This is the Trace Id: ff9620e931a49608b74cdcb1ec827221
メイン コンテンツへスキップ Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel すべての製品を表示 AI 搭載のサイバーセキュリティ クラウド セキュリティ データ セキュリティとガバナンス ID とネットワーク アクセス プライバシーとリスク管理 AI 対応のセキュリティ 中小規模企業 統合セキュリティ オペレーション ゼロ トラスト 価格 サービス パートナー Microsoft Security が選ばれる理由 サイバーセキュリティ意識向上 お客様導入事例 セキュリティ 101 製品試用版 業界での評価 Microsoft Security Insider Microsoft Digital Defense Report Security Response Center Microsoft Security のブログ Microsoft Security のイベント Microsoft Tech Community ドキュメント 技術コンテンツ ライブラリ トレーニングと認定 Compliance Program for Microsoft Cloud Microsoft トラスト センター Service Trust Portal Microsoft セキュア フューチャー イニシアティブ ビジネス ソリューション ハブ 営業に問い合わせる 無料試用を開始する Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft AI Azure Space Mixed Reality Microsoft HoloLens Microsoft Viva 量子コンピューティング 教育機関 自動車 金融サービス 行政機関 医療 製造業 小売業 パートナーを探す パートナーになる パートナー ネットワーク Microsoft Marketplace Marketplace Rewards ソフトウェア会社 ブログ Microsoft Advertising デベロッパー センター ドキュメント イベント ライセンス Microsoft Learn Microsoft Research サイトマップの表示
オフィスの廊下で、タブレットを持ち、仕事について話し合っている 2 人の専門家。

脅威検出と応答 (TDR) とは?

脅威検出と応答を使用してサイバーセキュリティのリスクを事前に特定して軽減することで、組織の資産を保護する方法について説明します。

脅威検出と応答 (TDR) 定義済み

脅威の検出と応答は、組織のデジタル資産に対するサイバー攻撃を特定し、可能な限り迅速に軽減するための手順を実行するためのサイバーセキュリティ プロセスです。

脅威検出と応答 (TDR) の動作のしくみは?

サイバー攻撃やその他のセキュリティの問題に対処するために、多くの組織は セキュリティ オペレーション センター (SOC) を設定しています。これは、組織のサイバーセキュリティ体制の改善と脅威の防止、検出、応答を担当する一元的な機能またはチームです。SOC は、進行中のサイバー攻撃の監視と応答に加えて、新たなサイバー攻撃や組織の脆弱性を特定するための積極的な取り組みも行っています。ほとんどの SOC チームは、オンサイトまたはアウトソーシングの可能性があり、週に 365 日 24 時間稼働しています。

SOC は、脅威インテリジェンス、テクノロジを使用して、試行された侵害、成功した侵害、または進行中の侵害を明らかにします。サイバー攻撃が特定されると、セキュリティ チームは脅威の検出と応答ツールを使用して問題を排除または軽減します。

脅威の検出と応答には、通常、次のステージが含まれます:
 
  • 検出。エンドポイント、ID、ネットワーク、アプリ、クラウドを監視するセキュリティ ツールは、リスクや潜在的な侵害を表面化させるのに役立ちます。セキュリティの専門家は、サイバー攻撃の追求手法を使用して、検出を回避する高度なサイバー攻撃を明らかにします。
  • 調査。リスクが特定されると、SOC は AI やその他のツールを使用してサイバー攻撃が現実であることを確認し、それがどのように起こったかを判断し、どの会社の資産が影響を受けるかを評価します。
  • 封じ込め。サイバー攻撃の拡散を阻止するために、サイバーセキュリティ チームと自動化されたツールは、感染したデバイス、ID、ネットワークを組織の残りの資産から分離します。
  • 根絶。チームは、悪質なアクターを環境から完全に削除することを目的として、セキュリティ インシデントの根本原因を排除します。また、組織が同様のサイバー攻撃のリスクにさらされる可能性がある脆弱性も軽減されます。
  • 回復。チームがサイバー攻撃や脆弱性が削除されたことを合理的に確信した後、分離されたシステムをオンラインに戻します。
  • レポート。 インシデントの重大度に応じて、セキュリティ チームは、何が起こったか、どのように解決されたかについて、リーダー、役員、または委員会の概要を文書化します。
  • リスク軽減。 同様の違反が再び発生するのを防ぎ、今後の応答を改善するために、チームはインシデントを調査し、環境とプロセスに加える変更を特定します。

脅威検出とは?

組織がクラウド フットプリントを拡大し、より多くのデバイスをインターネットに接続し、ハイブリッド ワークプレイスに移行するにつれて、サイバー攻撃の特定はますます困難になっています。悪質なアクターは、次の種類の戦術を使用して、この拡張された表面領域とセキュリティ ツールの断片化を利用します:
 
  • フィッシングの攻撃活動。悪意のあるアクターが会社に侵入する最も一般的な方法の 1 つは、従業員に悪意のあるコードのダウンロードや資格情報の提供を誘導するメールを送信することです。
  • マルウェア。多くのサイバー攻撃者は、コンピューターやシステムに損害を与えたり、機密情報を収集したりするように設計されたソフトウェアを展開します。
  • ランサムウェア。マルウェアの一種であるランサムウェアの攻撃者は、重要なシステムやデータを人質に取り、身代金を支払うまで非公開データを公開したり、クラウドのリソースを盗んでビットコインをマイニングしたりすると脅迫します。最近、サイバー攻撃のグループが組織のネットワーク全体にアクセスする人間が運用するランサムウェアは、セキュリティ チームにとってますます問題になっています。
  • 分散型サービス拒否 (DDoS) 攻撃。一連のボットを使用すると、悪意のあるアクターはトラフィックでいっぱいにすることで Web サイトやサービスを中断します。
  • 内部関係者による脅威。すべてのサイバー攻撃が組織の外部由来ではありません。また、機密データにアクセスできる信頼できるユーザーが誤って、または悪意を持って組織に損害を与えるリスクもあります。
  • ID ベースの攻撃。ほとんどの侵害には、侵害された ID が含まれます。これは、サイバー攻撃者がユーザーの資格情報を盗んだり推測したりして、それらを使用して組織のシステムとデータにアクセスするようなケースです。
  • モノのインターネット (IoT) 攻撃。IoT デバイスはサイバー攻撃に対しても脆弱です。特に、最新のデバイスが行う組み込みのセキュリティ 制御がないレガシ デバイスです。
  • サプライ チェーン攻撃。サードパーティ ベンダーが提供するソフトウェアやハードウェアを改ざんして、悪質なアクターが組織を標的にすることがあります。
  • コードの挿入。ソース コードが外部データを処理する方法の脆弱性を悪用することにより、サイバー犯罪は悪意のあるコードをアプリケーションに挿入します。
脅威の検出
サイバー セキュリティ攻撃の増加を先取りするために、組織は脅威モデリングを使用してセキュリティ要件を定義し、脆弱性とリスクを特定し、修復に優先順位を付けます。SOC は、仮想的なシナリオを使用して、サイバー犯罪者の心の中に入り込み、セキュリティ・インシデントを防止または軽減する組織の能力を向上させようとします。MITRE ATT&CK® フレームワークは、一般的なサイバー攻撃の手法と戦術を理解するのに役立つモデルです。

多層防御には、環境の継続的なリアルタイム監視を提供し、潜在的なセキュリティの問題を表面化させるツールが必要です。また、解決策は重複している必要があり、1 つの検知方法が侵害された場合、2 つ目の検知方法が問題を検知し、セキュリティ チームに通知します。サイバー攻撃検出ソリューションでは、次のようなさまざまな方法を使用して脅威を特定します:
 
  • シグネチャベースの検出。多くのセキュリティ ソリューションでは、ソフトウェアとトラフィックをスキャンして、特定の種類のマルウェアに関連付けられている一意のシグネチャを識別します。
  • ビヘイビアーベースの検出。新しいサイバー攻撃や新しいサイバー攻撃をキャッチするために、セキュリティ ソリューションはサイバー攻撃で一般的なアクションと行動も探します。
  • 異常ベースの検出。 AI と分析は、ユーザー、デバイス、ソフトウェアの一般的な動作をチームが理解するのに役立ち、サイバー攻撃を示す可能性のある異常なものを識別できるようにします。
ソフトウェアは重要ですが、サイバー攻撃検出でも同様に重要な役割を果たします。アナリストは、システム生成のアラートのトリアージと調査に加えて、サイバー攻撃ハンティング手法を使用して、侵害の兆候を積極的に検索したり、潜在的な脅威を示唆する戦術、手法、手順を探したりします。これらのアプローチは、SOC が高度で検出が困難な攻撃を迅速に発見して停止するのに役立ちます

脅威への応答とは?

信頼できるサイバー攻撃が特定された後、脅威応答には、SOC がそれを含めて排除し、回復し、同様の攻撃が再び発生する可能性を減らすために実行するアクションが含まれます。多くの企業は、インシデント応答を開発、組織化され、迅速に移行する際に潜在的な侵害が発生した場合にその応答を支援することを計画することが重要です。適切なインシデント応答計画には、特定の種類の脅威、役割と責任、コミュニケーション計画に関するステップ バイ ステップガイダンスを含むプレイブックが含まれています。

TDR のコンポーネント、利点、ベスト プラクティス

組織は、さまざまなツールとプロセスを使用して、脅威を検出して応答します。効果的な脅威の検出と応答により、回復性が向上し、侵害が最小限に抑えられます。また、チームが共同作業を行い、サイバー攻撃の頻度とコストを削減するのに役立つプラクティスが育まれます。

拡張検出と応答

拡張検出および応答 (XDR) 製品は、SOC がサイバー攻撃の防止、検出、o応答のライフサイクル全体を簡素化するのに役立ちます。これらのソリューションは、エンドポイント、クラウド アプリ、メール、ID を監視します。XDR ソリューションは、サイバー攻撃を検出した場合、セキュリティ チームにアラートを送信し、SOC が定義する条件に基づいて特定のインシデントに自動的に応答します。

ID 脅威検出と応答

悪質なアクターは従業員をターゲットにすることが多いため、組織の ID に対する脅威を特定して応答するためのツールとプロセスを配置することが重要です。これらのソリューションでは、通常、ユーザーとエンティティの動作分析 (UEBA) を使用してベースライン ユーザーの動作を定義し、潜在的な脅威を表す異常を明らかにします。

セキュリティ情報イベント管理

デジタル環境全体を可視化することは、脅威の状況を理解するためのステップ 1 です。ほとんどの SOC チームは、エンドポイント、クラウド、電子メール、アプリ、ID 間でデータを集計および関連付ける、セキュリティ情報イベント管理 (SIEM) ソリューションを使用します。これらのソリューションでは、検出ルールとプレイブックを使用して、ログとアラートを関連付けることで潜在的なサイバー攻撃を表面化させます。最新の SIEM は、AI を使用してサイバー攻撃をより効果的に発見し、外部の脅威インテリジェンス フィードを組み込んで、新しいサイバー攻撃や新たなサイバー攻撃を特定できるようにします。

脅威インテリジェンス

サイバー攻撃の全体像を把握するために、SOC では、エンドポイント、メール、クラウド アプリ、外部脅威インテリジェンス ソースなど、さまざまなソースからのデータを合成して分析するツールを使用します。このデータからの分析情報は、セキュリティ チームがサイバー攻撃に備え、アクティブなサイバー攻撃を検出し、進行中のセキュリティ インシデントを調査し、効果的に対応するのに役立ちます。

エンドポイントでの検出と対応

エンドポイントでの検出と対応 (EDR) ソリューションは、コンピューター、サーバー、モバイル デバイス、IoT などのエンドポイントのみに焦点を当てた、以前のバージョンの XDR ソリューションです。XDR ソリューションと同様に、潜在的な攻撃が検出されると、これらのソリューションはアラートを生成し、特定のよく理解された攻撃に対して自動的に対応します。EDR ソリューションはエンドポイントにのみ焦点を当てているため、ほとんどの組織は XDR ソリューションに移行しています。

脆弱性の管理

脆弱性管理は、コンピューター システム、ネットワーク、エンタープライズ アプリケーションのセキュリティ上の弱点を監視する、継続的かつ予防的で、多くの場合自動化されたプロセスです。脆弱性管理ソリューションは、重大度とリスク レベルの脆弱性を評価し、SOC が問題を修復するために使用するレポートを提供します。

セキュリティ オーケストレーション自動対応

セキュリティのオーケストレーション、自動化、対応 (SOAR) ソリューションは、内部および外部のデータとツールを 1 つの一元化された場所にまとめ、サイバー攻撃の検出と対応を簡素化するのに役立ちます。また、一連の定義済みルールに基づいてサイバー攻撃の対応を自動化します。

マネージド検出と応答

すべての組織に、サイバー攻撃を効果的に検出して対応するためのリソースがあるわけではありません。 マネージド検出と応答 - マネージド検出と応答 (MDR) の詳細とサイバー脅威から組織を保護する方法についてご確認ください。マネージド検出と応答サービスを使用すると、これらの組織は、脅威を探して適切に対応するために必要なツールやユーザーを使用してセキュリティ チームを強化できます。
タブに戻る

ID 脅威検出と応答ソリューション

脅威の検出と応答は、すべての組織が損害を引き起こす前にサイバー攻撃を見つけて対処するのに役立つ重要な機能です。Microsoft Security には、セキュリティ チームがサイバー脅威の監視、検出、対応に役立ついくつかの脅威に対する保護ソリューションが用意されています。リソースが限られている組織の場合、Microsoft Defender エキスパートは既存のスタッフとツールを強化するためのマネージド サービスを提供します。
よくあるご質問

よく寄せられる質問

  • 高度な脅威検出には、セキュリティ担当者が高度な永続的な脅威を発見するために使用する手法とツールが含まれています。これは、長期間検出されないよう設計された高度な脅威です。これらの脅威は、多くの場合、より深刻であり、偽装やデータの盗難などがあります。
  • 脅威検出の主な方法は、SIEM や XDR などのセキュリティ ソリューションであり、環境全体のアクティビティを分析して、侵害の兆候や想定外の動作を検出します。これらのツールを使用して、潜在的な脅威のトリアージと対応を行います。また、XDR と SIEM を使用して、検出を回避する可能性のある高度な攻撃者を追求します。
  • 脅威検出は、デバイス、ソフトウェア、ネットワーク、または ID が侵害されたことを示す可能性のあるアクティビティなど、潜在的なセキュリティ リスクを明らかにするプロセスです。インシデント応答には、サイバー攻撃を封じ込め、排除するためにセキュリティ チームと自動化されたツールが実行する手順が含まれます。
  • 脅威の検出と応答プロセスには、次のものが含まれます:
     
    • 検出。エンドポイント、ID、ネットワーク、アプリ、クラウドを監視するセキュリティ ツールは、リスクや潜在的な侵害を表面化させるのに役立ちます。セキュリティの専門家は、サイバー攻撃追求手法を使用して、新たなサイバー攻撃を発見しようとします。
    • 調査。リスクが特定されると、AI やその他のツールを使用して、サイバー攻撃が実際であることを確認し、それがどのように起こったかを判断し、影響を受ける会社の資産を評価します。
    • 封じ込め。 サイバー攻撃の拡散を阻止するために、サイバーセキュリティ チームは、感染したデバイス、ID、ネットワークを組織の残りの資産から分離します。
    • 根絶。チームは、敵対者を環境から完全に排除し、組織が同様のサイバー攻撃の危険にさらされる可能性がある脆弱性を軽減することを目的として、セキュリティ インシデントの根本原因を排除します。
    • 回復。 チームがサイバー攻撃や脆弱性が削除されたことを合理的に確信した後、分離されたシステムをオンラインに戻します。
    • レポート。インシデントの重大度に応じて、セキュリティ チームは、何が起こったか、どのように解決されたかについて、リーダー、役員、または委員会の概要を文書化します。
    • リスク軽減。同様の違反が再び発生するのを防ぎ、今後の応答を改善するために、チームはインシデントを調査し、環境とプロセスに加える変更を特定します。
  • TDR とは、脅威の検出と応答 (threat detectiona nd response) のことです。これは、組織に対するサイバーセキュリティの脅威を特定し、実際の損害を与える前にそれらの脅威を軽減するための手順を実行するプロセスです。EDR とはエンドポイントの検出と対応 (endpoint detection and response) のことです。これは、潜在的なサイバー攻撃について組織’のエンドポイントを監視し、それらのサイバー脅威をセキュリティ チームに表示し、特定の種類のサイバー攻撃に自動的に対応するソフトウェア製品のカテゴリです。

Microsoft Security をフォロー

日本語 (日本) コンシューマーの正常性のプライバシー Microsoft に問い合わせ プライバシー 特定商取引法に基づく表示 Cookie の管理 使用条件 商標 広告について