インシデント対応は、インシデント対応のライフ サイクルにおける制御 (Azure サービス (Microsoft Defender for Cloud や Sentinel など) や他のクラウド サービスを使用してインシデント対応プロセスを自動化するなど、準備、検出と分析、封じ込め、インシデント後のアクティビティなど) について説明します。
IR-1: 準備 - インシデント対応計画と処理プロセスを更新する
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 17.4, 17.7 | IR-4、IR-8 | 10.8 |
セキュリティ原則: 組織が業界のベスト プラクティスに従って、クラウド プラットフォーム上のセキュリティ インシデントに対応するプロセスと計画を立ててください。 共同責任モデルと、IaaS、PaaS、および SaaS の各サービス間の違いに注目してください。 これは、インシデントの通知とトリアージ、証拠収集、調査、根絶、復旧などのインシデントの対応や処理のアクティビティでクラウド プロバイダーとどのように協力するかに直接影響します。
インシデント対応計画と処理プロセスを定期的にテストして、最新の状態であることを確認します。
Azure ガイダンス: 組織のインシデント対応プロセスを更新して、Azure プラットフォームでのインシデントの処理を含めます。 使用される Azure サービスとアプリケーションの性質に基づいて、インシデント対応計画とプレイブックをカスタマイズして、クラウド環境のインシデントへの対応に使用できるようにします。
Azure の実装と追加のコンテキスト:
- エンタープライズ環境全体にセキュリティを実装します。
- インシデント対応リファレンス ガイド
- NIST SP800-61 コンピューター セキュリティ インシデント処理ガイド
- インシデント 応答 の概要
AWS ガイダンス: 組織のインシデント対応プロセスを更新して、インシデントの処理を含めます。 組織のインシデント対応プロセスを更新して、AWS プラットフォームでのインシデントの処理を含めることで、統合されたマルチクラウドインシデント対応計画が確実に実施されるようにします。 使用されている AWS サービスとアプリケーションの性質に基づいて、AWS セキュリティ インシデント対応ガイドに従ってインシデント対応計画とプレイブックをカスタマイズし、クラウド環境のインシデントへの対応に使用できるようにします。
AWS の実装と追加のコンテキスト:
GCP ガイダンス: 組織のインシデント対応プロセスを更新して、インシデントの処理を含めます。 組織のインシデント対応プロセスを更新して、Google Cloud プラットフォームでのインシデントの処理を含めることで、統合されたマルチクラウド インシデント対応計画が確実に実施されるようにします。
GCP の実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):
IR-2: 準備 – インシデント通知を設定する
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 17.1, 17.3, 17.6 | IR-4、IR-8、IR-5、IR-6 | 12.10 |
セキュリティ原則: クラウド サービス プロバイダーのプラットフォームと環境からのセキュリティ アラートとインシデント通知を、インシデント対応組織の正しい連絡先が受け取れるようにします。
Azure ガイダンス: Microsoft Defender for Cloud でセキュリティ インシデントの連絡先情報を設定します。 この連絡先情報は、お客様のデータが違法または未承認の当事者によってアクセスされたことが Microsoft Security Response Center (MSRC) によって検出された場合に、お客様に連絡するために Microsoft によって使用されます。 また、インシデント対応のニーズに基づいて、さまざまな Azure サービスでインシデント アラートと通知をカスタマイズするオプションもあります。
Azure の実装と追加のコンテキスト:
AWS ガイダンス: AWS Systems Manager Incident Manager (AWS のインシデント管理センター) でセキュリティ インシデントの連絡先情報を設定します。 この連絡先情報は、さまざまなチャネル (電子メール、SMS、音声など) を介したユーザーと AWS 間のインシデント管理通信に使用されます。 連絡先のエンゲージメント計画とエスカレーション計画を定義して、インシデント マネージャーが連絡先に関与する方法とタイミングを説明し、連絡先がインシデントに応答しない場合はエスカレートすることができます。
AWS の実装と追加のコンテキスト:
GCP ガイダンス: Security Command Center または Chronicle を使用して、特定の連絡先のセキュリティ インシデント通知を設定します。 Google Cloud サービスとサードパーティ API を使用して、Security Command Center のセキュリティ結果を通知するリアルタイムの電子メールとチャット通知を提供するか、プレイブックを使用して Chronicle で通知を送信するアクションをトリガーします。
GCP の実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):
IR-3: 検出と分析 – 高品質のアラートに基づいてインシデントを作成する
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 17.9 | IR-4、IR-5、IR-7 | 10.8 |
セキュリティ原則: 高品質のアラートを作成し、アラートの品質を測定するプロセスがあることを確認します。 これにより、過去のインシデントから教訓を学び、アナリストに対するアラートに優先順位を付けることができるので、擬陽性に時間を無駄にすることがありません。
高品質のアラートは、過去のインシデントからの経験、検証されたコミュニティ ソース、およびさまざまなシグナル ソースの融合と関連付けによってアラートを生成してクリーンアップするように設計されたツールに基づいて構築できます。
Azure ガイダンス: Microsoft Defender for Cloud は、多くの Azure 資産にわたって高品質のアラートを提供します。 Microsoft Defender for Cloud データ コネクタを使用して、アラートを Microsoft Sentinel にストリーミングできます。 Microsoft Sentinel を使用すると、高度なアラート ルールを作成して、調査のためにインシデントを自動的に生成できます。
エクスポート機能を使用して Microsoft Defender for Cloud のアラートと推奨事項をエクスポートし、Azure リソースへのリスクを特定します。 アラートと推奨事項を手動でエクスポートするか、または継続的にエクスポートします。
Azure の実装と追加のコンテキスト:
AWS ガイダンス: SecurityHub や GuardDuty などのセキュリティ ツールやその他のサード パーティ製ツールを使用して Amazon CloudWatch または Amazon EventBridge にアラートを送信し、定義された条件とルール セットに基づいてインシデントをインシデント マネージャーで自動的に作成できるようにします。 インシデント マネージャーでインシデントを手動で作成して、さらにインシデントの処理と追跡を行うこともできます。
Microsoft Defender for Cloud を使用して AWS アカウントを監視する場合は、Microsoft Sentinel を使用して、Microsoft Defender for Cloud によって識別されたインシデントを AWS リソースで監視およびアラートすることもできます。
AWS の実装と追加のコンテキスト:
GCP ガイダンス: Google Cloud とサード パーティのサービスを統合して、ログとアラートを Security Command Center または Chronicle に送信し、定義された条件に基づいてインシデントを自動的に作成できるようにします。 さらにインシデントの処理と追跡のために、Security Command Center または Chronicle のルールでインシデントの結果を手動で作成および編集することもできます。
Microsoft Defender for Cloud を使用して GCP プロジェクトを監視する場合は、Microsoft Sentinel を使用して、GCP リソース上の Microsoft Defender for Cloud によって識別されたインシデントを監視およびアラートしたり、GCP ログを Microsoft Sentinel に直接ストリーミングしたりすることもできます。
GCP の実装と追加のコンテキスト:
- セキュリティ コマンド センターの構成
- ルール エディターを使用してルールを管理する
- GCP プロジェクトを Microsoft Defender for Cloud に接続する
- Google Cloud Platform のログを Microsoft Sentinel にストリーミングする
顧客のセキュリティ利害関係者 (詳細情報):
IR-4: 検出と分析 – インシデントを調査する
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| なし | IR-4 | 12.10 |
セキュリティ原則: セキュリティ運用チームが潜在的なインシデントを調査するときに、さまざまなデータ ソースに対してクエリを実行して使用し、何が起こったかを完全に確認できるようにします。 死角を避けるために、キル チェーン全体の潜在的な攻撃者のアクティビティを追跡するために、多様なログを収集する必要があります。 また、他のアナリストや将来の履歴参照のために、分析情報と学習が確実にキャプチャされるようにする必要があります。
組織にセキュリティ ログとアラート情報を集計する既存のソリューションがない場合は、クラウド ネイティブの SIEM とインシデント管理ソリューションを使用します。 さまざまなソースから提供されたデータに基づいてインシデント データを関連付け、インシデント調査を機能させる。
Azure ガイダンス: セキュリティ運用チームが、スコープ内のサービスとシステムから収集された多様なデータ ソースに対してクエリを実行して使用できることを確認します。 さらに、ソースには次のものも含まれます。
- ID とアクセス ログ データ: AZURE AD ログとワークロード (オペレーティング システムやアプリケーション レベルなど) のアクセス ログを使用して、ID とアクセス イベントを関連付けます。
- ネットワーク データ: ネットワーク セキュリティ グループのフロー ログ、Azure Network Watcher、Azure Monitor を使用して、ネットワーク フロー ログやその他の分析情報をキャプチャします。
- 影響を受けるシステムのスナップショットからのインシデント関連のアクティビティ データは、次の方法で取得できます。
- 実行中のシステムのディスクのスナップショットを作成するための Azure 仮想マシンのスナップショット機能。
- オペレーティング システムのネイティブ メモリ ダンプ機能。実行中のシステムのメモリのスナップショットを作成します。
- 実行中のシステムのスナップショットを作成するための、サポートされている他の Azure サービスまたはソフトウェア独自の機能のスナップショット機能。
Microsoft Sentinel は、事実上すべてのログ ソースとケース管理ポータル全体で広範なデータ分析を提供し、インシデントの完全なライフサイクルを管理します。 調査中のインテリジェンス情報は、追跡とレポートの目的でインシデントに関連付けることができます。
注: インシデント関連のデータを調査のためにキャプチャする場合は、実行中のデータ侵害アクティビティ中に攻撃者が実行できるログの無効化やログの削除など、不正な変更からデータを保護するための適切なセキュリティが確保されていることを確認します。
Azure の実装と追加のコンテキスト:
- Windows マシンのディスクのスナップショットを作成する
- Linux マシンのディスクのスナップショットを作成する
- Microsoft Azure サポートの診断情報とメモリ ダンプの収集
- Azure Sentinel を使用してインシデントを調査する
AWS ガイダンス: 調査用のデータ ソースは、スコープ内のサービスと実行中のシステムから収集される一元的なログソースですが、以下も含めることができます。
- ID およびアクセス ログ データ: IAM ログとワークロード (オペレーティング システムやアプリケーション レベルなど) のアクセス ログを使用して、ID イベントとアクセス イベントを関連付けます。
- ネットワーク データ: VPC フロー ログ、VPC トラフィック ミラー、Azure CloudTrail と CloudWatch を使用して、ネットワーク フロー ログやその他の分析情報をキャプチャします。
- 実行中のシステムのスナップショット。次の方法で取得できます。
- 実行中のシステムのディスクのスナップショットを作成するための Amazon EC2 (EBS) のスナップショット機能。
- オペレーティング システムのネイティブ メモリ ダンプ機能。実行中のシステムのメモリのスナップショットを作成します。
- 実行中のシステムのスナップショットを作成するための AWS サービスまたはソフトウェア独自の機能のスナップショット機能。
SIEM 関連のデータを Microsoft Sentinel に集計すると、実質的にあらゆるログ ソースとケース管理ポータルにわたる広範なデータ分析が提供され、インシデントの完全なライフサイクルを管理できます。 調査中のインテリジェンス情報は、追跡とレポートの目的でインシデントに関連付けることができます。
注: インシデント関連のデータを調査のためにキャプチャする場合は、実行中のデータ侵害アクティビティ中に攻撃者が実行できるログの無効化やログの削除など、不正な変更からデータを保護するための適切なセキュリティが確保されていることを確認します。
AWS の実装と追加のコンテキスト:
GCP ガイダンス: 調査用のデータ ソースは、スコープ内のサービスと実行中のシステムから収集される一元的なログ ソースですが、以下も含めることができます。
- ID およびアクセス ログ データ: IAM ログとワークロード (オペレーティング システムやアプリケーション レベルなど) のアクセス ログを使用して、ID イベントとアクセス イベントを関連付けます。
- ネットワークデータ: VPC フローログと VPC サービスコントロールを使用して、ネットワークフローログやその他の分析情報をキャプチャします。
- 実行中のシステムのスナップショット。次の方法で取得できます。
- 実行中のシステムのディスクのスナップショットを作成するための GCP VM のスナップショット機能。
- オペレーティング システムのネイティブ メモリ ダンプ機能。実行中のシステムのメモリのスナップショットを作成します。
- 実行中のシステムのスナップショットを作成するための、GCP サービスまたはソフトウェア独自の機能のスナップショット機能。
SIEM 関連のデータを Microsoft Sentinel に集計すると、実質的にあらゆるログ ソースとケース管理ポータルにわたる広範なデータ分析が提供され、インシデントの完全なライフサイクルを管理できます。 調査中のインテリジェンス情報は、追跡とレポートの目的でインシデントに関連付けることができます。
注: インシデント関連のデータを調査のためにキャプチャする場合は、実行中のデータ侵害アクティビティ中に攻撃者が実行できるログの無効化やログの削除など、不正な変更からデータを保護するための適切なセキュリティが確保されていることを確認します。
GCP の実装と追加のコンテキスト:
- セキュリティ コマンド センター - セキュリティ ソース
- サポートされているデータ セット
- ディスク スナップショットの作成と管理
- Google Cloud Platform のログを Microsoft Sentinel にストリーミングする
顧客のセキュリティ利害関係者 (詳細情報):
IR-5: 検出と分析 – インシデントの優先順位を付ける
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 17.4, 17.9 | IR-4 | 12.10 |
セキュリティ原則: 組織のインシデント対応計画で定義されているアラートの重大度と資産の機密性に基づいて、どのインシデントに最初に重点を置くべきかを判断するために、セキュリティ運用チームにコンテキストを提供します。
さらに、タグを使用してリソースをマークし、クラウド リソース (特に、機密データを処理するもの) を識別して分類するための命名システムを作成します。 インシデントが発生したリソースと環境の重要度に基づいて、アラートの修復に優先順位を付けることは、お客様の責任です。
Azure ガイダンス: Microsoft Defender for Cloud では、各アラートに重大度が割り当てられ、最初に調査する必要があるアラートに優先順位を付けることができます。 重大度は、アラートの発行に使用される検出または分析における Microsoft Defender for Cloud の信頼度と、アラートの原因となったアクティビティの背後に悪意のある意図があったという信頼レベルに基づいています。
同様に、Microsoft Sentinel では、分析ルールに基づいて、重大度やその他の詳細が割り当てられたアラートとインシデントが作成されます。 分析ルール テンプレートを使用し、インシデントの優先順位付けをサポートするために組織のニーズに応じてルールをカスタマイズします。 Microsoft Sentinel の自動化ルールを使用して、脅威の対応を管理および調整し、セキュリティ運用のチームの効率と有効性を最大化します。これには、インシデントを分類するためのタグ付けも含まれます。
Azure の実装と追加のコンテキスト:
AWS ガイダンス: インシデント マネージャーで作成されたインシデントごとに、インシデントの重大度の測定や影響を受ける資産の重要度レベルなど、組織の定義された基準に基づいて影響レベルを割り当てます。
AWS の実装と追加のコンテキスト:
* GCP ガイダンス: Security Command Center で作成されたインシデントごとに、システムによって割り当てられた重大度の評価と、組織で定義されているその他の条件に基づいてアラートの優先順位を決定します。 影響を受ける資産のインシデントの重大度と重要度レベルを測定して、最初に調査する必要があるアラートを決定します。
同様に、クロニカルでは、インシデント対応の優先順位を決定するカスタム ルールを定義できます。 GCP の実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):
IR-6: 封じ込め、根絶、復旧 - インシデント処理を自動化する
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| なし | IR-4、IR-5、IR-6 | 12.10 |
セキュリティ原則: 手動で反復的なタスクを自動化して応答時間を短縮し、アナリストの負担を軽減します。 手動タスクの実行には時間がかかり、各インシデントが遅くなり、アナリストが処理できるインシデントの数が減ります。 また、手動タスクはアナリストの疲労を高め、遅延を引き起こす人為的ミスのリスクを高め、アナリストが複雑なタスクに効果的に集中する能力を低下させます。
Azure ガイダンス: Microsoft Defender for Cloud と Microsoft Sentinel のワークフロー自動化機能を使用して、アクションを自動的にトリガーするか、プレイブックを実行して受信セキュリティ アラートに応答します。 プレイブックは、通知の送信、アカウントの無効化、問題のあるネットワークの分離などのアクションを実行します。
Azure の実装と追加のコンテキスト:
- Security Center でワークフロー自動化を構成する
- Microsoft Defender for Cloud で自動脅威対応を設定する
- Azure Sentinel で自動脅威対応を設定する
AWS ガイダンス: Microsoft Sentinel を使用してインシデントを一元的に管理する場合は、自動アクションを作成したり、プレイブックを実行して受信セキュリティ アラートに応答したりすることもできます。
または、AWS System Manager の自動化機能を使用して、インシデント対応計画で定義されたアクションを自動的にトリガーします。これには、連絡先への通知や、アラートに応答する Runbook の実行 (アカウントの無効化、問題のあるネットワークの分離など) が含まれます。
AWS の実装と追加のコンテキスト:
- AWS Systems Manager の - Runbook と Automation
GCP ガイダンス: Microsoft Sentinel を使用してインシデントを一元的に管理する場合は、自動アクションを作成したり、プレイブックを実行して受信セキュリティ アラートに応答したりすることもできます。
または、Chronicle のプレイブック自動化を使用して、インシデント対応計画で定義されたアクションを自動的にトリガーします。これには、連絡先への通知や、アラートに応答するためのプレイブックの実行が含まれます。
GCP の実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):
IR-7: インシデント発生後のアクティビティ - 学習した教訓を実施し、証拠を保持する
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 17.8 | IR-4 | 12.10 |
セキュリティ原則: インシデント対応と処理における将来の機能を向上させるために、組織で定期的に、または大規模なインシデントの後に学習した教訓を実施します。
インシデントの特性に基づいて、インシデント処理標準で定義されている期間にインシデントに関連する証拠を保持し、さらなる分析や法的措置に使用します。
Azure ガイダンス: 学習したアクティビティの結果を使用して、インシデント対応計画、プレイブック (Microsoft Sentinel プレイブックなど) を更新し、結果を環境に再組み込み (ログ記録や脅威検出など)、Azure でのインシデントの検出、対応、処理における将来の機能を向上させます。
システム ログ、ネットワーク トラフィック ダンプ、不変の保持のための Azure Storage アカウントなどのストレージ内のシステム スナップショットの実行など、"検出と分析 - インシデントの調査ステップ" の間に収集された証拠を保持します。
Azure の実装と追加のコンテキスト:
AWS ガイダンス: 標準のインシデント分析テンプレートまたは独自のカスタム テンプレートを使用して、インシデント マネージャーで終了したインシデントのインシデント分析を作成します。 学習したアクティビティの結果を使用して、インシデント対応計画、プレイブック (AWS Systems Manager Runbook や Microsoft Sentinel プレイブックなど) を更新し、結果を環境に組み込み (ログ記録や脅威検出など)、AWS でのインシデントの検出、対応、処理における将来の機能を向上させます。
システム ログ、ネットワーク トラフィック ダンプ、Amazon S3 バケットや Azure Storage アカウントなどのストレージでシステム スナップショットを実行して不変のリテンション期間を確保するなど、"検出と分析 - インシデントの調査ステップ" の間に収集された証拠を保持します。
AWS の実装と追加のコンテキスト:
GCP ガイダンス: 学習したアクティビティの結果を使用して、インシデント対応計画、プレイブック (クロニクルや Microsoft Sentinel プレイブックなど) を更新し、結果を環境に組み込み (ログ記録や脅威検出など)、GCP でのインシデントの検出、対応、処理における将来の機能を向上させます。
システム ログ、ネットワーク トラフィック ダンプ、Google Cloud Storage や Azure Storage アカウントなどのストレージ内のシステム スナップショットを実行して不変のリテンション期間を確保するなど、"検出と分析 - インシデントの調査ステップ" の間に収集された証拠を保持します。
GCP の実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):