インシデント応答の定義
インシデント応答を定義する前に、インシデントとは何かを明確にすることが重要です。IT において、同じ意味で使われることもあるが、異なることを意味する 3 つの用語があります:
- イベントとは、ファイルの作成、フォルダーの削除、メールの開封など、頻繁に発生する無害な処理のことです。通常、イベント単体は侵害を示すものではありませんが、他のイベントと組み合わさされると脅威を示唆している可能性があります。
- アラートとは、脅威であるかどうかを問わず、イベントによってトリガーされる通知のことです。
- インシデントとは、人間または自動化ツールが本物の脅威である可能性が高いと判断した、相関性のあるアラートのグループのことです。各アラート単体では重大な脅威のようには見えないかもしれませんが、それらが組み合わされると、侵害の可能性があることを示します。
インシデント応答とは、IT システムやデータが侵害を受けた可能性があると考えられる場合に、組織が行う対応のことです。たとえば、セキュリティ担当者は、不正ユーザー、マルウェア、またはセキュリティ対策の不備の証拠を見つけた場合に対応します。
応答の目標は、サイバー攻撃をできるだけ早く排除し、復旧を行い、地域の法律に従って顧客や政府機関に通知し、今後同様の侵害のリスクを軽減する方法を学ぶことです。
Microsoft Security をフォロー