セキュリティ運用Security operations

セキュリティ運用では、ライブの敵対者がシステムを攻撃したときにシステムのセキュリティ保証の維持と復旧を行います。Security operations maintain and restores the security assurances of the system as live adversaries attack it. セキュリティ運用のタスクは、NIST Cybersecurity Framework の Detect、Respond、Recover の各機能によって適切に記述されます。The tasks of security operations are described well by the NIST Cybersecurity Framework functions of Detect, Respond, and Recover.

  • Detect (検出) – セキュリティ運用では、システム内の敵対者の存在を検出する必要があります。敵対者は、妨げられずに目的を達成できるようになるため、ほとんどの場合隠れたままでいようとします。Detect - Security operations must detect the presence of adversaries in the system, who are incented to stay hidden in most cases as this allows them to achieve their objectives unimpeded. これは、疑わしいアクティビティのアラートに対する対応や、企業のアクティビティ ログ内での、異常なイベントの探索という形をとる場合があります。This can take the form of reacting to an alert of suspicious activity or proactively hunting for anomalous events in the enterprise activity logs.

  • Respond (応答) – 潜在的敵対者のアクションやキャンペーンの検出時には、セキュリティ運用では迅速に調査を行って、それが実際の攻撃 (真陽性) であるか誤ったアラーム (誤検出) であるかを識別し、その後、敵対者の操作の範囲と目標を列挙する必要があります。Respond – Upon detection of potential adversary action or campaign, security operations must rapidly investigate to identify whether it is an actual attack (true positive) or a false alarm (false positive) and then enumerate the scope and goal of the adversary operation.

  • Recover (復旧) – セキュリティ運用の最終的な目標は、攻撃中および攻撃後に、ビジネス サービスのセキュリティ保証 (機密性、整合性、可用性) を維持または復元することです。Recover – The ultimate goal of security operations is to preserve or restore the security assurances (confidentiality, integrity, availability) of business services during and after an attack.

ほとんどの組織が直面する最も重大なセキュリティ リスクは、(さまざまなスキルレベルの) 人間の攻撃オペレーターです。The most significant security risk most organizations face is from human attack operators (of varying skill levels). これは、ほとんどの組織について、マルウェア対策に組み込まれた署名および機械学習ベースのアプローチによって、自動攻撃や繰り返し攻撃からのリスクが大幅に軽減されたためです (ただし、Wannacrypt や NotPetya などの有名な例外があります。これらは、こうした防御よりも高速に活動しました)。This is because risk from automated/repeated attacks have been mitigated significantly for most organizations by signature and machine learning based approaches built into anti-malware (though there are notable exceptions like Wannacrypt and NotPetya, which moved faster than these defenses).

人間の攻撃オペレーターが対決に挑んできていますが、彼らの (自動ロジックや反復ロジックと比べた) 適応能力のために、防御する人と同じ "人間の速度" で活動しています。これが、同じ土俵で戦う助けとなります。While human attack operators are challenging to face because of their adaptability (vs. automated/repeated logic), they are operating at the same “human speed” as defenders, which help level the playing field.

セキュリティ運用部門 (セキュリティ オペレーション センター (SOC) とも呼ばれます) は、価値を有するシステムやデータに攻撃者が到達できる時間とアクセスを限定するうえで決定的に重要な役割を果たします。Security Operations (sometimes referred to as a Security Operations Center (SOC)) has a critical role to play in limiting the time and access an attacker can get to valuable systems and data. 攻撃者は、環境内で得る 1 分ごとに、攻撃活動の指揮と、機密システムや大切なシステムへのアクセスを続けることができます。Each minute that an attacker has in the environment allows them to continue to conduct attack operations and access sensitive/valuable systems.

目標とメトリックObjective and metrics

測定するメトリックは、セキュリティ運用の対応と結果に大きな影響を及ぼします。The metrics you measure will have a significant effect on the behaviors and outcomes of security operations. 適切な測定項目に集中すれば、有意義にリスクが減少する適切な領域で継続的な改善を促進する助けとなりきます。Focusing on the right measurements will help drive continuous improvement in the right areas that meaningfully reduce risk.

セキュリティ運用が攻撃者のアクセスを効果的に封じ込めているようにするには、目標の焦点を以下のことに合わせる必要がありますTo ensure that security operations are effectively containing attackers access, the objectives should focus on

  • 防御者が誤検出を調査している間、検出された敵対者が無視されないようにするため、アラートを確認するまでの時間を短縮します。Reducing time to acknowledge an alert to ensure that detected adversaries are not ignored while defenders are spending time investigating false positives.

  • 敵対者が指揮を取り、機密性の高いシステムを攻撃して到達する機会の時間を短縮するため、検出された敵対者の修復までの時間を短縮しますReducing time to remediate a discovered adversary to reduce their opportunity time to conduct and attack and reach sensitive systems

  • 高い本来価値を持つシステム (可能性が高いターゲットまたはビジネスへの影響の大きさ)、および多数のシステムや機密性の高いシステム (管理者アカウントと機密性の高いユーザー) にアクセスするシステムへのセキュリティ投資を優先しますPrioritizing security investments into systems that have high intrinsic value (likely targets / high business impact) and access to many systems or sensitive systems (administrator accounts and sensitive users)

  • プログラムが成熟し、事後対応のインシデントが制御された状態になるにつれて、敵対者の予防的なハンティングに一層集中します。Increase focus on proactively hunting for adversaries as your program matures and reactive incidents get under control. これは、高度なスキルを持つ敵対者が環境内で活動 (例: 反応型のアラートを回避するのに十分なスキルを持っている) できる時間を短縮することに重点を置いています。This is focused on reducing the time that a higher skilled adversary can operate in the environment (for example, skilled enough to evade reactive alerts).

Microsoft の SOC でこれらのメトリックをどのように使用しているかの詳細については、 https://aka.ms/ITSOC を参照してください。For more information on how Microsoft’s SOC uses these metrics, see https://aka.ms/ITSOC.

ハイブリッド エンタープライズ ビューHybrid enterprise view

セキュリティ運用では、ツール、プロセス、およびアナリストのスキルセットによって、ハイブリッド資産全体にわたる可視性を確実に実現する必要があります。Security operations should ensure their tooling, processes, and analyst skillsets enable visibility across the full span of their hybrid estate.

攻撃者が組織をターゲットにしたときに、特定の環境に対するアクションを限定することはありません。彼らは使用可能な方法ならばどれでも使用し、どのプラットフォーム上のリソースでも攻撃します。Attackers don’t restrict their actions to a particular environment when targeting an organization, they will attack resources on any platform using any method available. Azure や AWS などのクラウドサービスを導入する企業組織は、クラウドとオンプレミスのハイブリッド型の資産を効果的に運用しています。Enterprise organizations adopting cloud services like Azure and AWS are effectively operating a hybrid of cloud and on-premises assets.

セキュリティ運用のツールとプロセスは、クラウドとオンプレミスの資産に対する攻撃と、ID を始めとする手段を使用してクラウドとオンプレミスのリソースの間で方向転換する攻撃者を対象にして設計されている必要があります。Security operations tooling and processes should be designed for attacks on cloud and on-premises assets as well as attackers pivoting between cloud and on-premises resources using identity or other means. この全社的ビューにより、セキュリティ運用チームが迅速に攻撃の検出、対応、復旧を行えるようになり、組織のリスクが軽減されます。This enterprise-wide view will enable security operations teams to rapidly detect, respond, and recover from attacks, reducing organizational risk.

ネイティブの検出と制御を活用するLeverage native detections and controls

クラウドのイベント ログを使用してカスタムの検出を作成する前に、クラウド プラットフォームに組み込まれているセキュリティ検出と制御の使用を促進する必要があります。You should favor the use of security detections and controls built into the cloud platform before creating custom detections using event logs from the cloud.

クラウド プラットフォームは新機能によって急速に進化しており、そのことが検出の管理を困難にする可能性があります。Cloud platforms evolve rapidly with new features, which can make maintaining detections challenging. ネイティブの制御はクラウド プロバイダーによって管理されており、通常は高品質 (低い誤検出率) です。Native controls are maintained by the cloud provider and are typically high quality (low false positive rate).

複数のクラウドプラットフォームを使用している組織も多く、企業全体で統合されたビューが必要な場合があるため、これらのネイティブの検出と制御が、一元化された SIEM または他のツールにフィードが行われることを確認する必要があります。Because many organizations may use multiple cloud platforms and need a unified view across the enterprise, you should ensure these native detections and controls feed a centralize SIEM or other tool. ネイティブの検出と制御の代わりに汎用のログ分析ツールとクエリで置き換えることはお勧めしません。We don’t recommend trying to substitute generalized log analysis tools and queries instead of native detections and controls. これらのツールは、予防的なハンティング活動のために多くの値を提供できますが、これらのツールで高品質のアラートを利用できるようになるには、深い専門知識を持つアプリケーションと、ハンティングなどの活動に費やす方が適切な時間が必要です。These tools can offer numerous values for proactive hunting activities, but getting to a high-quality alert with these tools requires application of deep expertise and time that could be better spent on hunting and other activities.

一元化された SIEM (Azure Sentinel、Splunk、QRadar など) の広範な可視性を補完するため、以下のようなネイティブの検出と制御を活用する必要がありますTo complement the broad visibility of a centralized SIEM (like Azure Sentinel, Splunk, or QRadar), you should leverage native detections and controls such as

  • Azure を利用する組織は、Azure プラットフォームでアラートを生成するために Azure Security Center のような機能を活用する必要があります。Organizations using Azure should leverage capabilities like Azure Security Center for alert generation on the Azure platform.

  • 組織は、ログを中央のビューにプルするために Azure Monitor や AWS CloudTrail などのネイティブ ログ機能を活用する必要がありますOrganizations should leverage native logging capabilities like Azure Monitor and AWS CloudTrail for pulling logs into a central view

  • Azure を利用する組織は、Azure プラットフォームでのネットワーク アクティビティに対する可視性のために、ネットワーク セキュリティ グループ (NSG) 機能を活用する必要があります。Organizations using Azure should leverage Network Security Group (NSG) capabilities for visibility into network activities on the Azure platform.

  • 調査を実施する際には、エンドポイントの検出と対応 (EDR) ソリューション、ID ツール、Azure Sentinel など、資産の種類に関する深い知識が備わっているネイティブ ツールを活用する必要があります。Investigation practices should leverage native tools with deep knowledge of the asset type such as an Endpoint Detection and Response (EDR) solution, Identity tools, and Azure Sentinel.

アラートとログの統合に優先順位を付けるPrioritize alert and log integration

価値の低いデータを大量に導入することなく、非常に重要なセキュリティ アラートとログを SIEM に統合しようとしていることを確認します。Ensure that you are integrating critical security alerts and logs into SIEMs without introducing a high volume of low value data.

導入する低価値のデータが多すぎると、SIEM のコストが増加し、ノイズや誤検出が増加して、パフォーマンスが低下する可能性があります。Introducing too much low value data can increase SIEM cost, increase noise and false positives, and lower performance.

収集するデータでは、以下の運用アクティビティを 1 つ以上サポートすることを重視する必要があります。The data you collect should be focused on supporting one or more of these operations activities:

  • アラート (カスタム アラートを生成するために必要な既存のツールまたはデータからの検出)Alerts (detections from existing tools or data required for generating custom alerts)

  • インシデントの調査 (たとえば一般的なクエリに必要)Investigation of an incident (for example, required for common queries)

  • 予防的ハンティング アクティビティProactive hunting activities

より多くのデータを統合すると、迅速な対応と修復 (誤検出のフィルター処理、真陽性の昇格など) を可能にする追加のコンテキストでアラートを強化できますが、収集と検出は同義ではありません。Integrating more data can allow you to enrich alerts with additional context that enable rapid response and remediation (filter false positives, and elevate true positives, etc.), but collection is not detection. そのデータが価値を提供すると合理的に期待できない場合 (たとえば、大量のファイアウォールがイベントを拒否する場合)、これらのイベントの統合の優先順位を下げることができます。If you don’t have a reasonable expectation that the data will provide value (for example, high volume of firewall denies events), you may deprioritize integration of these events.

次のステップNext steps

Microsoft のセキュリティに関するその他のガイダンスについては、マイクロソフトのセキュリティに関するドキュメントを参照してください。For additional security guidance from Microsoft, see Microsoft security documentation.