Microsoft Online Services インシデント対応フェーズ 3 - 封じ込め、根絶、回復について理解する
セキュリティ対応チームが調整した分析に基づいて、セキュリティ インシデントの影響を最小限に抑え、証拠を保持し、環境から脅威を削除するための適切な封じ込めと復旧計画が作成されます。 関連するサービス チームは、脅威が正常に排除され、影響を受けるサービスが完全に復旧されるように、セキュリティ対応チームのサポートを受けて計画を実装します。
コンテインメント
コンテインメントの主な目的は、Microsoft のシステム、アプリケーション、顧客、および顧客データに対する損害を制限することです。 このフェーズでは、セキュリティ対応チームは影響を受けるサービス チームと連携して、セキュリティ インシデントの影響を制限し、さらなる損害を防ぎます。 封じ込め戦略はインシデントの種類によって異なりますが、影響を受けるシステムの再構築、感染したホストの分離と分離、重要なリソースへのアクセスの制御などがあります。 大規模な影響インシデントの場合、計画は複雑さのためにケース バイ ケースで決定されます。 Microsoft Online Services 内のさまざまな自動応答も、チームがインシデントを封じ込めるのに役立つ場合があります。
コンテインメント フェーズを通してデータの収集と分析を継続し、インシデントの根本原因が正しく特定され、影響を受けたすべてのサービスとテナントが根絶および回復計画に含まれていることを確認します。 影響を受けたすべてのサービスの追跡が正常に完了すると、完全な根絶および回復が可能になります。
根絶
根絶は、高い信頼性を有するセキュリティ インシデントの根本原因を解消するプロセスです。 根絶の目的は2つあります。1つは、敵対者を環境から完全に排除することで、もう1つは、インシデントの原因となった、あるいは敵対者が環境に再侵入することを可能にした脆弱性を軽減することです。
敵対者を排除し、脆弱性を軽減する根絶の手順は、以前のインシデント対応フェーズで実行された分析に基づきます。 インシデントの影響に応じて、アクティビティには敵対的な成果物の削除、悪意のあるプロセスの強制終了、シークレットのリセット、場合によってはシステムの完全な再構築が含まれます。 このプロセスを通じて、セキュリティ対応チームは、ネットワークやプロセスの監視などの戦略を使用して敵対者のアクティビティを追跡および監視し続けます。 セキュリティ対応チームは、影響を受けるサービス チームと連携して、計画が設計どおりに実行され、脅威が環境から正常に削除されるようにします。 脅威が除去され、その根底にある原因が解決されるまで、回復させることはできません。
回復
セキュリティ対応チームは、敵対者が環境から追い出され、既知の脆弱性が修復されたと確信している場合、影響を受けるサービス チームと協力して復旧を開始します。 回復によって、影響を受けたサービスをセキュリティで保護された既知の構成にします。 復旧プロセスには、サービスの最後の既知の良好な状態を特定し、バックアップからこの状態に復元し、復元された状態を確認することで、インシデントに関与した脆弱性が軽減されます。
回復プロセスの重要な側面は、回復計画が正常に実行され、環境内に違反の兆候が残っていないことを検証するための、検出制御の強化です。 その他の検出制御の例としては、ネットワーク レベルでの監視機能の強化、インシデント対応プロセスで特定された攻撃ベクトルに対する標的型アラート、および重要なリソースに対するセキュリティ チームによる警戒の追加などがあります。 監視機能が強化されることで、根絶が成功したことを確認し、敵対者が環境に再侵入できないようにすることができます。