セキュリティ操作に関する Microsoft セキュリティのベスト プラクティス

セキュリティ操作 (SecOps) は、ライブ敵が攻撃するシステムのセキュリティ アシュアランスを維持および復元します。 SecOps のタスクは、検出、応答、および回復の NIST Cybersecurity Framework 関数によってよく説明されています。

  • 検出 - SecOps は、システム内の敵対者の存在を検出する必要があります。これにより、目標を達成するために、ほとんどの場合は隠された状態をとらう必要があります。 これは、疑わしいアクティビティのアラートに対応する、またはエンタープライズ アクティビティ ログ内の異常なイベントを事前に検出する形式をとる場合があります。

  • 対応 – 潜在的な敵対行動またはキャンペーンが検出された場合、SecOps は迅速に調査して、それが実際の攻撃 (真陽性) か誤検知 (誤検知) かを特定し、敵対者操作の範囲と目標を列挙する必要があります。

  • 回復 – SecOps の最終的な目標は、攻撃中および攻撃後のビジネス サービスのセキュリティ アシュアランス (機密性、整合性、可用性) を保持または復元します。

ほとんどの組織が直面する最も重大なセキュリティ リスクは、(さまざまなスキル レベルの) 人間の攻撃オペレーターによるリスクです。 これは、マルウェア対策に組み込まれる署名と機械学習ベースのアプローチによって、ほとんどの組織にとって、自動/繰り返し攻撃によるリスクが大幅に軽減されたためです (ただし、Wannacrypt や NotPetya のような特に重要な例外は、これらの防御よりも速く移動します)。

人間の攻撃オペレーターは適応性 (自動化/繰り返しのロジックと比較) のために直面しがちですが、防御者と同じ "人間の速度" で動作し、プレイフィールドをレベルアップするのに役立ちます。

SecOps (Security Operations Center (SOC) とも呼ばれる) は、攻撃者が貴重なシステムやデータにアクセスする時間とアクセスを制限する上で重要な役割を果たします。 攻撃者が環境内に持っている分ごとに、攻撃者は攻撃操作を継続し、機密性の高いシステムや貴重なシステムにアクセスできます。

目標とメトリック

測定するメトリックは、SecOps の動作と結果に大きな影響を与えます。 適切な測定に焦点を当てると、リスクを大幅に軽減する適切な領域の継続的な改善に役立ちます。

SecOps が攻撃者のアクセスを効果的に含むには、次の目的に焦点を当てる必要があります。

  • 検出 された敵対 者が無視され、防御側が誤検知の調査に時間を費やしている間に、アラートを確認する時間を短縮します。

  • 検出 された敵を修復する時間 を短縮し、実施と攻撃を行い、機の高いシステムに到達する機会を短縮する

  • 組み込み 価値が高い (ビジネスへの影響が高い可能性がある) システムや、多くのシステムまたは機密性の高いシステム (管理者アカウントと機密性の高いユーザー) へのアクセスを持つシステムへのセキュリティ投資の優先順位付け

  • プログラムが成熟 、事後対応インシデントが制御されるに応じ、敵対者の積極的な探知に集中する。 これは、より高いスキルを持つ敵が環境内で操作できる時間を短縮すること (たとえば、事後対応アラートを回避するのに十分なスキル) を減らすことに重点を置いて行います。

Microsoft の SOC がこれらのメトリックを使用する方法の詳細については、 を参照してください https://aka.ms/ITSOC

ハイブリッド エンタープライズ ビュー

SecOps は、ツール、プロセス、アナリストスキル セットによって、ハイブリッド資産全体の可視性を確保する必要があります。

攻撃者は、組織をターゲットにするときに、特定の環境に対するアクションを制限し、利用可能な任意の方法を使用して任意のプラットフォーム上のリソースを攻撃します。 Enterprise AWS のようなクラウド サービスを導入している組織は、クラウドとオンプレミスの資産のハイブリッドを効果的に運用しています。

SecOps のツールとプロセスは、クラウドとオンプレミスの資産に対する攻撃や、ID などの手段を使用してクラウドとオンプレミスのリソースの間を移動する攻撃者向けとして設計する必要があります。 このエンタープライズ全体のビューにより、SecOps チームは攻撃を迅速に検出、対応、回復し、組織のリスクを軽減できます。

ネイティブ検出と制御を活用する

クラウドからイベント ログを使用してカスタム検出を作成する前に、クラウド プラットフォームに組み込んだセキュリティ検出とコントロールを使用する必要があります。

クラウド プラットフォームは新しい機能によって急速に進化し、検出の維持が困難になる可能性があります。 ネイティブ コントロールはクラウド プロバイダーによって維持され、通常は高品質 (低誤検知率) です。

多くの組織では複数のクラウド プラットフォームを使用し、企業全体で統一されたビューが必要な場合があります。これらのネイティブ検出と制御によって、一元化された SIEM などのツールが提供される必要があります。 ネイティブの検出と制御の代わりに、一般化されたログ分析ツールとクエリを置き換えはお勧めしません。 これらのツールは、プロアクティブな探知アクティビティに多数の値を提供できますが、これらのツールを使用して高品質のアラートにアクセスするには、深い専門知識と時間を適用する必要があります。これは、探知や他のアクティビティにより適切に費やされる可能性があります。

一元化された SIEM (Microsoft Sentinel、Splunk、QRadar など) の広範な可視性を補完するには、次のようなネイティブ検出と制御を活用する必要があります。

  • Azure を使用している組織は、Azure プラットフォームでのアラート生成Microsoft Defender for Cloudなど、機能を活用する必要があります。

  • 組織は、Azure Monitor や AWS CloudTrail のようなネイティブ ログ機能を利用して、ログを中央ビューにプルする必要があります。

  • Azure を使用している組織は、ネットワーク セキュリティ グループ (NSG) 機能を利用して、Azure プラットフォーム上のネットワーク アクティビティを可視化する必要があります。

  • 調査プラクティスでは、エンドポイント検出と応答 (EDR) ソリューション、ID ツール、Microsoft Sentinel など、資産の種類に関する深い知識を持つネイティブ ツールを活用する必要があります。

アラートとログ統合の優先順位付け

価値の低いデータを多く導入することなく、重要なセキュリティ アラートとログを確実に SIEM に統合します。

低い値のデータを導入すると、SIEM コストが増加し、ノイズや誤検知が増加し、パフォーマンスが低下する可能性があります。

収集するデータは、次の 1 つ以上の操作アクティビティのサポートに重点を置く必要があります。

  • アラート (カスタム アラートを生成するために必要な既存のツールまたはデータからの検出)

  • インシデント の調査 (たとえば、一般的なクエリに必要)

  • プロアクティブ な探知 アクティビティ

より多くのデータを統合すると、迅速な応答と修復 (誤検知のフィルター処理、真陽性の昇格など) を可能にする追加のコンテキストでアラートを強化できますが、収集は検出できません。 データによって値が提供されるという妥当な期待 (たとえば、ファイアウォール拒否イベントの量が多い) 場合は、これらのイベントの統合を奪う可能性があります。

Microsoft セキュリティ サービス用の SecOps リソース

セキュリティ アナリストとして新しい役割を果たす場合は、これらのリソースを参照して開始してください。

トピック リソース
インシデント対応のための SecOps 計画 インシデントに備 えた組織のインシデント対応計画。
SecOps インシデント対応プロセス インシデントへの対応 に関するベスト プラクティスに関するインシデント対応プロセス。
インシデント対応ワークフロー アプリケーションのインシデント対応ワークフローの例Microsoft 365 Defender
定期的なセキュリティ操作 サービスの定期的なセキュリティ操作のMicrosoft 365 Defender
Microsoft Sentinel の調査 Microsoft Sentinel のインシデント
データの調査Microsoft 365 Defender Microsoft 365 Defender でのインシデント

経験豊富なセキュリティ アナリストの場合は、これらのリソースを参照して、Microsoft セキュリティ サービス用の SecOps チームをすばやく強化してください。

トピック リソース
Azure Active Directory (Azure AD) セキュリティ操作ガイド
Microsoft 365 Defender セキュリティ操作ガイド
Microsoft Sentinel インシデントを調査する方法
Microsoft 365 Defender インシデントを調査する方法
セキュリティ操作の確立または最新化 SecOps クラウド導入フレームワーク SecOps 関数に関する Azure の記事
インシデント対応プレイブック 概要 : https://aka.ms/IRplaybooks
- フィッシング詐欺
- パスワード の吹き付け
- アプリの同意付与
SOC Process Framework Microsoft Sentinel
MSTICPy と Jupyter Notebook Microsoft Sentinel

Microsoft 内の SecOps に関するブログ シリーズ

Microsoft の SecOps チームのしくみについては、このブログ シリーズをご覧ください。

シメオランド

Simuland は、ラボ環境と次のエンド エンド シミュレーションをデプロイするオープン ソースのイニシアティブです。

  • 実際の攻撃シナリオで使用される既知の手法を再現します。
  • 関連するテスト、テスト、および Microsoft Sentinel Microsoft 365 Defender、および Microsoft Sentinel Microsoft Defender for Cloudの有効性を積極的にテストして検証します。
  • 各シミュレーションの演習後に生成されたテレメトリと法科学上のアーティファクトを使用して、脅威の調査を拡張します。

Simuland ラボ環境は、microsoft Sentinel データ コネクタを介した Microsoft 365 Defender セキュリティ製品、Microsoft Defender for Cloud、その他の統合データ ソースからのテレメトリなど、さまざまなデータ ソースからの使用例を提供します。

試用版または有料サンドボックス サブスクリプションの安全性では、次の方法を実行できます。

  • 敵のトレードバーの基礎となる動作と機能を理解します。
  • 各攻撃者のアクションの事前条件を文書化して、軽減策と攻撃者のパスを特定します。
  • 脅威リサーチ ラボ環境の設計とデプロイを迅速化します。
  • 実際の脅威アクターが使用する最新の手法とツールを最新の情報に更新します。
  • 関連するデータ ソースを識別、文書化、共有して、敵対者のアクションをモデル化して検出します。
  • 検出機能を検証して調整します。

その後、Simuland ラボ環境のシナリオからの学習を実稼働環境に実装できます。

Simuland の概要を読んだ後はSimuland GitHubしてください

Microsoft の主要なセキュリティ リソース

リソース 説明
2021 Microsoft Digital Defense レポート Microsoft のセキュリティ専門家、実践者、および防御者からの学習を含むレポートで、あらゆる場所の人々がサイバー脅威から守る力を与えます。
Microsoft Cybersecurity リファレンス アーキテクチャ Microsoft のサイバーセキュリティ機能と、microsoft クラウド プラットフォーム (Microsoft 365、Microsoft Azure、サード パーティのクラウド プラットフォーム、アプリなど) との統合を示す一連のビジュアル アーキテクチャ図。
分数情報インフォグラフィックの ダウンロード Microsoft の SecOps チームが継続的な攻撃を軽減するためにインシデント対応を行う方法の概要。
Azure クラウド導入フレームワーク セキュリティ操作 セキュリティ操作機能を確立または最新化するリーダー向け戦略ガイダンス。
IT アーキテクト 向け Microsoft クラウド セキュリティ モデル ID とデバイスへのアクセス、脅威の保護、および情報保護のための Microsoft クラウド サービスとプラットフォーム全体のセキュリティ。
Microsoft のセキュリティドキュメント Microsoft からの追加のセキュリティ ガイダンス。

次の手順

セキュリティ 操作の機能を確認します