インシデント対応には、インシデント対応のライフ サイクル (準備、検出と分析、封じ込め、インシデント後のアクティビティなど) の制御が含まれます。これには、Microsoft Defender for Cloud や Sentinel などの Azure サービスを使用してインシデント対応プロセスを自動化する方法が含まれます。
IR-1: 準備 - インシデント対応計画と処理プロセスを更新する
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 17.4, 17.7 | IR-4、IR-8 | 10.8 |
セキュリティ原則: 組織が業界のベスト プラクティスに従って、クラウド プラットフォーム上のセキュリティ インシデントに対応するプロセスと計画を立ててください。 共有責任モデルと、IaaS、PaaS、SaaS サービス全体の差異に注意してください。 これは、インシデント対応と処理アクティビティ (インシデント通知とトリアージ、証拠収集、調査、根絶、復旧など) でクラウド プロバイダーと共同作業する方法に直接影響します。
インシデント対応計画と処理プロセスを定期的にテストして、最新の状態であることを確認します。
Azure ガイダンス: Azure プラットフォームでのインシデントの処理を含むように、組織のインシデント対応プロセスを更新します。 使用される Azure サービスとアプリケーションの性質に基づいて、インシデント対応計画とプレイブックをカスタマイズして、クラウド環境のインシデントへの対応に使用できるようにします。
実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):
IR-2: 準備 – インシデント通知を設定する
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 17.1, 17.3, 17.6 | IR-4、IR-8、IR-5、IR-6 | 12.10 |
セキュリティ原則: クラウド サービス プロバイダーのプラットフォームと環境からのセキュリティ アラートとインシデント通知を、インシデント対応組織の正しい連絡先で受信できることを確認します。
Azure ガイダンス: Microsoft Defender for Cloud でセキュリティ インシデントの連絡先情報を設定します。 この連絡先情報は、お客様のデータが違法または未承認の当事者によってアクセスされたことが Microsoft Security Response Center (MSRC) によって検出された場合に、お客様に連絡するために Microsoft によって使用されます。 また、インシデント対応のニーズに基づいて、さまざまな Azure サービスでインシデント アラートと通知をカスタマイズするオプションもあります。
実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):
IR-3: 検出と分析 – 高品質のアラートに基づいてインシデントを作成する
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 17.9 | IR-4、IR-5、IR-7 | 10.8 |
セキュリティ原則: 高品質のアラートを作成し、アラートの品質を測定するプロセスがあることを確認します。 これにより、過去のインシデントから教訓を学び、アナリストに対するアラートに優先順位を付けることができるので、擬陽性に時間を無駄にすることがありません。
高品質のアラートは、過去のインシデントからの経験、検証されたコミュニティ ソース、およびさまざまなシグナル ソースの融合と関連付けによってアラートを生成してクリーンアップするように設計されたツールに基づいて構築できます。
Azure ガイダンス: Microsoft Defender for Cloud は、多くの Azure 資産にわたって高品質のアラートを提供します。 Microsoft Defender for Cloud データ コネクタを使用して、アラートを Azure Sentinel にストリーミングできます。 Azure Sentinel では、調査のためにインシデントを自動的に生成する高度なアラート ルールを作成できます。
エクスポート機能を使用して Microsoft Defender for Cloud のアラートと推奨事項をエクスポートし、Azure リソースへのリスクを特定します。 アラートと推奨事項を手動でエクスポートするか、または継続的にエクスポートします。
実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):
IR-4: 検出と分析 – インシデントを調査する
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| なし | IR-4 | 12.10 |
セキュリティ原則: セキュリティ運用チームが潜在的なインシデントを調査するときに、さまざまなデータ ソースに対してクエリを実行して使用し、何が起こったかを完全に確認できるようにします。 死角を避けるために、キル チェーン全体の潜在的な攻撃者のアクティビティを追跡するために、多様なログを収集する必要があります。 また、他のアナリストや将来の履歴参照のために、分析情報と学習が確実にキャプチャされるようにする必要があります。
Azure ガイダンス: 調査用のデータ ソースは、スコープ内のサービスと実行中のシステムから既に収集されている一元的なログ ソースですが、以下を含めることもできます。
- ネットワーク データ: ネットワーク セキュリティ グループのフロー ログ、Azure Network Watcher、Azure Monitor を使用して、ネットワーク フロー ログやその他の分析情報をキャプチャします。
- 実行中のシステムのスナップショット: a) 実行中のシステムのディスクのスナップショットを作成するための Azure 仮想マシンのスナップショット機能。 b) オペレーティング システムのネイティブ メモリ ダンプ機能。実行中のシステムのメモリのスナップショットを作成します。 c) 実行中のシステムのスナップショットを作成するための、Azure サービスまたはソフトウェア独自の機能のスナップショット機能。
Azure Sentinel は、事実上すべてのログ ソースとケース管理ポータル全体で広範なデータ分析を提供し、インシデントの完全なライフサイクルを管理します。 調査中のインテリジェンス情報は、追跡とレポートの目的でインシデントに関連付けることができます。
実装と追加のコンテキスト:
- Windows マシンのディスクのスナップショットを作成する
- Linux マシンのディスクのスナップショットを作成する
- Microsoft Azure サポートの診断情報とメモリ ダンプの収集
- Azure Sentinel を使用してインシデントを調査する
顧客のセキュリティ利害関係者 (詳細情報):
IR-5: 検出と分析 – インシデントの優先順位を付ける
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 17.4, 17.9 | IR-4 | 12.10 |
セキュリティ原則: セキュリティ運用チームにコンテキストを提供して、組織のインシデント対応計画で定義されているアラートの重大度と資産の機密性に基づいて、最初に重点を置くべきインシデントを特定できるようにします。
Azure ガイダンス: Microsoft Defender for Cloud では、最初に調査する必要があるアラートに優先順位を付けるために、各アラートに重大度が割り当てられます。 重大度は、アラートの発行に使用される検出または分析における Microsoft Defender for Cloud の信頼度と、アラートの原因となったアクティビティの背後に悪意のある意図があったという信頼レベルに基づいています。
さらに、タグを使用してリソースをマークし、名前付けシステムを作成して、Azure リソース (特に機密データを処理するリソース) を識別して分類します。 インシデントが発生した Azure リソースと環境の重要度に基づいて、アラートの修復に優先順位を付ける必要があります。
実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):
IR-6: 封じ込め、根絶、復旧 - インシデント処理を自動化する
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| なし | IR-4、IR-5、IR-6 | 12.10 |
セキュリティ原則: 手動で反復的なタスクを自動化して応答時間を短縮し、アナリストの負担を軽減します。 手動タスクの実行には時間がかかり、各インシデントが遅くなり、アナリストが処理できるインシデントの数が減ります。 また、手動タスクはアナリストの疲労を高め、遅延を引き起こす人為的ミスのリスクを高め、アナリストが複雑なタスクに効果的に集中する能力を低下させます。
Azure ガイダンス: Microsoft Defender for Cloud と Azure Sentinel のワークフロー自動化機能を使用して、アクションを自動的にトリガーするか、プレイブックを実行して受信セキュリティ アラートに応答します。 プレイブックは、通知の送信、アカウントの無効化、問題のあるネットワークの分離などのアクションを実行します。
実装と追加のコンテキスト:
- Microsoft Defender for Cloud でワークフロー自動化を構成する
- Microsoft Defender for Cloud で自動脅威対応を設定する
- Azure Sentinel で自動脅威対応を設定する
顧客のセキュリティ利害関係者 (詳細情報):
IR-7: インシデント発生後のアクティビティ - 学習した教訓を実施し、証拠を保持する
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 17.8 | IR-4 | 12.10 |
セキュリティ原則: 組織で定期的に、または大規模なインシデントの後に学習したレッスンを実施して、インシデント対応と処理における将来の能力を向上させます。
インシデントの特性に基づいて、インシデント処理標準で定義されている期間にインシデントに関連する証拠を保持し、さらなる分析や法的措置に使用します。
Azure ガイダンス: レッスンで学習したアクティビティの結果を使用して、インシデント対応計画、プレイブック (Azure Sentinel プレイブックなど) を更新し、結果を環境に組み込み (ログ記録や脅威検出など)、Azure でのインシデントの検出、対応、処理における将来の機能を向上させます。
"「検出と分析 - インシデントの調査ステップ」で収集されたシステムログ、ネットワークトラフィックダンプ、稼働中のシステムスナップショットなどの証拠を、Azure Storage アカウントのようなストレージに保管しておきます。"
実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):