チュートリアル:セキュリティ インシデントへの対応Tutorial: Respond to security incidents

Security Center では、高度な分析および脅威インテリジェンスを使用してハイブリッド クラウド ワークロードを継続的に分析し、悪意のあるアクティビティに関するアラートを受け取ることができます。Security Center continuously analyzes your hybrid cloud workloads using advanced analytics and threat intelligence to alert you to malicious activity. さらに、他のセキュリティ製品およびサービスからのアラートを Security Center に統合し、独自のインジケーターまたはインテリジェンス ソースに基づいたカスタム アラートを作成できます。In addition, you can integrate alerts from other security products and services into Security Center, and create custom alerts based on your own indicators or intelligence sources. アラートが生成されたら、調査と修復を行うために迅速なアクションが必要になります。Once an alert is generated, swift action is needed to investigate and remediate. このチュートリアルで学習する内容は次のとおりです。In this tutorial, you will learn how to:

  • セキュリティ アラートのトリアージTriage security alerts
  • セキュリティ インシデントの根本原因とスコープを特定するための追加の調査Investigate further to determine the root cause and scope of a security incident
  • 調査に役立つセキュリティ データの検索Search security data to aid in investigation

Azure サブスクリプションがない場合は、開始する前に無料アカウントを作成してください。If you don’t have an Azure subscription, create a free account before you begin.

前提条件Prerequisites

このチュートリアルで説明されている機能を実行するには、Security Center の Standard 価格レベルを使用する必要があります。To step through the features covered in this tutorial, you must be on Security Center’s Standard pricing tier. Security Center Standard は無料でお試しいただけます。You can try Security Center Standard at no cost. 詳細については、価格のページを参照してください。To learn more, see the pricing page. Standard にアップグレードする方法については、Azure サブスクリプションでの Security Center Standard の利用開始に関するクイックスタートを参照してください。The quickstart Onboard your Azure subscription to Security Center Standard walks you through how to upgrade to Standard.

シナリオScenario

Contoso は最近、いくつかの仮想マシンベースの基幹業務ワークロードと SQL データベースなど、オンプレミスのリソースの一部を Azure に移行しました。Contoso recently migrated some of their on-premises resources to Azure, including some virtual machine-based line-of-business workloads and SQL databases. 現在、中心となる Contoso のコンピューター セキュリティ インシデント対応チーム (CSIRT) は、セキュリティ インテリジェンスが現在のインシデント対応ツールと統合されていないため、セキュリティ上の問題の調査に関する課題を抱えています。Currently, Contoso's Core Computer Security Incident Response Team (CSIRT) has a problem investigating security issues because of security intelligence not being integrated with their current incident response tools. この統合の欠如が原因で、検出の段階で問題 (偽陽性が多すぎる) が発生しているほか、評価と診断の段階でも問題が発生しています。This lack of integration introduces a problem during the Detect stage (too many false positives), as well as during the Assess and Diagnose stages. この移行の一環として、Security Center の利用を開始してこの問題を解決することに決定しました。As part of this migration, they decided to opt in for Security Center to help them address this problem.

この移行の最初のフェーズは、すべてのリソースをオンボードし、Security Center からのセキュリティに関する推奨事項にすべて対処した後に完了しました。The first phase of this migration finished after they onboarded all resources and addressed all of the security recommendations from Security Center. Contoso CSIRT は、コンピューター セキュリティ インシデントに対処する場合に中心的な役割を果たします。Contoso CSIRT is the focal point for dealing with computer security incidents. CSIRT チームは、セキュリティ インシデントへの対処について責任を負う複数人のグループで構成されています。The team consists of a group of people with responsibilities for dealing with any security incident. チームのメンバーは、対応領域が余すことなくカバーされるように、明確に定義された義務を負っています。The team members have clearly defined duties to ensure that no area of response is left uncovered.

このシナリオでは、Contoso CSIRT に属する次の人物の役割を中心に説明していきます。For the purpose of this scenario, we're going to focus on the roles of the following personas that are part of Contoso CSIRT:

Incident response lifecycle

Judy はセキュリティ運用担当者です。Judy is in security operations. その役割には次のものが含まれています。Their responsibilities include:

  • 24 時間体制でセキュリティの脅威に対する監視と対応を行う。Monitoring and responding to security threats around the clock.
  • 必要に応じて、クラウド ワークロード所有者またはセキュリティ アナリストに報告する。Escalating to the cloud workload owner or security analyst as needed.

Sam はセキュリティ アナリストです。その役割には次のものが含まれています。Sam is a security analyst and their responsibilities include:

  • 攻撃を調査する。Investigating attacks.
  • 警告を修正する。Remediating alerts.
  • ワークロード所有者と協力し、対応策を決定して適用する。Working with workload owners to determine and apply mitigations.

ご覧のとおり、Judy と Sam は異なる役割を担っており、Security Center の情報を共有して互いに協力する必要があります。As you can see, Judy and Sam have different responsibilities, and they must work together to share Security Center information.

セキュリティ アラートのトリアージTriage security alerts

Security Center では、すべてのセキュリティ アラートを統合された 1 つのビューで確認できます。Security Center provides a unified view of all security alerts. セキュリティ アラートは、潜在的な関連アラートがセキュリティ インシデントにまとめられたタイミングと重大度に基づいてランク付けされます。Security alerts are ranked based on the severity and when possible related alerts are combined into a security incident. アラートとインシデントのトリアージでは、以下を行う必要があります。When triaging alerts and incidents, you should:

  • 追加のアクションが必要でないアラートを無視する (例: アラートが誤検知の場合)Dismiss alerts for which no additional action is required, for example if the alert is a false positive
  • 既知の攻撃に対する修復を行う (例: 悪意のある IP アドレスからのネットワーク トラフィックのブロック)Act to remediate known attacks, for example blocking network traffic from a malicious IP address
  • 追加の調査が必要なアラートを特定するDetermine alerts that require further investigation
  1. Security Center のメイン メニューの [検出] で、 [セキュリティ アラート] を選択します。On the Security Center main menu under DETECTION, select Security alerts:

    セキュリティのアラート

  2. アラートの一覧でセキュリティ インシデント (アラートのコレクション) をクリックして、そのインシデントについて詳しく確認します。In the list of alerts, click on a security incident, which is a collection of alerts, to learn more about this incident. [Security incident detected](セキュリティ インシデントが検出されました) が開きます。Security incident detected opens.

    セキュリティ インシデント

  3. この画面では、セキュリティ インシデントの説明が上部に表示されるほか、このインシデントに含まれているアラートの一覧が表示されます。On this screen you have the security incident description on top, and the list of alerts that are part of this incident. 詳しく調査したいアラートをクリックして、詳細を表示します。Click on the alert that you want to investigate further to obtain more information.

    セキュリティ インシデント

    アラートの種類はさまざまです。アラートの種類と実行可能な修復の手順について詳しくは、「Azure Security Center のセキュリティ アラートの概要」を参照してください。The type of alert can vary, read Understanding security alerts in Azure Security Center for more details about the type of alert, and potential remediation steps. 安心して無視できるアラートについては、そのアラートを右クリックして [無視] オプションを選択できます。For alerts that can be safely dismissed, you can right click on the alert and select the option Dismiss:

    アラート:

  4. 悪意のあるアクティビティの根本原因とスコープが不明な場合、さらに調査するために次の手順に進みます。If the root cause and scope of the malicious activity is unknown, proceed to the next step to investigate further.

アラートまたはインシデントの調査Investigate an alert or incident

  1. [セキュリティの警告] ページで [調査の開始] ボタンをクリックします (既に開始している場合、名前は [調査の続行] になります)。On the Security alert page, click Start investigation button (if you already started, the name changes to Continue investigation).

    調査

    調査マップは、このセキュリティ アラートまたはインシデントに関連付けられたエンティティをグラフで表示したものです。The investigation map is a graphical representation of the entities that are connected to this security alert or incident. マップ内のエンティティをクリックすると、そのエンティティに関する情報として新しいエンティティが表示され、マップが拡大します。By clicking on an entity in the map, the information about that entity will show new entities, and the map expands. マップ内のエンティティを選択すると、そのプロパティがページの右側にあるウィンドウに強調表示されます。The entity that is selected in the map has its properties highlighted in the pane on the right side of the page. 各タブで利用できる情報は、選択したエンティティによって異なります。The information available on each tab will vary according to the selected entity. 調査プロセス中は、攻撃者の行動に対する理解を深めるためにすべての関連情報を確認してください。During the investigation process, review all relevant information to better understand the attacker’s movement.

  2. さらに証拠が必要な場合、または調査中に見つかったエンティティについてさらに調査する必要がある場合、次の手順に進みます。If you need more evidence, or must further investigate entities that were found during the investigation, proceed to the next step.

調査用のデータの検索Search data for investigation

Security Center の検索機能を使用して、システムの侵害に関する他の証拠や、調査対象のエンティティの詳しい情報を見つけることができます。You can use search capabilities in Security Center to find more evidence of compromised systems, and more details about the entities that are part of the investigation.

検索を実行するには、Security Center ダッシュボードを開きます。左側のナビゲーション ウィンドウにある [検索] をクリックし、検索したいエンティティが含まれたワークスペースを選択してから、検索クエリに入力して検索ボタンをクリックします。To perform a search open the Security Center dashboard, click Search in the left navigation pane, select the workspace that contains the entities that you want to search, type the search query, and click the search button.

リソースのクリーンアップClean up resources

このコレクションの他のクイックスタートとチュートリアルは、このクイックスタートに基づいています。Other quickstarts and tutorials in this collection build upon this quickstart. 引き続き次のクイックスタートとチュートリアルを行う予定の場合、Standard レベルの実行を継続して、自動プロビジョニングを有効のままにしてください。If you plan to continue on to work with subsequent quickstarts and tutorials, continue running the Standard tier and keep automatic provisioning enabled. 続行しないまたは Free レベルに戻したい場合:If you do not plan to continue or wish to return to the Free tier:

  1. Security Center のメイン メニューに戻り、 [セキュリティ ポリシー] を選択します。Return to the Security Center main menu and select Security Policy.
  2. Free に戻したいサブスクリプションまたはポリシーを選択します。Select the subscription or policy that you want to return to Free. [セキュリティ ポリシー] が開きます。Security policy opens.
  3. [ポリシー コンポーネント] で、 [価格レベル] を選択します。Under POLICY COMPONENTS, select Pricing tier.
  4. [Free] を選択して、Standard レベルから Free レベルにサブスクリプションを変更します。Select Free to change subscription from Standard tier to Free tier.
  5. [保存] を選択します。Select Save.

自動プロビジョニングを無効にする場合:If you wish to disable automatic provisioning:

  1. Security Center のメイン メニューに戻り、 [セキュリティ ポリシー] を選択します。Return to the Security Center main menu and select Security policy.
  2. 自動プロビジョニングを無効にするサブスクリプションを選択します。Select the subscription that you wish to disable automatic provisioning.
  3. [セキュリティ ポリシー - データ収集] で、 [オンボード][オフ] を選択して、自動プロビジョニングを無効にします。Under Security policy – Data Collection, select Off under Onboarding to disable automatic provisioning.
  4. [保存] を選択します。Select Save.

注意

自動プロビジョニングを無効しても、Microsoft Monitoring Agent がプロビジョニングされている Azure VM からエージェントは削除されません。Disabling automatic provisioning does not remove the Microsoft Monitoring Agent from Azure VMs where the agent has been provisioned. 自動プロビジョニングを無効にすると、リソースのセキュリティの監視が制限されます。Disabling automatic provisioning limits security monitoring for your resources.

次の手順Next steps

このチュートリアルでは、セキュリティ インシデントに対応する際に使用される Security Center の機能について説明しました。例:In this tutorial, you learned about Security Center features to be used when responding to a security incident, such as:

  • リソースに関するアラートを集約したセキュリティ インシデントSecurity incident which is an aggregation of related alerts for a resource
  • セキュリティ アラートまたはインシデントに関連付けられたエンティティをグラフで表示する調査マップInvestigation map which is a graphical representation of the entities connected to a security alert or incident
  • システムの侵害に関する他の証拠を見つけるための検索機能Search capabilities to find more evidence of compromised systems

Security Center の調査機能については、次を参照してください。To learn more about Security Center's investigation feature see: