セキュリティ制御 v3: インシデント対応
インシデント対応では、Microsoft Defender for Cloud や Sentinel などの Azure サービスを使用してインシデント対応プロセスを自動化するなど、インシデント対応のライフ サイクル (準備、検出と分析、インシデント発生後のアクティビティ) におけるコントロールを対象とします。
IR-1: 準備 - インシデント対応計画と処理プロセスを更新する
CIS Controls v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
17.4、17.7 | IR-4、IR-8 | 10.8 |
セキュリティ原則: 組織が業界のベスト プラクティスに従って、クラウド プラットフォーム上のセキュリティ インシデントに対応するプロセスと計画を開発することを保証します。 共同責任モデルと、IaaS、PaaS、および SaaS の各サービス間の違いに注目してください。 これは、インシデントの通知とトリアージ、証拠収集、調査、根絶、復旧などのインシデントの対応や処理のアクティビティでクラウド プロバイダーとどのように協力するかに直接影響します。
インシデント対応計画と処理プロセスを定期的にテストして、最新の状態であることを確認します。
Azure ガイダンス: 組織のインシデント対応プロセスを更新して、Azure プラットフォームでのインシデントの処理を含めます。 使用される Azure サービスと使用するアプリケーションの特性に基づいて、インシデント対応計画とプレイブックをカスタマイズして、クラウド環境でのインシデントへの対応に使用できるようします。
実装と追加のコンテキスト:
顧客のセキュリティ上の利害関係者 (詳細):
IR-2: 準備 – インシデント通知を設定する
CIS Controls v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
17.1、17.3、17.6 | IR-4、IR-8、IR-5、IR-6 | 12.10 |
セキュリティ原則: クラウド サービス プロバイダーのプラットフォームと環境からのセキュリティ アラートとインシデント通知を、インシデント対応組織内の正しい連絡先が受信できるようにします。
Azure ガイダンス: Microsoft Defender for Cloud でセキュリティ インシデントの連絡先情報を設定します。 この連絡先情報は、Microsoft Security Response Center (MSRC) でユーザーのデータが違法または権限のないユーザーによってアクセスされたことが検出された場合に、Microsoft からの連絡先として使用されます。 また、インシデント対応のニーズに応じて、異なる Azure サービスでインシデント アラートと通知をカスタマイズするオプションもあります。
実装と追加のコンテキスト:
顧客のセキュリティ上の利害関係者 (詳細):
IR-3: 検出と分析 – 高品質のアラートに基づいてインシデントを作成する
CIS Controls v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
17.9 | IR-4、IR-5、IR-7 | 10.8 |
セキュリティ原則: 高品質のアラートを作成し、アラートの品質を測定するプロセスがあることを確認します。 これにより、過去のインシデントから教訓を学び、アナリストに対するアラートに優先順位を付けることができるので、擬陽性に時間を無駄にすることがありません。
高品質のアラートは、過去のインシデントからの経験、検証されたコミュニティ ソース、およびさまざまなシグナル ソースの融合と関連付けによってアラートを生成してクリーンアップするように設計されたツールに基づいて構築できます。
Azure ガイダンス: Microsoft Defender for Cloud は、多くの Azure 資産にわたって高品質のアラートを提供します。 Microsoft Defender for Cloud データ コネクタを使用してアラートを Azure Sentinel にストリーミングできます。 Azure Sentinel を使用すると、高度なアラート ルールを作成し、調査のためにインシデントを自動的に生成できます。
エクスポート機能を使用して Microsoft Defender for Cloud のアラートと推奨事項をエクスポートし、Azure リソースに対するリスクの特定を支援します。 アラートと推奨事項を手動で、または継続した連続的な方法でエクスポートします。
実装と追加のコンテキスト:
顧客のセキュリティ上の利害関係者 (詳細):
IR-4: 検出と分析 – インシデントを調査する
CIS Controls v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
なし | IR-4 | 12.10 |
セキュリティ原則: セキュリティ運用チームが潜在的なインシデントを調査するときに、さまざまなデータ ソースのクエリを行って使用し、発生した内容の全体像を作成できることを確認します。 キル チェーン全体で潜在的な攻撃者のアクティビティを追跡して死角を回避するには、さまざまなログを収集する必要があります。 また、他のアナリストのため、および将来において履歴が参照される場合のために、確実に分析情報と学習がキャプチャされているようにします。
Azure ガイダンス: 調査のためのデータ ソースは、スコープ内のサービスおよび実行中のシステムから既に収集されている一元化されたログ ソースですが、次のものも含まれます。
- ネットワーク データ: ネットワーク セキュリティ グループのフロー ログ、Azure Network Watcher、Azure Monitor を使用して、ネットワーク フロー ログやその他の分析情報をキャプチャします。
- 実行中のシステムのスナップショット: a) 実行中のシステムのディスクのスナップショットを作成するための Azure 仮想マシンのスナップショット機能。 b) 実行中のシステムのメモリのスナップショットを作成するためのオペレーティング システムのネイティブ メモリ ダンプ機能。 c) 実行中のシステムのスナップショットを作成するための Azure サービスのスナップショット機能またはソフトウェア独自の機能。
Azure Sentinel により、事実上すべてのログソースに対して広範な Data Analytics と、インシデントのライフサイクル全体を管理するためのケース管理ポータルが提供されます。 調査中のインテリジェンス情報を、追跡とレポートのためにインシデントに関連付けることができます。
実装と追加のコンテキスト:
- Windows マシンのディスクのスナップショットを作成する
- Linux マシンのディスクのスナップショットを作成する
- Microsoft Azure サポートの診断情報とメモリ ダンプ コレクション
- Azure Sentinel でインシデントを調査します
顧客のセキュリティ上の利害関係者 (詳細):
IR-5: 検出と分析 – インシデントの優先順位を付ける
CIS Controls v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
17.4、17.9 | IR-4 | 12.10 |
セキュリティ原則: セキュリティ運用チームにコンテキストを提供し、組織のインシデント対応計画で定義されているアラートの重要度と資産の機密性に基づいて、最初にどのインシデントに焦点を当てる必要があるのかの判断を支援します。
Azure ガイダンス: Microsoft Defender for Cloud によって各アラートに重要度が割り当てられるため、最初に調査する必要があるアラートの優先順位付けに役立ちます。 重要度は、アラートの発行に使用された検出内容または分析に対する Microsoft Defender for Cloud の信頼度と、アラートの原因となったアクティビティの背後に悪意のある意図があったかどうかの信頼レベルに基づいて決まります。
さらに、タグを使用してリソースをマークし、Azure リソース (特に、機密データを処理するもの) を識別して分類するための命名システムを作成します。 インシデントが発生した Azure リソースと環境の重要度に基づいて、アラートの修復に優先順位を付けることは、お客様の責任です。
実装と追加のコンテキスト:
顧客のセキュリティ上の利害関係者 (詳細):
IR-6: 包含、根絶、復旧 – インシデントの処理を自動化する
CIS Controls v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
なし | IR-4、IR-5、IR-6 | 12.10 |
セキュリティ原則: 手動による反復タスクを自動化して、応答時間を短縮し、アナリストの負担を軽減します。 手動タスクの実行には時間がかかり、各インシデントの速度が低下し、アナリストが処理できるインシデントの数が減少します。 手動タスクではアナリストの疲労も増加します。これにより、遅延が発生する人的エラーのリスクが増加し、複雑なタスクに効果的に焦点を当てるアナリストの能力が低下します。
Azure ガイダンス: Microsoft Defender for Cloud と Azure Sentinel のワークフロー自動化機能を使用して、自動的にアクションをトリガーしたり、プレイブックを実行して受信したセキュリティ アラートに対応したりします。 プレイブックにより、通知の送信、アカウントの無効化、問題のあるネットワークの特定などのアクションが実行されます。
実装と追加のコンテキスト:
- Microsoft Defender for Cloud 内でワークフロー自動化を構成する
- Microsoft Defender for Cloud で自動脅威対応を設定する
- Azure Sentinel で脅威への自動対応を設定します
顧客のセキュリティ上の利害関係者 (詳細):
IR-7: インシデント後のアクティビティ - 得られた教訓を実践し、証拠を保持する
CIS Controls v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
17.8 | IR-4 | 12.10 |
セキュリティ原則: インシデントの対応と処理の将来の機能を向上させるために、定期的にまたは大規模なインシデントの後に組織で得られた教訓を実践します。
インシデントの特性に基づいて、インシデント処理標準で定義されている期間にインシデントに関連する証拠を保持し、さらなる分析や法的措置に使用します。
Azure ガイダンス: 教訓が得られたアクティビティの結果を使用して、インシデント対応計画、プレイブック (Azure Sentinel プレイブックなど) を更新し、結果 (ログのギャップ領域に対処するためのログや脅威検出など) を環境に再統合して、Azure でのインシデントの検出、対応、および処理の将来の機能を向上させます。
"検出と分析 - インシデント ステップの調査" 中に収集された証拠 (システム ログ、ネットワーク トラフィック ダンプ、実行中のシステムのスナップショットなど) を保持用の Azure Storage アカウントなどのストレージに保持します。
実装と追加のコンテキスト:
顧客のセキュリティ上の利害関係者 (詳細):