注
最も up-to最新の Azure セキュリティ ベンチマークは 、ここで入手できます。
インシデント対応は、インシデント対応ライフサイクルの制御 (準備、検出と分析、封じ込め、インシデント後のアクティビティ) を対象としています。 これには、Azure Security Center や Sentinel などの Azure サービスを使用してインシデント対応プロセスを自動化することが含まれます。
該当する組み込みの Azure Policy を確認するには、「Azure セキュリティ ベンチマーク規制コンプライアンスの組み込みイニシアチブ: インシデント対応の詳細」を参照してください。
IR-1: 準備 – Azure のインシデント対応プロセスを更新する
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| IR-1 | 19 | IR-4、IR-8 |
組織がセキュリティ インシデントに対応するプロセスを持ち、Azure のこれらのプロセスを更新し、準備を確実にするために定期的に実行していることを確認します。
責任: お客様
顧客のセキュリティ利害関係者 (詳細情報):
IR-2: 準備 – インシデント通知の設定
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| IR-2 | 19.5 | IR-4、IR-5、IR-6、IR-8 |
Azure Security Center でセキュリティ インシデントの連絡先情報を設定します。 この連絡先情報は、お客様のデータが違法または未承認の当事者によってアクセスされたことが Microsoft Security Response Center (MSRC) によって検出された場合に、お客様に連絡するために Microsoft によって使用されます。 また、インシデント対応のニーズに基づいて、さまざまな Azure サービスでインシデント アラートと通知をカスタマイズするオプションもあります。
責任: お客様
顧客のセキュリティ利害関係者 (詳細情報):
IR-3: 検出と分析 - 高品質のアラートに基づいてインシデントを作成する
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| IR-3 | 19.6 | IR-4、IR-5 |
高品質のアラートを作成し、アラートの品質を測定するプロセスがあることを確認します。 これにより、過去のインシデントから教訓を学び、アナリストに対するアラートに優先順位を付けることができるので、擬陽性に時間を無駄にすることがありません。
高品質のアラートは、過去のインシデント、検証済みのコミュニティ ソース、さまざまなシグナル ソースを融合および関連付けることでアラートを生成およびクリーンアップするように設計されたツールに基づいて構築できます。
Azure Security Center は、多くの Azure 資産にわたって高品質のアラートを提供します。 ASC データ コネクタを使用して、アラートを Azure Sentinel にストリーミングできます。 Azure Sentinel では、調査のためにインシデントを自動的に生成する高度なアラート ルールを作成できます。
エクスポート機能を使用して Azure Security Center のアラートと推奨事項をエクスポートし、Azure リソースに対するリスクを特定します。 アラートと推奨事項を手動でエクスポートするか、または継続的にエクスポートします。
責任: お客様
顧客のセキュリティ利害関係者 (詳細情報):
IR-4: 検出と分析 - インシデントの調査
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| IR-4 | 19 | IR-4 |
アナリストが潜在的なインシデントを調査するときに、さまざまなデータ ソースに対してクエリを実行して使用し、何が起こったかを完全に確認できるようにします。 死角を避けるために、キル チェーン全体の潜在的な攻撃者のアクティビティを追跡するために、多様なログを収集する必要があります。 また、他のアナリストや将来の履歴参照のために、分析情報と学習が確実にキャプチャされるようにする必要があります。
調査対象のデータ ソースには、スコープ内のサービスと実行中のシステムから既に収集されている一元的なログ ソースが含まれますが、以下を含めることもできます。
ネットワーク データ – ネットワーク セキュリティ グループのフロー ログ、Azure Network Watcher、Azure Monitor を使用して、ネットワーク フロー ログやその他の分析情報をキャプチャします。
実行中のシステムのスナップショット:
Azure 仮想マシンのスナップショット機能を使用して、実行中のシステムのディスクのスナップショットを作成します。
オペレーティング システムのネイティブ メモリ ダンプ機能を使用して、実行中のシステムのメモリのスナップショットを作成します。
Azure サービスのスナップショット機能またはソフトウェア独自の機能を使用して、実行中のシステムのスナップショットを作成します。
Azure Sentinel は、事実上すべてのログ ソースとケース管理ポータル全体で広範なデータ分析を提供し、インシデントの完全なライフサイクルを管理します。 調査中のインテリジェンス情報は、追跡とレポートの目的でインシデントに関連付けることができます。
責任: お客様
顧客のセキュリティ利害関係者 (詳細情報):
IR-5: 検出と分析 - インシデントに優先順位を付ける
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| IR-5 | 19.8 | CA-2、IR-4 |
アラートの重大度と資産の機密性に基づいて、最初に注目すべきインシデントのコンテキストをアナリストに提供します。
Azure Security Center では、各アラートに重大度が割り当てられ、最初に調査する必要があるアラートの優先順位付けに役立ちます。 重大度は、アラートの発行に使用される Security Center の信頼性や分析、およびアラートの原因となったアクティビティの背後に悪意のある意図があったという信頼レベルに基づいています。
さらに、タグを使用してリソースをマークし、名前付けシステムを作成して、Azure リソース (特に機密データを処理するリソース) を識別して分類します。 インシデントが発生した Azure リソースと環境の重要度に基づいて、アラートの修復に優先順位を付ける必要があります。
責任: お客様
顧客のセキュリティ利害関係者 (詳細情報):
IR-6: 封じ込め、根絶、復旧 - インシデント処理を自動化する
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| IR-6 | 19 | IR-4、IR-5、IR-6 |
手動の繰り返しタスクを自動化して応答時間を短縮し、アナリストの負担を軽減します。 手動タスクの実行には時間がかかり、各インシデントが遅くなり、アナリストが処理できるインシデントの数が減ります。 また、手動タスクはアナリストの疲労を高め、遅延を引き起こす人為的ミスのリスクを高め、アナリストが複雑なタスクに効果的に集中する能力を低下させます。 Azure Security Center と Azure Sentinel のワークフロー自動化機能を使用して、アクションを自動的にトリガーするか、プレイブックを実行して受信セキュリティ アラートに応答します。 プレイブックは、通知の送信、アカウントの無効化、問題のあるネットワークの分離などのアクションを実行します。
責任: お客様
顧客のセキュリティ利害関係者 (詳細情報):