリのレポートをPDFに出力する事も可能です。

レポートのサマリ画面