セキュリティ操作 (SecOps) は、脅威が防止されるだけでなく、脅威が継続的に検出され、調査され、対応されることが保証されるため、ゼロ トラストの基礎となります。 ゼロ トラスト モデルでは、組織は侵害を想定し、攻撃を封じ込め、影響を軽減し、回復性を維持するために強力な SecOps 機能を不可欠にします。
SecOps の柱のガイダンスでは、環境全体のセキュリティ信号の収集と関連付け、脅威の検出と分析、対応アクションの調整と自動化、脅威の事前検出、セキュリティ運用の継続的な改善に重点を置いています。
ワークショップの実装
SecOps ワークショップでは、表にまとめられた実装領域について説明します。
| Area | 詳細情報 |
|---|---|
| セキュリティ データとテレメトリを一元化する | ID、デバイス、ネットワーク、データ、インフラストラクチャからのログとシグナルを一元化されたプラットフォームに統合し、統一された可視性を実現します。 環境全体にわたって、セキュリティ関連イベントの網羅性を確保する。 |
| 露出を特定し、リスクの修復に優先順位を付ける | 環境全体の攻撃パス、構成の誤り、セキュリティの露出を分析します。 露出管理機能を使用して、修復に優先順位を付け、潜在的な攻撃の可能性と影響を軽減します。 |
| 脅威を検出し、高品質のアラートを生成する | 検出ルール、行動分析、脅威インテリジェンスを使用して、潜在的な侵害を特定します。 信頼度の高いアラートを生成し、検出ロジックを継続的に調整して、信号品質を向上させ、誤検知を減らします。 |
| アラートをインシデントに関連付け、対応に優先順位を付ける | 関連するアラートをインシデントに関連付け、通常は自動化された関連付けを使用し、リスク、重大度、および潜在的な影響に基づいて優先順位付けを適用します。 トリアージとインシデント管理に対する構造化されたアプローチを提供します。 |
| インシデントの調査と対応 | インシデントの範囲と影響を理解するために、構造化された調査ワークフローを実行します。 デバイスの隔離やアカウントの無効化などの対処によって脅威を封じ込め、一貫した修復対応プロセスを確保します。 |
| 応答とオーケストレーションを自動化する | 自動化ツールとワークフローを使用して、環境全体の応答アクションを調整、標準化、高速化します。 必要に応じて自動封じ込めと修復を有効にして、応答時間を短縮し、攻撃者の移動を制限します。 |
| 脅威を事前に検出する | 収集されたテレメトリを分析して、異常なアクティビティ、攻撃者の手法、自動検出を回避できる侵害のインジケーターを特定します。 調査結果、脅威インテリジェンス、進化する敵対者の行動に基づいて、ハンティングの仮説と検出戦略を継続的に調整します。 |
| 脅威インテリジェンスを活用する | 内部および外部の脅威インテリジェンスを組み込んで、検出と調査を強化します。 インジケーターとコンテキスト データを使用して、攻撃者の行動の理解を深め、検出範囲を強化します。 |
| 検出を継続的に調整して最適化する | アラート、抑制ルール、検出ロジックを確認して調整し、ノイズを減らし、運用効率を向上させます。 SecOps が、価値の高い実用的なシグナルに焦点を当てられるようにします。 |
| ドメイン間でシグナルを関連付けて、攻撃を完全に可視化する | ID、デバイス、ネットワーク、データ、インフラストラクチャのシグナルを組み合わせて、複雑なマルチステージ攻撃チェーンを検出します。 クロスドメイン可視性を使用して、調査の深さと対応の有効性を向上させます。 |
| SecOps プロセスを継続的に改善する | インシデントの学習と進化する脅威に基づいて、検出戦略と対応プロセスを継続的に改善します。 インシデント、脅威ハンティング、露出分析からのフィードバックを組み込んで、運用の継続的な改善を推進します。 |