質感のあるグレーのスラットの工業用壁に取り付けられた円筒形のセキュリティ センサーまたはカメラのクローズ アップ。.

インシデント対応トリアージを正しく行う方法

ユーザーアバター
ケイティ・バイコウスキー
3 1分間の読書

 

トリアージは、インシデント検知後、対応者がインシデントまたは誤検知を検知するために最初に実行するインシデント対応プロセスです。効率的かつ正確なインシデント対応トリアージプロセスを構築することで、アナリストの疲労を軽減し、インシデントへの対応と修復にかかる時間を短縮し、有効なアラートのみが「調査またはインシデント」ステータスに昇格されることが保証されます。.

危機的状況下では一秒一秒が重要となるため、トリアージプロセスのあらゆる段階は緊急性を持って実行されなければなりません。しかし、トリアージ担当者は、扱いにくい入力ソースを凝縮された一連のイベントに絞り込むという重大な課題に直面しています。データの検証前に分析を迅速化するための提案をいくつかご紹介します。

  • 組織: 対応担当者にタスクを割り当てるワークフローを開発することで、冗長な分析を削減します。複数の対応担当者間でメールボックスやメールエイリアスを共有することは避けてください。代わりに、セキュリティオーケストレーション、自動化、および対応(SOAR)ソリューションに使用されているようなワークフローツールを使用してタスクを割り当てます。トリアージの対象外となるタスクについては、再割り当てまたは拒否するプロセスを実装します。.
  • 相関: セキュリティ情報イベント管理(SIEM)などのツールを使用して、類似のイベントを統合します。関連性のある可能性のあるイベントを1つの有用なイベントにリンクします。.
  • データ強化: DNS逆引き、脅威インテリジェンス検索、IP/ドメインマッピングなど、対応担当者が日常的に実行する一般的なクエリを自動化します。これらのデータをイベントレコードに追加するか、簡単にアクセスできるようにします。.

初期のインシデント対応トリアージプロセスは、全速力で進めることが最善の策です。しかし、イベント検証においては、より詳細かつ慎重なアプローチが不可欠です。セキュリティオペレーションセンター(SOC)やサイバーインシデント対応チーム(CIRT)のアナリストが正確に評価できるような、確固たる根拠を示すことが重要です。検証のためのヒントをいくつかご紹介します。

  • 隣接データ: イベントに付随する情報を確認してください。例えば、エンドポイントでウイルスシグネチャにヒットした場合、更なる対応指標を求める前に、ウイルスが動作している証拠があるかどうかを確認してください。.
  • インテリジェンスレビュー: 情報の背景にある文脈を理解しましょう。先週、あるIPアドレスがボットネットの一部であるとフラグ付けされたからといって、それが今日もボットネットの一部であるとは限りません。.
  • 初期優先順位: 運用上のインシデントの優先順位を整合させ、インシデントを適切に分類します。各インシデントに適切なレベルの労力が投入されていることを確認します。.
  • クロス分析: データの精度を向上させるために、複数のデータ ソースにわたって IP アドレスやドメイン名などの潜在的に共有されているキーを探して分析します。.

イベントが検証されると、そのイベントは調査またはインシデントとなります。その後、すべてのインシデントは、調査プロセスで定義されたとおり、SOCまたはCIRTチームによって調査および追跡される必要があります。.

SwimlaneのSOARプラットフォームは、ワークフロータスクの割り当てやデータエンリッチメントなど、インシデント対応トリアージプロセスの大部分を自動化できます。これにより、チームはさらなる分析を行うために必要なコンテキストを得ることができます。脅威インテリジェンスの検索や修復手順といった、インシデント対応プロセスにおける追加ステップも自動化できます。SOARを活用することで、セキュリティ運用の効率を大幅に向上させ、リスクを軽減し、脅威からの保護を強化できます。.

インシデント対応トリアージ自動化の実際の様子をご覧になりたいですか?ショートビデオをご覧ください。 ビデオ.
トリアージとより広範なインシデント対応プロセスを自動化することの利点を詳しく調べる準備はできていますか? パーソナライズされたデモをスケジュールする Swimlane で「アナリストによってアナリストのために構築された」セキュリティ ソリューションをご確認ください。.

*既存の シンキュリティ ブログ投稿。.

幾何学的な立方体グラフィックを使用した VirusTotal および Symantec Endpoint Protection との統合を特集したユースケース Splunk Alert Triage ビデオのサムネイル。.

Splunk アラートトリアージの自動化デモ (4:11)

このユースケースビデオでは、Splunkから受信したセキュリティアラートデータの自動トリアージをご紹介します。このデモでは、Splunkによってデータが取得され、VirusTotalによってエンリッチメントされた後、悪意があると判断された場合にSymantec Endpoint Protectionとの連携によってアクションが実行されます。.

今すぐ見る

タグ

2023 年 6 月 6 日
インシデント対応とは何ですか?
続きを読む
2022 年 9 月 2 日
インシデント対応プラットフォームによるセキュリティアラートの管理
続きを読む
2017 年 9 月 20 日
サイバーセキュリティインシデント対応計画の自動化
続きを読む

ライブデモをリクエストする