セキュリティ コントロール V2: インシデント対応
注意
最新の Azure セキュリティ ベンチマークはこちらからご利用いただけます。
インシデント対応には、インシデント対応のライフサイクルにおけるコントロール (準備、検出と分析、包含、インシデント後のアクティビティ) が含まれます。 これには、Azure Security Center や Sentinel などの Azure サービスを使用したインシデント対応プロセスの自動化も含まれます。
該当する組み込み Azure Policy を確認するには、「Azure セキュリティ ベンチマーク規制コンプライアンスの組み込みイニシアチブ: インシデント対応」を参照してください。
IR-1: 準備 – インシデント対応プロセスを Azure 用に更新する
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| IR-1 | 19 | IR-4、IR-8 |
組織において、セキュリティ インシデントに対応するためのプロセスが用意されていること、Azure のこれらのプロセスが更新されていること、それらのプロセスを定期的に使用して準備されていることを確認します。
責任: Customer
顧客のセキュリティ上の利害関係者 (詳細):
IR-2: 準備 – インシデント通知をセットアップする
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| IR-2 | 19.5 | IR-4、IR-5、IR-6、IR-8 |
Azure Security Center でセキュリティ インシデントの連絡先情報を設定します。 この連絡先情報は、Microsoft Security Response Center (MSRC) でユーザーのデータが違法または権限のないユーザーによってアクセスされたことが検出された場合に、Microsoft からの連絡先として使用されます。 また、インシデント対応のニーズに応じて、異なる Azure サービスでインシデント アラートと通知をカスタマイズするオプションもあります。
責任: Customer
顧客のセキュリティ上の利害関係者 (詳細):
IR-3: 検出と分析 – 高品質のアラートに基づいてインシデントを作成する
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| IR-3 | 19.6 | IR-4、IR-5 |
高品質のアラートを作成し、アラートの品質を測定するプロセスがあることを確認します。 これにより、過去のインシデントから教訓を学び、アナリストに対するアラートに優先順位を付けることができるので、擬陽性に時間を無駄にすることがありません。
高品質のアラートは、過去のインシデントからの経験、検証されたコミュニティ ソース、およびさまざまなシグナル ソースの融合と関連付けによってアラートを生成してクリーンアップするように設計されたツールに基づいて構築できます。
Azure Security Center では、多数の Azure 資産について高品質のアラートが提供されます。 ASC データ コネクタを使用してアラートを Azure Sentinel にストリーミングできます。 Azure Sentinel を使用すると、高度なアラート ルールを作成し、調査のためにインシデントを自動的に生成できます。
エクスポート機能を使用して Azure Security Center のアラートと推奨事項をエクスポートし、Azure リソースへのリスクを特定します。 アラートと推奨事項を手動で、または継続した連続的な方法でエクスポートします。
責任: Customer
顧客のセキュリティ上の利害関係者 (詳細):
IR-4: 検出と分析 – インシデントを調査する
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| IR-4 | 19 | IR-4 |
アナリストが潜在的なインシデントを調査するときに、さまざまなデータ ソースを照会して使用し、発生した内容の完全なビューを構築できることを確認します。 キル チェーン全体で潜在的な攻撃者のアクティビティを追跡して死角を回避するには、さまざまなログを収集する必要があります。 また、他のアナリストのため、および将来において履歴が参照される場合のために、確実に分析情報と学習がキャプチャされているようにします。
調査のためのデータ ソースには、スコープ内のサービスおよび実行中のシステムから既に収集されている一元化されたログ ソースが含まれますが、次のものも含まれます。
ネットワーク データ - ネットワーク セキュリティ グループのフロー ログ、Azure Network Watcher、Azure Monitor を使用して、ネットワーク フロー ログやその他の分析情報をキャプチャします。
実行中のシステムのスナップショット:
Azure 仮想マシンのスナップショット機能を使用して、実行中のシステムのディスクのスナップショットを作成します。
オペレーティング システムのネイティブ メモリ ダンプ機能を使用して、実行中のシステムのメモリのスナップショットを作成します。
Azure サービスのスナップショット機能またはソフトウェア独自の機能を使用して、実行中のシステムのスナップショットを作成します。
Azure Sentinel により、事実上すべてのログソースに対して広範な Data Analytics と、インシデントのライフサイクル全体を管理するためのケース管理ポータルが提供されます。 調査中のインテリジェンス情報を、追跡とレポートのためにインシデントに関連付けることができます。
責任: Customer
顧客のセキュリティ上の利害関係者 (詳細):
IR-5: 検出と分析 – インシデントの優先順位を付ける
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| IR-5 | 19.8 | CA-2、IR-4 |
アラートの重要度と資産の機密性に基づいて、最初に注目するインシデントについてのコンテキストをアナリストに提供します。
Azure Security Center によって各アラートに重大度が割り当てられるため、最初に調査する必要があるアラートの優先順位付けに役立ちます。 重要度は、アラートの発行に使用された Security Center の信頼度と、アラートの原因となったアクティビティの背後に悪意のある意図があったかどうかの信頼レベルに基づいて決まります。
さらに、タグを使用してリソースをマークし、Azure リソース (特に、機密データを処理するもの) を識別して分類するための命名システムを作成します。 インシデントが発生した Azure リソースと環境の重要度に基づいて、アラートの修復に優先順位を付けることは、お客様の責任です。
責任: Customer
顧客のセキュリティ上の利害関係者 (詳細):
IR-6: 包含、根絶、復旧 – インシデントの処理を自動化する
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| IR-6 | 19 | IR-4、IR-5、IR-6 |
手動による反復タスクを自動化して、応答時間を短縮し、アナリストの負担を軽減します。 手動タスクの実行には時間がかかり、各インシデントの速度が低下し、アナリストが処理できるインシデントの数が減少します。 手動タスクではアナリストの疲労も増加します。これにより、遅延が発生する人的エラーのリスクが増加し、複雑なタスクに効果的に焦点を当てるアナリストの能力が低下します。 Azure Security Center と Azure Sentinel のワークフロー自動化機能を使用して、自動的にアクションをトリガーしたり、プレイブックを実行して受信したセキュリティ アラートに応答したりします。 プレイブックにより、通知の送信、アカウントの無効化、問題のあるネットワークの特定などのアクションが実行されます。
責任: Customer
顧客のセキュリティ上の利害関係者 (詳細):