セキュリティ制御: インシデント対応

インシデント対応では、Azure サービス (Microsoft Defender for Cloud や Sentinel など) や他のクラウド サービスを使ってインシデント対応プロセスを自動化するなど、インシデント対応のライフ サイクル (準備、検出と分析、インシデント発生後のアクティビティ) におけるコントロールを対象とします。

IR-1: 準備 - インシデント対応計画と処理プロセスを更新する

CIS Controls v8 ID NNIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
17.4、17.7 IR-4、IR-8 10.8

セキュリティ原則: organizationが業界のベスト プラクティスに従ってプロセスを開発し、クラウド プラットフォーム上のセキュリティ インシデントに対応する計画を立てられるようにします。 共同責任モデルと、IaaS、PaaS、および SaaS の各サービス間の違いに注目してください。 これは、インシデントの通知とトリアージ、証拠収集、調査、根絶、復旧などのインシデントの対応や処理のアクティビティでクラウド プロバイダーとどのように協力するかに直接影響します。

インシデント対応計画と処理プロセスを定期的にテストして、最新の状態であることを確認します。


Azure ガイダンス: Azure プラットフォームでのインシデントの処理を含むように、organizationのインシデント対応プロセスを更新します。 使用される Azure サービスと使用するアプリケーションの特性に基づいて、インシデント対応計画とプレイブックをカスタマイズして、クラウド環境でのインシデントへの対応に使用できるようします。

Azure の実装と追加のコンテキスト:


AWS ガイダンス: organizationのインシデント対応プロセスを更新して、インシデントの処理を含めます。 AWS プラットフォームでインシデントの処理を含めるために、organizationのインシデント対応プロセスを更新して、統合されたマルチクラウドインシデント対応計画を確実に実施します。 使用されている AWS サービスとアプリケーションの性質に基づいて、AWS セキュリティ インシデント対応ガイドに従ってインシデント対応計画とプレイブックをカスタマイズし、クラウド環境のインシデントへの対応に使用できるようにします。

AWS の実装と追加のコンテキスト:


GCP ガイダンス: organizationのインシデント対応プロセスを更新して、インシデントの処理を含めます。 organizationのインシデント対応プロセスを更新して、Google Cloud プラットフォームでのインシデントの処理を含めることで、統合されたマルチクラウドインシデント対応計画が確実に実施されるようにします。

GCP の実装と追加のコンテキスト:


顧客のセキュリティ利害関係者 (詳細情報):

IR-2: 準備 – インシデント通知を設定する

CIS Controls v8 ID NNIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
17.1、17.3、17.6 IR-4、IR-8、IR-5、IR-6 12.10

セキュリティ原則: クラウド サービス プロバイダーのプラットフォームと環境からのセキュリティ アラートとインシデント通知を、インシデント対応organizationの正しい連絡先で受信できることを確認します。


Azure ガイダンス: Microsoft Defender for Cloud でセキュリティ インシデントの連絡先情報を設定します。 この連絡先情報は、Microsoft Security Response Center (MSRC) でユーザーのデータが違法または権限のないユーザーによってアクセスされたことが検出された場合に、Microsoft からの連絡先として使用されます。 インシデント対応のニーズに基づいて、さまざまな Azure サービスでインシデント アラートと通知をカスタマイズするオプションもあります。

Azure の実装と追加のコンテキスト:


AWS ガイダンス: AWS Systems Manager Incident Manager (AWS のインシデント管理センター) でセキュリティ インシデントの連絡先情報を設定します。 この連絡先情報は、さまざまなチャネル (Email、SMS、音声など) を介したユーザーと AWS 間のインシデント管理通信に使用されます。 連絡先のエンゲージメント計画とエスカレーション計画を定義して、インシデント マネージャーが連絡先と対話する方法とタイミングを説明し、連絡先がインシデントに応答しない場合はエスカレートできます。

AWS の実装と追加のコンテキスト:


GCP ガイダンス: Security Command Center または Chronicle を使用して、特定の連絡先のセキュリティ インシデント通知を設定します。 Google Cloud サービスとサードパーティ API を使用して、セキュリティ コマンド センターのセキュリティ結果を通知するリアルタイムのメールとチャット通知を提供するか、プレイブックを使用して Chronicle で通知を送信するアクションをトリガーします。

GCP の実装と追加のコンテキスト:


顧客のセキュリティ利害関係者 (詳細情報):

IR-3: 検出と分析 – 高品質のアラートに基づいてインシデントを作成する

CIS Controls v8 ID NNIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
17.9 IR-4、IR-5、IR-7 10.8

セキュリティ原則: 高品質のアラートを作成し、アラートの品質を測定するプロセスがあることを確認します。 これにより、過去のインシデントから教訓を学び、アナリストに対するアラートに優先順位を付けることができるので、擬陽性に時間を無駄にすることがありません。

高品質のアラートは、過去のインシデントからの経験、検証されたコミュニティ ソース、およびさまざまなシグナル ソースの融合と関連付けによってアラートを生成してクリーンアップするように設計されたツールに基づいて構築できます。


Azure ガイダンス: Microsoft Defender for Cloud では、多くの Azure 資産にわたって高品質のアラートが提供されます。 Microsoft Defender for Cloud データ コネクタを使用してアラートを Microsoft Sentinel にストリーミングできます。 Microsoft Sentinel を使用すると、高度なアラート ルールを作成し、調査のためにインシデントを自動的に生成できます。

クスポート機能を使用して Microsoft Defender for Cloud のアラートと推奨事項をエクスポートし、Azure リソースに対するリスクの特定を支援します。 アラートと推奨事項を手動で、または継続した連続的な方法でエクスポートします。

Azure の実装と追加のコンテキスト:


AWS ガイダンス: SecurityHub や GuardDuty などのセキュリティ ツールを使用して、Amazon CloudWatch または Amazon EventBridge にアラートを送信し、定義された条件とルール セットに基づいてインシデントをインシデント マネージャーで自動的に作成できるようにします。 インシデントマネージャーでインシデントを手動で作成して、インシデントの処理と追跡をさらに進めることもできます。

Microsoft Defender for Cloud を使用して AWS アカウントを監視する場合は、Microsoft Sentinel を使用して、Microsoft Defender for Cloud on AWS リソースによって識別されたインシデントを監視してアラートを生成することもできます。

AWS の実装と追加のコンテキスト:


GCP ガイダンス: Google Cloud とサードパーティのサービスを統合して、セキュリティ コマンド センターまたはクロニクルにログとアラートを送信し、定義された条件に基づいてインシデントを自動的に作成できるようにします。 さらにインシデントの処理と追跡を行うには、Security Command Center または Chronicle のルールでインシデントの結果を手動で作成および編集することもできます。

Microsoft Defender for Cloud を使用して GCP プロジェクトを監視する場合は、Microsoft Sentinel を使用して、Microsoft Defender for Cloud on GCP リソースによって識別されたインシデントを監視してアラートを生成したり、GCP ログを Microsoft Sentinel に直接ストリーミングしたりすることもできます。

GCP の実装と追加のコンテキスト:


顧客のセキュリティ利害関係者 (詳細情報):

IR-4: 検出と分析 – インシデントを調査する

CIS Controls v8 ID NNIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
なし IR-4 12.10

セキュリティ原則: セキュリティ運用チームが、潜在的なインシデントを調査する際に、さまざまなデータ ソースに対してクエリを実行して使用し、何が起こったかを完全に確認できるようにします。 キル チェーン全体で潜在的な攻撃者のアクティビティを追跡して死角を回避するには、さまざまなログを収集する必要があります。 また、他のアナリストのため、および将来において履歴が参照される場合のために、確実に分析情報と学習がキャプチャされているようにします。

セキュリティ ログとアラート情報を集約するための既存のソリューションが組織にない場合は、クラウド ネイティブの SIEM およびインシデント管理ソリューションを使います。 さまざまなソースから供給されたデータに基づいてインシデント データを関連付け、インシデントの調査を促進します。


Azure ガイダンス: セキュリティ運用チームが、スコープ内のサービスとシステムから収集された多様なデータ ソースに対してクエリを実行して使用できることを確認します。 さらに、ソースには次のものも含まれます。

  • ID とアクセス ログ データ: AZURE AD ログとワークロード (オペレーティング システムやアプリケーション レベルなど) のアクセス ログを使用して、ID イベントとアクセス イベントを関連付けます。
  • ネットワーク データ: ネットワーク セキュリティ グループのフロー ログ、Azure Network Watcher、Azure Monitor を使用して、ネットワーク フロー ログやその他の分析情報をキャプチャします。
  • 影響を受けるシステムのスナップショットからの のインシデント関連のアクティビティ データは、次の方法で取得できます。
    • 実行中のシステムのディスクのスナップショットを作成するための Azure 仮想マシンのスナップショット機能。
    • オペレーティング システムのネイティブ メモリ ダンプ機能。実行中のシステムのメモリのスナップショットを作成します。
    • 実行中のシステムのスナップショットを作成するための、サポートされている他の Azure サービスまたはソフトウェア独自の機能のスナップショット機能。

Microsoft Sentinel により、事実上すべてのログソースに対して広範な Data Analytics と、インシデントのライフサイクル全体を管理するためのケース管理ポータルが提供されます。 調査中のインテリジェンス情報を、追跡とレポートのためにインシデントに関連付けることができます。

注: 調査のためにインシデント関連のデータをキャプチャする場合は、実行中のデータ侵害アクティビティ中に攻撃者が実行できるログの無効化やログの削除など、未承認の変更からデータを保護するための適切なセキュリティが確保されていることを確認します。

Azure の実装と追加のコンテキスト:


AWS ガイダンス: 調査用のデータ ソースは、スコープ内のサービスと実行中のシステムから収集される一元化されたログ ソースですが、次を含めることもできます。

  • ID とアクセス ログ データ: IAM ログとワークロード (オペレーティング システムやアプリケーション レベルなど) のアクセス ログを使用して、ID とアクセス イベントを関連付けます。
  • ネットワーク データ: VPC フロー ログ、VPC トラフィック ミラー、Azure CloudTrail と CloudWatch を使用して、ネットワーク フロー ログやその他の分析情報をキャプチャします。
  • 実行中のシステムのスナップショット。次の方法で取得できます。
    • 実行中のシステムのディスクのスナップショットを作成するための Amazon EC2 (EBS) のスナップショット機能。
    • オペレーティング システムのネイティブ メモリ ダンプ機能。実行中のシステムのメモリのスナップショットを作成します。
    • 実行中のシステムのスナップショットを作成するための AWS サービスまたはソフトウェア独自の機能のスナップショット機能。

SIEM 関連データを Microsoft Sentinel に集計すると、事実上すべてのログ ソースとケース管理ポータルにわたって広範なデータ分析が提供され、インシデントの完全なライフサイクルを管理できます。 調査中のインテリジェンス情報を、追跡とレポートのためにインシデントに関連付けることができます。

注: 調査のためにインシデント関連のデータをキャプチャする場合は、実行中のデータ侵害アクティビティ中に攻撃者が実行できるログの無効化やログの削除など、未承認の変更からデータを保護するための適切なセキュリティが確保されていることを確認します。

AWS の実装と追加のコンテキスト:


GCP ガイダンス: 調査用のデータ ソースは、スコープ内のサービスと実行中のシステムから収集される一元化されたログ ソースですが、以下も含めることができます。

  • ID とアクセス ログ データ: IAM ログとワークロード (オペレーティング システムやアプリケーション レベルなど) のアクセス ログを使用して、ID とアクセス イベントを関連付けます。
  • ネットワーク データ: VPC フロー ログと VPC サービス コントロールを使用して、ネットワーク フロー ログやその他の分析情報をキャプチャします。
  • 実行中のシステムのスナップショット。次の方法で取得できます。
    1. 実行中のシステムのディスクのスナップショットを作成するための GCP VM のスナップショット機能。
    2. オペレーティング システムのネイティブ メモリ ダンプ機能。実行中のシステムのメモリのスナップショットを作成します。
    3. 実行中のシステムのスナップショットを作成するための、GCP サービスまたはソフトウェア独自の機能のスナップショット機能。

SIEM 関連データを Microsoft Sentinel に集計すると、事実上すべてのログ ソースとケース管理ポータルにわたって広範なデータ分析が提供され、インシデントの完全なライフサイクルを管理できます。 調査中のインテリジェンス情報を、追跡とレポートのためにインシデントに関連付けることができます。

注: 調査のためにインシデント関連のデータをキャプチャする場合は、実行中のデータ侵害アクティビティ中に攻撃者が実行できるログの無効化やログの削除など、未承認の変更からデータを保護するための適切なセキュリティが確保されていることを確認します。

GCP の実装と追加のコンテキスト:


顧客のセキュリティ利害関係者 (詳細情報):

IR-5: 検出と分析 – インシデントの優先順位を付ける

CIS Controls v8 ID NNIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
17.4、17.9 IR-4 12.10

セキュリティ原則: セキュリティ運用チームにコンテキストを提供して、organizationのインシデント対応計画で定義されているアラートの重大度と資産の機密性に基づいて、最初に焦点を当てる必要があるインシデントを特定できるようにします。

さらに、タグを使用してリソースをマークし、クラウド リソース (特に、機密データを処理するもの) を識別して分類するための命名システムを作成します。 インシデントが発生したリソースと環境の重要度に基づいて、アラートの修復に優先順位を付けることは、お客様の責任です。


Azure ガイダンス: Microsoft Defender for Cloud では、各アラートに重大度が割り当てられ、最初に調査する必要があるアラートの優先順位付けに役立ちます。 重要度は、アラートの発行に使用された検出内容または分析に対する Microsoft Defender for Cloud の信頼度と、アラートの原因となったアクティビティの背後に悪意のある意図があったかどうかの信頼レベルに基づいて決まります。

同様に、Microsoft Sentinel では、分析ルールに基づいて重大度とその他の詳細が割り当てられたアラートとインシデントが作成されます。 分析ルール テンプレートを使用し、インシデントの優先順位付けをサポートするために必要なorganizationに応じてルールをカスタマイズします。 Microsoft Sentinel の自動化ルールを使用して脅威の対応を管理および調整し、セキュリティ運用のチームの効率と有効性を最大化します。これには、インシデントを分類するためのタグ付けも含まれます。

Azure の実装と追加のコンテキスト:


AWS ガイダンス: インシデント マネージャーで作成されたインシデントごとに、インシデントの重大度の尺度や影響を受ける資産の重要度レベルなど、organizationの定義された基準に基づいて影響レベルを割り当てます。

AWS の実装と追加のコンテキスト:


* GCP ガイダンス: Security Command Center で作成されたインシデントごとに、システムによって割り当てられた重大度評価と、organizationによって定義されたその他の条件に基づいてアラートの優先順位を決定します。 影響を受ける資産のインシデントと重要度レベルの重大度を測定して、最初に調査する必要があるアラートを決定します。

クロニカルでも同様に、インシデント対応の優先順位を決定するためのカスタム ルールを定義できます。 GCP の実装と追加のコンテキスト:


顧客のセキュリティ利害関係者 (詳細情報):

IR-6: 包含、根絶、復旧 – インシデントの処理を自動化する

CIS Controls v8 ID NNIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
なし IR-4、IR-5、IR-6 12.10

セキュリティ原則: 手動の繰り返しタスクを自動化して応答時間を短縮し、アナリストの負担を軽減します。 手動タスクの実行には時間がかかり、各インシデントの速度が低下し、アナリストが処理できるインシデントの数が減少します。 手動タスクではアナリストの疲労も増加します。これにより、遅延が発生する人的エラーのリスクが増加し、複雑なタスクに効果的に焦点を当てるアナリストの能力が低下します。


Azure ガイダンス: Microsoft Defender for Cloud と Microsoft Sentinel のワークフロー自動化機能を使用して、アクションを自動的にトリガーするか、プレイブックを実行して受信セキュリティ アラートに応答します。 プレイブックは、通知の送信、アカウントの無効化、問題のあるネットワークの分離などのアクションを実行します。

Azure の実装と追加のコンテキスト:


AWS ガイダンス: Microsoft Sentinel を使用してインシデントを一元管理する場合は、自動アクションを作成したり、プレイブックを実行して受信セキュリティ アラートに応答したりすることもできます。

または、AWS System Manager の自動化機能を使用して、連絡先への通知や、アラートに応答する Runbook の実行 (アカウントの無効化、問題のあるネットワークの分離など) など、インシデント対応計画で定義されたアクションを自動的にトリガーします。

AWS の実装と追加のコンテキスト:


GCP ガイダンス: Microsoft Sentinel を使用してインシデントを一元管理する場合は、自動アクションを作成したり、プレイブックを実行して受信セキュリティ アラートに応答したりすることもできます。

または、Chronicle のプレイブックの自動化を使用して、連絡先への通知やプレイブックの実行を含むインシデント対応計画で定義されたアクションを自動的にトリガーしてアラートに応答します。

GCP の実装と追加のコンテキスト:


顧客のセキュリティ利害関係者 (詳細情報):

IR-7: インシデント後のアクティビティ - 学習した教訓を実施し、証拠を保持する

CIS Controls v8 ID NNIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
17.8 IR-4 12.10

セキュリティ原則: インシデント対応と処理における将来の機能を向上させるために、organizationで定期的に、または大規模なインシデントの後に学習した教訓を実施します。

インシデントの特性に基づいて、インシデント処理標準で定義されている期間にインシデントに関連する証拠を保持し、さらなる分析や法的措置に使用します。


Azure ガイダンス: 学習したアクティビティの結果を使用して、インシデント対応計画、プレイブック (Microsoft Sentinel プレイブックなど) を更新し、結果を環境に再統合して (ログ記録のギャップに対処するためのログ記録や脅威検出など)、Azure でのインシデントの検出、対応、処理の将来の機能を向上させます。

システム ログ、ネットワーク トラフィック ダンプ、不変の保持のために Azure Storage アカウントなどのストレージでシステム スナップショットを実行するなど、"検出と分析 - インシデントの調査ステップ" の間に収集された証拠を保持します。

Azure の実装と追加のコンテキスト:


AWS ガイダンス: 標準のインシデント分析テンプレートまたは独自のカスタム テンプレートを使用して、インシデント マネージャーで終了したインシデントのインシデント分析を作成します。 学習したアクティビティの結果を使用して、インシデント対応計画、プレイブック (AWS Systems Manager Runbook や Microsoft Sentinel プレイブックなど) を更新し、結果を環境に組み込み (ログ記録や脅威検出など)、ログ記録のギャップに対処します。

システム ログ、ネットワーク トラフィック ダンプ、実行中のシステム スナップショット (Amazon S3 バケットや Azure Storage アカウントなど) などの "検出と分析 - インシデントの調査ステップ" の間に収集された証拠を保持し、不変のリテンション期間を確保します。

AWS の実装と追加のコンテキスト:


GCP ガイダンス: 学習したアクティビティの結果を使用して、インシデント対応計画、プレイブック (クロニクルや Microsoft Sentinel プレイブックなど) を更新し、結果を環境に再統合し (ログ記録や脅威検出など)、GCP でのインシデントの検出、対応、処理の将来の機能を向上させます。

システム ログ、ネットワーク トラフィック ダンプ、不変の保持のために、Google Cloud Storage や Azure Storage アカウントなどのストレージでシステム スナップショットを実行するなど、"検出と分析 - インシデントの調査ステップ" の間に収集された証拠を保持します。

GCP の実装と追加のコンテキスト:


顧客のセキュリティ利害関係者 (詳細情報):