脅威検出と応答 (TDR) の動作のしくみは? サイバー攻撃やその他のセキュリティの問題に対処するために、多くの組織は セキュリティ オペレーション センター (SOC) を設定しています。これは、組織のサイバーセキュリティ体制の改善と脅威の防止、検出、応答を担当する一元的な機能またはチームです。SOC は、進行中のサイバー攻撃の監視と応答に加えて、新たなサイバー攻撃や組織の脆弱性を特定するための積極的な取り組みも行っています。ほとんどの SOC チームは、オンサイトまたはアウトソーシングの可能性があり、週に 365 日 24 時間稼働しています。 SOC は、脅威インテリジェンス、テクノロジを使用して、試行された侵害、成功した侵害、または進行中の侵害を明らかにします。サイバー攻撃が特定されると、セキュリティ チームは脅威の検出と応答ツールを使用して問題を排除または軽減します。 脅威の検出と応答には、通常、次のステージが含まれます: 検出。エンドポイント、ID、ネットワーク、アプリ、クラウドを監視するセキュリティ ツールは、リスクや潜在的な侵害を表面化させるのに役立ちます。セキュリティの専門家は、サイバー攻撃の追求手法を使用して、検出を回避する高度なサイバー攻撃を明らかにします。調査。リスクが特定されると、SOC は AI やその他のツールを使用してサイバー攻撃が現実であることを確認し、それがどのように起こったかを判断し、どの会社の資産が影響を受けるかを評価します。封じ込め。サイバー攻撃の拡散を阻止するために、サイバーセキュリティ チームと自動化されたツールは、感染したデバイス、ID、ネットワークを組織の残りの資産から分離します。根絶。チームは、悪質なアクターを環境から完全に削除することを目的として、セキュリティ インシデントの根本原因を排除します。また、組織が同様のサイバー攻撃のリスクにさらされる可能性がある脆弱性も軽減されます。回復。チームがサイバー攻撃や脆弱性が削除されたことを合理的に確信した後、分離されたシステムをオンラインに戻します。レポート。 インシデントの重大度に応じて、セキュリティ チームは、何が起こったか、どのように解決されたかについて、リーダー、役員、または委員会の概要を文書化します。リスク軽減。 同様の違反が再び発生するのを防ぎ、今後の応答を改善するために、チームはインシデントを調査し、環境とプロセスに加える変更を特定します。
脅威検出とは? 組織がクラウド フットプリントを拡大し、より多くのデバイスをインターネットに接続し、ハイブリッド ワークプレイスに移行するにつれて、サイバー攻撃の特定はますます困難になっています。悪質なアクターは、次の種類の戦術を使用して、この拡張された表面領域とセキュリティ ツールの断片化を利用します: フィッシングの攻撃活動。悪意のあるアクターが会社に侵入する最も一般的な方法の 1 つは、従業員に悪意のあるコードのダウンロードや資格情報の提供を誘導するメールを送信することです。マルウェア。多くのサイバー攻撃者は、コンピューターやシステムに損害を与えたり、機密情報を収集したりするように設計されたソフトウェアを展開します。ランサムウェア。マルウェアの一種であるランサムウェアの攻撃者は、重要なシステムやデータを人質に取り、身代金を支払うまで非公開データを公開したり、クラウドのリソースを盗んでビットコインをマイニングしたりすると脅迫します。最近、サイバー攻撃のグループが組織のネットワーク全体にアクセスする人間が運用するランサムウェアは、セキュリティ チームにとってますます問題になっています。分散型サービス拒否 (DDoS) 攻撃。一連のボットを使用すると、悪意のあるアクターはトラフィックでいっぱいにすることで Web サイトやサービスを中断します。内部関係者による脅威。すべてのサイバー攻撃が組織の外部由来ではありません。また、機密データにアクセスできる信頼できるユーザーが誤って、または悪意を持って組織に損害を与えるリスクもあります。ID ベースの攻撃。ほとんどの侵害には、侵害された ID が含まれます。これは、サイバー攻撃者がユーザーの資格情報を盗んだり推測したりして、それらを使用して組織のシステムとデータにアクセスするようなケースです。モノのインターネット (IoT) 攻撃。IoT デバイスはサイバー攻撃に対しても脆弱です。特に、最新のデバイスが行う組み込みのセキュリティ 制御がないレガシ デバイスです。サプライ チェーン攻撃。サードパーティ ベンダーが提供するソフトウェアやハードウェアを改ざんして、悪質なアクターが組織を標的にすることがあります。コードの挿入。ソース コードが外部データを処理する方法の脆弱性を悪用することにより、サイバー犯罪は悪意のあるコードをアプリケーションに挿入します。 脅威の検出 サイバー セキュリティ攻撃の増加を先取りするために、組織は脅威モデリングを使用してセキュリティ要件を定義し、脆弱性とリスクを特定し、修復に優先順位を付けます。SOC は、仮想的なシナリオを使用して、サイバー犯罪者の心の中に入り込み、セキュリティ・インシデントを防止または軽減する組織の能力を向上させようとします。MITRE ATT&CK® フレームワークは、一般的なサイバー攻撃の手法と戦術を理解するのに役立つモデルです。 多層防御には、環境の継続的なリアルタイム監視を提供し、潜在的なセキュリティの問題を表面化させるツールが必要です。また、解決策は重複している必要があり、1 つの検知方法が侵害された場合、2 つ目の検知方法が問題を検知し、セキュリティ チームに通知します。サイバー攻撃検出ソリューションでは、次のようなさまざまな方法を使用して脅威を特定します: シグネチャベースの検出。多くのセキュリティ ソリューションでは、ソフトウェアとトラフィックをスキャンして、特定の種類のマルウェアに関連付けられている一意のシグネチャを識別します。ビヘイビアーベースの検出。新しいサイバー攻撃や新しいサイバー攻撃をキャッチするために、セキュリティ ソリューションはサイバー攻撃で一般的なアクションと行動も探します。異常ベースの検出。 AI と分析は、ユーザー、デバイス、ソフトウェアの一般的な動作をチームが理解するのに役立ち、サイバー攻撃を示す可能性のある異常なものを識別できるようにします。 ソフトウェアは重要ですが、サイバー攻撃検出でも同様に重要な役割を果たします。アナリストは、システム生成のアラートのトリアージと調査に加えて、サイバー攻撃ハンティング手法を使用して、侵害の兆候を積極的に検索したり、潜在的な脅威を示唆する戦術、手法、手順を探したりします。これらのアプローチは、SOC が高度で検出が困難な攻撃を迅速に発見して停止するのに役立ちます
脅威への応答とは? 信頼できるサイバー攻撃が特定された後、脅威応答には、SOC がそれを含めて排除し、回復し、同様の攻撃が再び発生する可能性を減らすために実行するアクションが含まれます。多くの企業は、インシデント応答を開発、組織化され、迅速に移行する際に潜在的な侵害が発生した場合にその応答を支援することを計画することが重要です。適切なインシデント応答計画には、特定の種類の脅威、役割と責任、コミュニケーション計画に関するステップ バイ ステップガイダンスを含むプレイブックが含まれています。
ID 脅威検出と応答ソリューション 脅威の検出と応答は、すべての組織が損害を引き起こす前にサイバー攻撃を見つけて対処するのに役立つ重要な機能です。Microsoft Security には、セキュリティ チームがサイバー脅威の監視、検出、対応に役立ついくつかの脅威に対する保護ソリューションが用意されています。リソースが限られている組織の場合、Microsoft Defender エキスパートは既存のスタッフとツールを強化するためのマネージド サービスを提供します。
Microsoft Security をフォロー