セキュリティ コントロールインシデント対応
注意
最新の Azure セキュリティ ベンチマークはこちらからご利用いただけます。
攻撃を迅速に検出し、被害を効果的に抑制し、攻撃者の存在を一掃し、ネットワークとシステムの整合性を回復するためのインシデント対応インフラストラクチャ (計画、定義済みのロール、トレーニング、通信、管理監督など) を開発して実装することにより、組織の情報とその評判を保護します。
10.1:インシデント対応ガイドを作成する
| Azure ID | CIS IDs | 担当 |
|---|---|---|
| 10.1 | 19.1、19.2、19.3 | Customer |
組織のインシデント対応ガイドを作成します。 要員のすべてのロールを定義するインシデント対応計画が記述されていることと、検出からインシデント後のレビューまでのインシデント対応/管理のフェーズがあることを確認します。
10.2:インシデントのスコアリングと優先順位付けの手順を作成する
| Azure ID | CIS IDs | 担当 |
|---|---|---|
| 10.2 | 19.8 | Customer |
Security Center によって各アラートに重大度が割り当てられるため、最初に調査する必要があるアラートの優先順位付けに役立ちます。 重要度は、アラートの発行に使用された Security Center の信頼度と、アラートの原因となったアクティビティの背後に悪意のある意図があったかどうかの信頼レベルに基づいて決まります。
さらに、タグを使用してサブスクリプションを明確にマークし (運用、非運用など)、Azure リソース (特に、機密データを処理するもの) を明確に識別して分類するための命名システムを作成します。 インシデントが発生した Azure リソースと環境の重要度に基づいて、アラートの修復に優先順位を付けることは、お客様の責任です。
10.3:セキュリティ対応手順のテスト
| Azure ID | CIS IDs | 担当 |
|---|---|---|
| 10.3 | 19 | Customer |
ご利用のシステムのインシデント対応機能を定期的にテストする演習を実施することで、ご利用の Azure リソースの保護を支援できます。 弱点やギャップを特定し、必要に応じて計画を見直します。
10.4:セキュリティ インシデントの連絡先の詳細を指定し、セキュリティ インシデントのアラート通知を構成します
| Azure ID | CIS IDs | 担当 |
|---|---|---|
| 10.4 | 19.5 | Customer |
セキュリティ インシデントの連絡先情報は、Microsoft Security Response Center (MSRC) でユーザーのデータが違法または権限のないユーザーによってアクセスされたことが検出された場合に、Microsoft からの連絡先として使用されます。 事後にインシデントをレビューして、問題が解決されていることを確認します。
10.5:インシデント対応システムにセキュリティ アラートを組み込む
| Azure ID | CIS IDs | 担当 |
|---|---|---|
| 10.5 | 19.6 | Customer |
連続エクスポート機能を使用して Azure Security Center のアラートと推奨事項をエクスポートすると、Azure リソースへのリスクを特定できます。 連続エクスポートを使用すると、アラートと推奨事項を手動で、または継続した連続的な方法でエクスポートできます。 Azure Security Center データ コネクタを使用してアラートを Azure Sentinel にストリーミングできます。
10.6:セキュリティ アラートへの対応を自動化する
| Azure ID | CIS IDs | 担当 |
|---|---|---|
| 10.6 | 19 | Customer |
Azure Security Center のワークフロー自動化機能を使用すると、セキュリティのアラートと推奨事項に対して "Logic Apps" で自動的に応答をトリガーし、Azure リソースを保護できます。
次のステップ
- 次のセキュリティ コントロールを参照してください。侵入テストとレッド チーム演習