クラウド内でのインシデント対応
クラウドレスポンスの設計目標
インシデント対応の一般的なプロセスやメカニズム (NIST SP 800-61 コンピュータセキュリティインシデント対応ガイド
-
対応目標を定める - ステークホルダー、法律顧問、組織のリーダーと協力してインシデント対応の目標を定めます。一般的な目標としては、問題の抑制と軽減、影響を受けたリソースの復旧、フォレンジック用のデータの保持、アトリビューションなどがあります。
-
クラウドを使用して対応する - イベントとデータが発生する対応パターンを実装します。
-
持っているものと必要なものを知る - ログ、スナップショット、その他の証拠を一元化されたセキュリティクラウドアカウントにコピーして保持します。タグ、メタデータ、メカニズムを使用して保持ポリシーを適用します。例えば、Linux
ddコマンドまたは Windows の同等コマンドを使用して、調査目的でデータの完全なコピーを作成することを選択できます。 -
再デプロイのメカニズムを使用する - セキュリティの異常が設定ミスに起因する場合は、設定ミスを修正してリソースを再デプロイするだけで解決できる場合があります。可能であれば、対応メカニズムを安全に繰り返して実行したり、未知の状態に対して実行したりできるようにします。
-
可能な場合は自動化する - 問題やインシデントが繰り返し発生する場合は、プログラムによって一般的な状況の順序をトリアージ方式で決めて対応するメカニズムを構築します。インシデントが独特で、新しく、機密性の高いものである場合は、手動で対応します。
-
スケーラブルなソリューションを選択する - 組織のアプローチをクラウドコンピューティングに合わせてスケールし、検出から対応までの時間を短縮します。
-
プロセスを確認して改善する - プロセス、ツール、または人材のギャップを見つけて、修正を計画します。シミュレーションは、ギャップを見つけてプロセスを改善する安全な方法です。
NIST の設計目標に従って、アーキテクチャがインシデント対応と脅威検出の両方を実行できることを確認します。クラウドの実装を計画する場合、インシデントやフォレンジックイベントへの対応を考慮します。これは、これらの対応を専門に担当する複数の組織、アカウント、ツールを設定することを意味する場合があります。これらのツールや機能は、デプロイパイプラインを通じてインシデント対応の担当者に利用してもらいます。静的に設定しないでください。静的にするとリスクが大きくなります。
