ゼロ トラスト導入ガイダンスの一環として、この記事では、サイバー攻撃から組織を保護する方法と、その結果生じる可能性のあるコストと評判の損失について説明します。 この記事は、侵害ビジネス シナリオ によるビジネス上の損害の防止または軽減 の一部であり、進行中のサイバー攻撃を検出して阻止し、侵害によるビジネス上の損害を最小限に抑えるための脅威保護と eXtended Detection and Response (XDR) インフラストラクチャを作成する方法に焦点を当てています。
侵害を想定するゼロ トラストの基本原則の要素については、次の手順を実行します。
分析を使用して可視性を取得し、脅威検出を推進し、防御を改善する
この記事で説明します。
ブラスト半径とセグメントアクセスを最小限に抑える
セキュリティ侵害防止と復旧インフラストラクチャの実装に関する記事で説明されています。
エンドツーエンドの暗号化を確認する
セキュリティ侵害防止と復旧インフラストラクチャの実装に関する記事で説明されています。
この記事では、セキュリティ体制が既 に最新化されていることを前提としています。
脅威保護と XDR を実装するための導入サイクル
この記事では、侵害によるビジネス損害を防止または軽減するビジネスシナリオの脅威保護とXDR要素の実装方法を説明します。これは、Azureのクラウド導入フレームワークのライフサイクル フェーズ(戦略の定義、計画、準備、導入、管理)をゼロ トラストに適応させたものです。
次の表は、図のアクセシビリティ対応バージョンです。
| 戦略の定義 | 計画 | 準備完了 | 採用する | ガバナンスと管理 |
|---|---|---|---|---|
| 結果 組織の配置 戦略的目標 |
利害関係者チーム 技術計画 スキルの準備 |
検討する 試験 パイロット |
デジタル資産全体に段階的に実装する | 追跡と測定 監視と検出 成熟に向けて繰り返す |
ゼロ トラスト導入フレームワークの概要のゼロ トラスト導入サイクルの詳細を参照してください。
"侵害によるビジネス上の損害を防止または軽減する" ビジネス シナリオの詳細については、次を参照してください。
- 概要
- セキュリティ侵害防止と復旧インフラストラクチャの実装に関する追加の要素
戦略フェーズの定義
![[戦略の定義] フェーズが強調表示された、単一の目標または一連の目標の導入プロセスの図。](../media/adoption-guide/define-strategy-phase.png#lightbox)
戦略 の定義 フェーズは、取り組みを定義して形式化するために不可欠です。このシナリオの "理由" が形式化されます。 このフェーズでは、ビジネス、IT、運用、および戦略的な観点を通じてシナリオを理解します。 セキュリティは段階的かつ反復的な取り組みであることを理解して、シナリオの成功を測定する結果を定義します。
この記事では、多くの組織に関連する動機と成果を示します。 これらの提案を使用して、独自のニーズに基づいて組織の戦略を強化します。
脅威保護と XDR を実装するための動機
脅威保護と XDR を実装する動機は簡単ですが、組織のさまざまな部分で、この作業を行うためのインセンティブが異なります。 次の表は、これらの動機の一部をまとめたものです。
| 面積 | 動機 |
|---|---|
| ビジネス ニーズ | 組織が通常の事業活動を行う能力や身代金を支払う能力に対する影響や中断を防ぐために、サイバー保険のコストを削減し、規制上の罰金を防ぎます。 |
| IT ニーズ | セキュリティ運用 (SecOps) チームが、ビジネスにとって重要な資産をセキュリティで保護するための統合防御ツールセットの作成と保守を支援するため。 統合とレポートは、資産クラスとテクノロジ間で行われ、予測可能なセキュリティ結果を提供するために必要な労力を削減する必要があります。 |
| 運用上のニーズ | プロアクティブな検出と攻撃への対応を通じてビジネス プロセスをリアルタイムで運用し続けるために。 |
| 戦略的ニーズ | 攻撃の被害とコストを最小限に抑え、顧客やパートナーに対する組織の評判を維持します。 |
脅威保護と XDR を実装するための結果
ゼロ トラストの全体的な目標を "信頼しない、常に検証" に適用すると、環境に重要な保護層が追加されます。 関係するすべてのチームに対して適切な保護のバランスを取ることができるように、達成すると予想される結果を明確にすることが重要です。 次の表に、脅威保護と XDR を実装するための推奨される目標と結果を示します。
| 目的 | 結果 |
|---|---|
| ビジネスの結果 | 脅威保護により、ビジネスの中断、身代金の支払い、規制上の罰金に関連するコストが最小限に抑えられます。 |
| ガバナンス | 脅威保護と XDR ツールがデプロイされ、変化するサイバーセキュリティランドスケープ、発生した脅威、インシデント対応の自動化のために SecOps プロセスが更新されます。 |
| 組織の回復性 | セキュリティ侵害の防止と回復とプロアクティブな脅威保護の間で、組織は攻撃から迅速に復旧し、その種類の将来の攻撃を防ぐことができます。 |
| 安全 | 脅威保護は、全体的なセキュリティ要件とポリシーに統合されています。 |
計画フェーズ
導入計画は、ゼロ トラスト戦略の原則を実用的な計画に変換します。 組織のチームは、導入計画を使用して技術的な取り組みをガイドし、組織のビジネス戦略に合わせて調整できます。
ビジネス リーダーやチームと共に定義する動機と成果は、組織の "理由" をサポートし、戦略の北星になります。 次に、目標を達成するための技術的な計画が示されます。
脅威保護と XDR を実装するための技術的な導入には、次の作業が含まれます。
Microsoft が提供する一連の XDR ツールを次の目的で設定します。
インシデント対応を実行して、攻撃を検出して阻止します。
脅威を事前に検出します。
既知の攻撃を自動的に検出して対応します。
Microsoft Defender XDR と Microsoft Sentinel の統合。
インシデント対応と復旧のための SecOps のプロセスと手順の定義。
脅威保護と XDR の実装には、次のようないくつかの関連アクティビティも含まれます。
- XDR ツールを使用してビジネス クリティカルリソースとハニーポット リソースの両方を監視します。セキュリティ 侵害防止と回復 に関する記事で実装した、攻撃者が実際のリソースを攻撃する前に、攻撃者がプレゼンスを表示するように誘導しました。
- 最新の攻撃とその方法を認識するように SecOps チームを進化させる。
多くの組織では、次の表に示すように、これらの展開目標に対して 4 段階のアプローチを取ることができます。
| ステージ 1 | ステージ 2 | ステージ 3 | ステージ 4 |
|---|---|---|---|
| XDR ツールを有効にします。 - Defender for Endpoint - Office 365 向けのディフェンダー - Microsoft Entra ID プロテクション - Defender for Identity - Defender for Cloud Apps Microsoft Defender XDR を使用して脅威を調査して対応する |
Defender for Cloud を有効にする SecOps の内部プロセスを定義する XDR ツールを使用してビジネス クリティカルなリソースとハニーポット リソースを監視する |
Defender for IoT を有効にする Microsoft Sentinel ワークスペースを設計し、XDR シグナルを取り込む 積極的に脅威を捜索する |
組織内の規範として SecOps を進化させます 自動化を活用して SecOps アナリストの負荷を軽減する |
この段階的なアプローチが組織で機能する場合は、次の方法を使用できます。
この ダウンロード可能なPowerPointスライド デッキ を使用して、ビジネス リーダーやその他の利害関係者向けに、これらのステージと目標を通じて進行状況を表示および追跡できます。 このビジネス シナリオのスライドを次に示します。
この Excel ブック では、所有者を割り当て、これらのステージ、目標、タスクの進行状況を追跡します。 このビジネス シナリオのワークシートを次に示します。
組織を理解する
技術的な実装に対するこの推奨される段階的なアプローチは、組織を理解するためのコンテキストを提供するのに役立ちます。
すべてのビジネス シナリオのゼロ トラスト導入ライフサイクルの基本的な手順には、インベントリの取得と SecOps チームの現在の状態の決定が含まれます。 このビジネス シナリオでは、次の操作を行う必要があります。
- 現在の XDR ツール、その統合、インシデント対応のための自動化の使用をインベントリします。
- インシデント対応と復旧の手順とプロセスを確認します。
- ハニーポット リソースの展開を確認します。
- セキュリティ アナリストの準備状態と、追加のスキル トレーニングまたは開発が必要かどうかを判断します。
組織の計画と調整
脅威保護と XDR の実装に関する技術的な作業は、脅威の検出と対応を担当する組織のセキュリティ チームに当たります。これは主に、現在の脅威の状況を理解し、XDR ツールを使用して攻撃を迅速に検出して対応できる現場のセキュリティ アナリストによって配置されています。
次の表は、スポンサー プラン プログラムとプロジェクト管理階層を構築して結果を決定し、推進する際に推奨されるロールをまとめたものです。
| プログラム リーダーと技術所有者 | アカウンタビリティ |
|---|---|
| CISO、CIO、またはデータ セキュリティのディレクター | エグゼクティブ スポンサーシップ |
| データ セキュリティのプログラム リーダー | 結果とチーム間のコラボレーションを推進する |
| セキュリティ アーキテクト | インシデント対応の戦略とプラクティス、XDR ツールとインフラストラクチャ、SecOps チームの進化に関するアドバイス |
| SecOps 担当者 | 組織でインシデント対応手順、XDR インフラストラクチャの構成、インシデント対応の自動化、および SecOps 規範を実装する |
| IT リーダーのセキュリティ | ビジネス クリティカルなリソースとハニーポット リソースに関するアドバイス、実装、管理 |
この導入コンテンツ のリソースのPowerPoint デッキ には、次のスライドが含まれています。このスライドには、自分の組織用にカスタマイズできる利害関係者ビューが含まれています。
技術的な計画とスキルの準備
技術的な作業に着手する前に、Microsoft では、機能、それらの連携方法、およびこの作業に取り組むためのベスト プラクティスを知ることをお勧めします。
ゼロ トラストは侵害を想定しているため、侵害に備える必要があります。 NIST、ISO 27001、CIS、または MITRE に基づく侵害対応フレームワークを採用して、組織への侵害やサイバー攻撃の影響を低減します。
次の表には、セキュリティ チームがスキルを身に付けるのに役立つ Microsoft トレーニング リソースがいくつか含まれています。
| リソース | 説明 |
|---|---|
| モジュール: Microsoft Defender XDR を使用してインシデントを軽減する | Microsoft Defender XDR ポータルで、Microsoft Defender XDR 製品ファミリからのインシデントとアラートの統合ビューを提供する方法について説明します。 |
| ラーニング パス: Microsoft Defender XDR を使用して脅威を軽減する | Microsoft Defender XDR に組み込まれているオーケストレーションと自動化を使用して、複数のドメインにわたって脅威データを分析し、脅威を迅速に修復します。 |
| モジュール: 最新の運用プラクティスを使用して信頼性を向上させる: インシデント対応 | 効率的なインシデント対応と、それを実現する Azure ツールの基礎について説明します。 |
| モジュール: トレーニング: Microsoft Sentinel でのセキュリティ インシデント管理 | Microsoft Sentinel のイベントとエンティティについて説明し、インシデントを解決する方法を見つけ出します。 |
ステージ 1
ステージ 1 の展開目標には、主要な Microsoft XDR ツールの有効化と、インシデント対応のためにツールからのシグナルを 1 つのポータルに統合する Microsoft Defender XDR の使用が含まれます。
XDR ツールを有効にする
デバイス、ID、クラウドベースのアプリケーションに対する攻撃から組織を保護するための XDR ツールのコア スイートから始めます。
| リソース | 説明 |
|---|---|
| Microsoft Defender for Endpoint | 企業ネットワークが、ラップトップ、電話、タブレット、PC、アクセス ポイント、ルーター、ファイアウォールなど、デバイスに対する高度な脅威の防止、検出、調査、対応を支援するエンタープライズ エンドポイント セキュリティ プラットフォームです。 |
| Defender for Office 365 | メール、リンク (URLS)、添付ファイル、コラボレーション ツールの脅威から保護する Microsoft 365 または Office 365 サブスクリプションへのシームレスな統合。 |
| Microsoft Entra ID Protection | 組織が ID ベースのリスクを検出、調査、修復するのに役立ちます。 これらの ID ベースのリスクは、Entra 条件付きアクセスなどのツールにさらに取り込んでアクセスの決定を行ったり、セキュリティ情報およびイベント管理 (SIEM) ツールにフィードバックしたりして、さらに調査と相関関係を得ることができます。 |
| Defender for Identity | オンプレミスの Active Directory とクラウド ID の両方からのシグナルを活用して、組織に向けられた高度な脅威をより適切に特定、検出、調査するのに役立ちます。 |
| Defender for Cloud Apps | SaaS アプリケーションの完全な保護を提供し、クラウド アプリ データの監視と保護に役立ちます。 |
Microsoft Defender XDR を使用して脅威を調査して対応する
プライマリ XDR ツールを有効にしたら、Microsoft Defender XDR とそのポータルを使用してアラートとインシデントを分析し、疑わしいサイバー攻撃に対するインシデント対応を実行できます。
| リソース | 説明 |
|---|---|
| Microsoft 365 XDR をセキュリティ操作に統合する | Microsoft Defender XDR のツールの日常業務とライフサイクル管理を最適化するために、SecOps チームとの統合を慎重に計画します。 |
| Microsoft Defender XDR を使用したインシデント対応 | Microsoft Defender XDR を使用してアラートとインシデントを分析し、ベスト プラクティスを SecOps の手順とプロセスに組み込む方法。 |
| Microsoft Defender XDR を使用してインシデントを調査する | ネットワークに影響を与えるアラートを分析し、その意味を理解し、効果的な修復計画を立てることができるように証拠を照合する方法。 |
| モジュール: Microsoft Defender XDR を使用してインシデントを軽減する | Microsoft Defender XDR ポータルで、Microsoft Defender XDR 製品ファミリからのインシデントとアラートの統合ビューを提供する方法について説明します。 |
| ラーニング パス: Microsoft Defender XDR を使用して脅威を軽減する | Microsoft Defender XDR に組み込まれているオーケストレーションと自動化を使用して、複数のドメインにわたって脅威データを分析し、脅威を迅速に修復します。 |
ステージ 2
このステージでは、Azure とオンプレミスのリソースに対して追加の XDR ツールを有効にし、Microsoft 脅威保護と XDR サービスの SecOps プロセスと手順を作成または更新し、ビジネス クリティカルリソースとハニーポット リソースを監視して、侵害の早期にサイバー攻撃者を検出します。
Microsoft Defender for Cloud を有効にする
Microsoft Defender for Cloud は、さまざまなサイバー脅威や脆弱性からクラウドベースのアプリケーションを保護するように設計された、クラウド ネイティブのアプリケーション保護プラットフォーム (CNAPP) です。 Microsoft Defender for Cloud for Azure、ハイブリッド クラウド、オンプレミスのワークロード保護とセキュリティを使用します。
| リソース | 説明 |
|---|---|
| Microsoft Defender for Cloud | ドキュメント セットの使用を開始します。 |
| Microsoft Defender for Cloud のセキュリティ アラートとインシデント | Microsoft Defender for Cloud Security を使用して、Azure、ハイブリッド クラウド、オンプレミスのワークロードに対してインシデント対応を実行します。 |
| モジュール: Microsoft Defender for Cloud を使用してセキュリティ アラートを修復する | Azure、ハイブリッド クラウド、オンプレミスのワークロードに対する脅威を検出し、リスクを修復する方法について説明します。 |
| ラーニング パス: Microsoft Defender for Cloud を使用して脅威を軽減する | Azure、ハイブリッド クラウド、オンプレミスのワークロードの高度な脅威を検出、調査、対応する方法について説明します。 |
SecOps の内部プロセスを定義する
Microsoft XDR ツールを用意したら、その使用が SecOps のプロセスと手順に統合されていることを確認します。
| リソース | 説明 |
|---|---|
| インシデント 応答 の概要 | 組織のアクティブな攻撃キャンペーンを事前に調査して修復します。 |
| インシデント対応計画 | この記事は、サイバーセキュリティ インシデントに対応するために SecOps チームを準備するためのチェックリストとして使用します。 |
| 一般的な攻撃インシデント対応プレイブック | 悪意のあるユーザーが毎日使用する一般的な攻撃方法に関する詳細なガイダンスについては、次の記事を参照してください。 |
| Microsoft 365 XDR をセキュリティ操作に統合する | SecOps チームとの統合を慎重に計画して、Microsoft Defender XDR の日常の運用とライフサイクル管理ツールを最適化します。 |
| サイバーセキュリティ チームの準備に役立つ 6 つのテーブルトップ 演習 | インターネット セキュリティセンター (CIS) が提供するこれらの演習を使用して、SecOps チームを準備します。 |
XDR ツールを使用してビジネス クリティカルなリソースとハニーポット リソースを監視する
デプロイされたハニーポット リソースは、サイバー攻撃者のターゲットとして機能し、実際のターゲットに移行してビジネス上の損害を引き起こす前に、アクティビティを早期に検出するために使用できます。 脅威検出とハンティングの一部として、ビジネス クリティカルリソースとハニーポット リソースの両方を監視することに重点を置きます。
| リソース | 説明 |
|---|---|
| Microsoft Defender XDR を使用したインシデント対応 | Microsoft Defender XDR を使用して、ビジネス クリティカルなリソースとハニーポット リソースに影響を与えるアラートを含むインシデントを特定します。 |
| Microsoft Defender for Cloud のセキュリティ アラートとインシデント | Microsoft Defender for Cloud を使用して、Azure、ハイブリッド クラウド、オンプレミスのワークロードなど、ビジネス クリティカルなリソースとハニーポット リソースの高度な検出によってトリガーされるアラートを検索します。 |
ステージ 3
このステージでは、Defender for IoT を有効にし、Microsoft Defender XDR と Microsoft Sentinel を統合した後、脅威保護と XDR インフラストラクチャを組み合わせて使用して、脅威を事前に検出します。
Defender for IoT を有効にする
モノのインターネット (IoT) は、運用テクノロジ (OT) と IoT ネットワークの両方を使用する何十億もの接続されたデバイスをサポートしています。 IoT/OT デバイスとネットワークは、多くの場合、特殊なプロトコルを使用して構築され、セキュリティよりも運用上の課題に優先順位を付ける可能性があります。 Microsoft Defender for IoT は、IoT および OT デバイス、脆弱性、脅威を特定するために特別に構築された統合セキュリティ ソリューションです。
| リソース | 説明 |
|---|---|
| Microsoft Defender for IoT | ドキュメント セットの使用を開始します。 |
| モジュール: Microsoft Defender for IoT の概要 | Defender for IoT のコンポーネントと機能、および OT と IoT デバイスのセキュリティ監視をサポートする方法について説明します。 |
| ラーニング パス: Microsoft Defender for IoT を使用して IoT ソリューションのセキュリティを強化する | IoT ソリューションの各レベルで適用されるセキュリティに関する考慮事項と、セキュリティの問題にゼロから対処するように構成できる Azure サービスとツールについて説明します。 |
Microsoft Sentinel ワークスペースを設計し、XDR シグナルを取り込む
Microsoft Sentinel は、セキュリティ情報とイベント管理 (SIEM) とセキュリティ オーケストレーション、自動化、応答 (SOAR) 機能を提供するクラウドネイティブ ソリューションです。 Microsoft Sentinel と Microsoft Defender XDR は、組織が最新のサイバー攻撃から防御するのに役立つ包括的なソリューションを提供します。
| リソース | 説明 |
|---|---|
| ゼロ トラスト用に Microsoft Sentinel と Microsoft Defender XDR を実装する | ゼロ トラストの原則も組み込まれたこのソリューション ドキュメントを開始します。 |
| モジュール: Microsoft Defender XDR を Microsoft Sentinel に接続する | Microsoft Defender XDR 用の Microsoft Sentinel コネクタによって提供される構成オプションとデータについて説明します。 |
| Microsoft Sentinel ワークスペースを設計する | Microsoft Sentinel ワークスペースを設計して実装する方法について説明します。 |
| Microsoft Sentinel でデータ ソースを取り込み、インシデント検出を構成する | Microsoft Sentinel ワークスペースへのデータ インジェスト用にデータ コネクタを構成する方法について説明します。 |
| モジュール: データ コネクタを使用して Microsoft Sentinel にデータを接続する | Microsoft Sentinel で使用できるデータ コネクタの概要について説明します。 |
積極的に脅威を捜索する
XDR と SIEM インフラストラクチャが整ったので、SecOps チームは、既に損害を引き起こしている攻撃に反応的に対処するのではなく、主導権を握り、環境内で進行中の脅威を事前に探すことができます。
| リソース | 説明 |
|---|---|
| Microsoft Defender XDR の高度なハンティングで脅威を事前に追求する | Microsoft Defender XDR を使用した脅威ハンティングに関するドキュメント セットの使用を開始します。 |
| Microsoft Sentinel を使用して脅威を検出する | Microsoft Sentinel を使用した脅威ハンティングに関するドキュメント セットの使用を開始します。 |
| モジュール: Microsoft Sentinel を使用した脅威ハンティング | Microsoft Sentinel クエリを使用して脅威の動作を事前に特定する方法について説明します。 |
ステージ 4
このステージでは、SecOps を組織内の規範として進化させ、Microsoft Defender XDR と Microsoft Sentinel の機能を使用して、既知または以前の攻撃に対するインシデント対応を自動化します。
組織内の規範として SecOps を進化させます
複数の複雑な悪意のあるイベント、属性、コンテキスト情報は、高度なサイバーセキュリティ攻撃を構成します。 これらのアクティビティのうち、疑わしいと見なされるアクティビティを特定して決定することは、困難な作業になる可能性があります。 業界固有の既知の属性と異常なアクティビティに関する知識は、観察された動作が疑わしいと判断するタイミングを知る上で基本的です。
インシデント対応と復旧の日常的なタスクを超えて SecOps チームと規範を進化させるために、スペシャリストまたは上級メンバーは、より大きな脅威の状況を理解し、その知識をチーム全体に広める必要があります。
| リソース | 説明 |
|---|---|
| Microsoft Defender XDR の脅威分析 | 組織に最も関連性の高いレポートには、 Microsoft Defender XDR ポータル の脅威分析ダッシュボードを使用します (サインインが必要)。 |
| Microsoft Defender脅威インテリジェンス (Defender TI) | この組み込みのプラットフォームを使用して、脅威インフラストラクチャの分析を行い、脅威インテリジェンスを収集するときに、トリアージ、インシデント対応、脅威ハンティング、脆弱性管理、サイバー脅威インテリジェンス アナリストのワークフローを合理化します。 |
| Microsoft セキュリティ ブログ | Microsoft Defender XDR と Microsoft Sentinel のセキュリティの脅威と新機能と更新プログラムに関する最新情報を入手します。 |
自動化を活用して SecOps アナリストの負荷を軽減する
Microsoft Defender XDR と Microsoft Sentinel の機能を使用して、既知および予想されるインシデントを検出して復旧するためのインシデント対応を自動化し、予期しない攻撃や新しい攻撃方法に SecOps チームをより適切に集中します。
| リソース | 説明 |
|---|---|
| Microsoft Defender XDRでの自動調査と対応 | Microsoft Defender XDR ドキュメント セットの使用を開始します。 |
| 自動調査と修復の機能を構成する | デバイスに対する攻撃については、Microsoft Defender for Endpoint のドキュメント セットの使用を開始してください。 |
| Microsoft Sentinel でプレイブックを使用して脅威への対応を自動化する | Microsoft Sentinel でプレイブックを使用するためのドキュメント セットの概要を説明します。 |
クラウド導入計画
導入計画は、クラウド導入を成功させるために不可欠な要件です。 脅威保護と XDR を実装するための成功した導入計画の主な属性は次のとおりです。
- 戦略と計画は次のとおりです。 オンプレミスとクラウドのインフラストラクチャ全体で脅威の保護と攻撃の回復機能をテスト、パイロット、ロールアウトするための計画を作成するときは、計画が確実に調整されるように戦略と目標を見直してください。 これには、攻撃の検出と対応と自動化の使用に関する目標の優先順位と目標のマイルストーンが含まれます。
- この計画は反復的です。 プランのロールアウトを開始すると、XDR 環境と使用しているツールについて多くのことを学習できます。 ロールアウトの各段階で、目的と比較して結果を見直し、計画を微調整します。 たとえば、これには、手順とポリシーを微調整するための以前の作業の再検討が含まれる場合があります。
- SecOps スタッフのトレーニングは、十分に計画されています。 セキュリティ アーキテクトから現場のセキュリティ アナリストまで、誰もが脅威の保護、検出、軽減、回復の責任を果たして成功するようにトレーニングされています。
Azure のクラウド導入フレームワークの詳細については、「 クラウド導入の計画」を参照してください。
準備完了フェーズ
この記事に記載されているリソースを使用して、プランに優先順位を付けます。 脅威保護と XDR を実装する作業は、多層ゼロ トラスト展開戦略のレイヤーの 1 つを表します。
この記事で推奨される段階的なアプローチには、脅威保護の作業をデジタル資産全体で方法的にカスケード化する方法が含まれます。 このフェーズでは、計画のこれらの要素を見直して、すべてが準備ができていることを確認します。
- SecOps チームは、Microsoft Defender XDR と Microsoft Sentinel に対するインシデント対応プロセスの変更が差し迫っていることを通知されます
- SecOps チームにドキュメントとトレーニング リソースが通知されます
- 脅威ハンティングの手順とガイドラインと自動化手法は、アナリストが使用できる状態です
- ハニーポットのリソースが配置されている
計画フェーズでは、持っているものと望む場所のギャップを示しました。 このフェーズを使用して、XDR ツールとその使用を実装してテストします。 たとえば、SecOps チームのリードは次のことができます。
- Microsoft Defender XDR 用の XDR ツールを有効にして使用して、現在の攻撃に対するインシデント対応を実行する
- データ コネクタとワークスペースを使用して Microsoft Defender XDR と Microsoft Sentinel の統合を構成する
- SecOps チームの手順とプロセスを定義または調整する
- 脅威ハンティングを調査してテストし、既知の攻撃を検出して復旧するための脅威と自動化を事前に特定する
導入フェーズ
Microsoft では、脅威保護と XDR を実装するための連鎖的で反復的なアプローチをお勧めします。 これにより、結果の精度を高めるために、戦略とポリシーを調整できます。 次のフェーズを開始する前に、1 つのフェーズが完了するまで待つ必要はありません。 各ステージの要素を反復処理する場合は、結果の効果が高くなります。
導入フェーズの主な要素は次のとおりです。
- Microsoft Defender XDR を、SecOps チームの継続的な日々のインシデント対応ワークフローの一部にします。
- Microsoft Sentinel の機能と Microsoft Defender XDR 統合の使用。
- 既知の攻撃に対処するための自動化を実装し、SecOps チームを解放して脅威ハンティングを実行し、チームの規範を進化させ、サイバー攻撃の新しい傾向を先取りして準備します
フェーズの管理と管理
![[ガバナンスと管理] フェーズが強調表示されている単一の目標または一連の目標の導入プロセスの図。](../media/adoption-guide/govern-manage-phase.png#lightbox)
脅威保護と XDR インフラストラクチャを使用して攻撃を検出する組織の能力のガバナンスは、反復的なプロセスです。 実装計画を慎重に作成し、SecOps チーム全体に展開することで、基盤を作成しました。 この基盤の初期ガバナンス計画の構築を開始するには、次のタスクを使用します。
| 目的 | タスク |
|---|---|
| 追跡と測定 | インシデント対応手順、脅威インテリジェンスの収集と普及、自動化のメンテナンスなど、重要なアクションと責任を所有者に割り当てます。 各アクションの日付とスケジュールを使用して、実行可能なプランを作成します。 |
| 監視と検出 | 一般的または以前の攻撃に対する自動化を使用して、Microsoft Defender XDR と Microsoft Sentinel を使用してセキュリティの脅威を管理します。 |
| 成熟に向けて繰り返す | リスクとサイバー脅威の状況を継続的に再評価し、SecOps の手順、責任、ポリシー、および優先順位を変更します。 |
次のステップ
このビジネス シナリオの場合:
ゼロ トラスト導入フレームワークのその他の記事:
- ゼロ トラスト導入フレームワークの概要
- セキュリティ体制を迅速に最新化する
- リモートとハイブリッドの作業をセキュリティで保護する
- 機密性の高いビジネス データを識別して保護する
- 規制とコンプライアンスの要件を満たす
進行状況の追跡リソース
ゼロ トラスト ビジネス シナリオの場合は、次の進行状況追跡リソースを使用できます。
| 進行状況の追跡リソース | これは役に立ちます... | ~向けに設計されています。 |
|---|---|---|
導入シナリオ計画フェーズ グリッドのダウンロード可能な Visio ファイル または PDF 
|
各ビジネス シナリオのセキュリティ強化と、計画フェーズのステージと目標の作業レベルを簡単に理解できます。 | ビジネス シナリオ プロジェクトリーダー、ビジネス リーダー、およびその他の利害関係者。 |
ゼロ トラスト導入トラッカー ダウンロード可能なパワーポイントスライドデッキ 
|
計画フェーズのステージと目標を通じて進行状況を追跡します。 | ビジネス シナリオ プロジェクトリーダー、ビジネス リーダー、およびその他の利害関係者。 |
ビジネス シナリオの目標とタスク のダウンロード可能な Excel ブック 
|
所有権を割り当て、計画フェーズのステージ、目標、タスクを通じて進捗状況を追跡します。 | ビジネス シナリオ のプロジェクト リーダー、IT リーダー、IT 実装者。 |
その他のリソースについては、「 ゼロ トラスト評価と進行状況の追跡リソース」を参照してください。