Security Event Managerを備えたActive Responseソフトウェアでインシデント対応の

インシデント対応には、構造化された計画を使用してサイバー攻撃を管理し、回復することが含まれます。SANS Instituteのロビン・ディッカーソン（Robin Dickerson）著「Incident Management 101 Preparation and Initial Response (aka Identification)」（2005年1月発行、2024年10月アクセス）によると、6段階から成る計画には、準備、識別、封じ込め、根絶、回復、教訓が含まれます。準備では、ポリシーの作成と対応チームのトレーニングを行います。識別では侵入を検出し、封じ込めではさらなる被害を防ぎます。根絶では脅威が無力化され、回復ではシステムが回復します。教訓では、手順の見直しと改善を行います。

また、インシデント対応はOODAループに従うこともできます。観察（異常な動作の監視）、方向付け（コンテキストの調査と取得）、決定（戦略の選択）、および実行（修復と回復）。主なツールには、侵入検出システム、脆弱性スキャナー、セキュリティ意識向上トレーニングなどがあります。効果的なインシデント対応戦略により、被害を最小限に抑え、将来の対応を改善できます。

効果的なインシデント対応計画は、サイバー攻撃に対処し、回復するために不可欠です。重要な部分の1つは、異常な活動や攻撃に対して積極的に対応できるようにすることです。SANS Instituteの6段階のプロセスまたはOODAループに従い、封じ込め、根絶、および実行の各段階で積極的に対応していくことが重要になります。

効果的なインシデント対応管理と計画の一環として、以下が必要になる場合があります。

• エージェントのネットワークへのアクセスの無効化
• 特定のIPアドレスのブロック
• マシンまたはWindowsサービスの再起動
• エージェントからのユーザー アカウントおよびユーザー グループの削除
• エージェントからのUSBデバイスの切断
• ドメインおよびローカル ユーザー アカウントの有効化および無効化
• 潜在する問題のエスカレート
• IDまたは名前によるプロセスの強制終了
• ユーザーのログ オフ
• ユーザー アカウントのパスワードのリセット
• 特定の宛先へのメール送信
• その他

セキュリティ情報管理（SIM）、セキュリティ イベント管理（SEM）、またはSecurity Information and Event Management（SIEM） の機能を持つソフトウェアへの投資を検討してください。インシデント対応ツールはデバイスのイベント ログから貴重な情報を収集するだけでなく、上記のようなアクションを実行して、サイバーセキュリティ上の脅威を自動的にブロックすることもできます。

サイバー攻撃はその規模と頻度を増しており、組織が自社とそのデータを守ることをより困難にしています。攻撃への対応に関する手順の作成と組織メンバーの訓練が不可欠ですが、作業はそれだけにとどまりません。すべてを正常動作の状態に戻し、チームの選択の再検討を行う前には、脅威を発見して無力化することも必要です。

単純な変更がシステムに大きな損害を与え、深刻な問題に発展する可能性があるため、あらゆる組織にとって迅速なインシデント対応は最優先事項になります。しかし、ユーザー権限の昇格など、さまざまな変化を手動で監視して対応するのは、面倒で時間のかかる作業になる場合があります。

SolarWinds^® Security Event Manager（SEM）のような強力なインシデント対応ツールは、監視プロセスを簡素化し、インシデントに迅速に対応することを可能にします。SEMは、ネットワーク上で何が起こっているかをより正確に把握できるように構築されており、特定の定義済みイベントが発生したときにシステムを保護するためのアクションが自動的に実行されます。このようなツールをインシデント対応戦略の一部として使用することで、組織が攻撃を迅速かつ効果的に検出、対処、回復する能力を最適化できます。

サイバー インシデント対応ソフトウェアは、ネットワーク全体のデータの収集、標準化、カタログ化を簡素化します。これは、OODAループの観察セクション、またはSANS Instituteの6段階から成る計画の識別段階に該当し、可視性を高め、侵入検出を加速して脅威を阻止します。データの収集と分析に加えて、情報に基づいて行動することが重要です。ほとんどのセキュリティ インシデント対応ツールはリアルタイムのログ解析機能を持ち、事前に定義されたしきい値を超えたイベントが発生すると、自動的に通知を行うことができます。セキュリティ インシデント対応ツールは、IPアドレスのブロック、サーバーの再起動、ユーザーのログ オフ、エージェントのネットワークへのアクセス遮断など、異常事態に対応するいくつかのアクションを自動的に実行することもできます。各サイトに複数のIP遮断のアクションを設定することなく、すべてのサイトを攻撃から保護する必要がある場合、インシデント対応ソフトウェアでも対応可能です。

インシデント対応管理の一般的なステップは次のとおりです。

1. インシデントを検出する：監視およびアラート ツールを使用してインシデントを特定し、さまざまなソースを統合して一貫した対応を実現します。
2. コミュニケーション チャネルをセットアップする：Slackやビデオ会議など、チーム コミュニケーション専用のチャネルを確立します。
3. 影響と重大度を評価する：インシデントの影響を評価し、対応アクションとコミュニケーションの指針となる重大度レベルを割り当てます。
4. 顧客に連絡する：ステークホルダーや顧客に迅速かつ正確に情報を提供し、信頼を構築します。
5. 対応者にエスカレーションする：追加の対応者に連絡し、調整された解決のための完全なコンテキストを提供します。
6. 役割を割り当てる：インシデント対応プレイブックに基づいて特定の役割を割り当てます。

インシデントを解決する：影響が軽減されたら、緊急対応を終了し、クリーンアップと事後分析を行います。

SolarWinds^® Security Event Manager（SEM）は、リアルタイムのデータ収集、表示、アラート、アクティブ応答などの強力なインシデント対応機能を提供します。SEMには、すぐに使えるコネクタとコンプライアンス レポート テンプレートが備えられているため、セキュリティとコンプライアンスの要件を満たすのに役立ちます。

SEMを使用すると、攻撃や疑わしいアクティビティに対抗するためのアクティブな対応を構成できます。たとえば、不正なアクセスの試みを通知したり、IPアドレスをブロックしたり、ネットワークを無効にしたり、マシンをシャットダウンしたりできます。重要なアラートを優先するように通知をカスタマイズできます。

対応を構成するには、SEMコンソールを使用してルールを選択または作成し、条件を定義し、応答アクションを設定します。SEMはインシデント対応の自動化を合理化し、ネットワーク保護を強化します。

SEMを構成するステップ：

1. ルールの設定：SEMコンソールでルールを選択します。新しいルールを編集または作成し、条件とアクションを追加します。
2. カスタム アクション：アクション トリガーを定義および追加し、対応条件を設定し、ルールを保存します。
3. テスト：新しいルールに対してテスト モードを使用し、期待どおりに機能することを確認します。

IT環境のセキュリティを支援するその他のSolarWindsツール：

• SolarWinds Patch Manager
• SolarWinds Access Right Manager
• SolarWinds Identity Monitor
• SolarWinds Server Configuration Monitor
• SolarWinds Observability Self-HostedとSecurity Observability

関連機能：

• ネットワーク セキュリティ監視ソフトウェア
• サイバー脅威分析ツール
• APTセキュリティ ソフトウェア（高度な持続的脅威に対する防御）
• USBセキュリティ ソフトウェア
• アドバンスト エンドポイントDLP