侵害インジケーターについて説明しました
侵害インジケーター (IOC) は、誰かが組織のネットワークまたはエンドポイントを侵害した可能性があることを示す証拠です。このフォレンジック データは潜在的な脅威を示すだけでなく、マルウェア、侵害された資格情報、データ流出などの攻撃が既に発生していることを示します。セキュリティ担当者は、イベント ログ、拡張検出と応答 (XDR) ソリューション、およびセキュリティ情報イベント管理 (SIEM) ソリューションで IOC を検索します。攻撃中、チームは IOC を使用して脅威を排除し、損害を軽減します。回復後、IOC は何が起こったかを組織が理解するのに役立ちます。そのため、組織のセキュリティ チームはセキュリティを強化し、別の同様のインシデントのリスクを軽減できます。
IOC の例
IOC セキュリティでは、IT は環境を監視し、攻撃が進行中であることを示す次の手掛かりを探します:
ネットワーク トラフィックの異常
ほとんどの組織では、デジタル環境に出入りするネットワーク トラフィックに一貫したパターンがあります。組織から離れるデータが大幅に多い場合や、ネットワーク内の異常な場所からのアクティビティがある場合などの変化がある場合は、攻撃の兆候である可能性があります。
通常とは異なるサインインの試行
ネットワーク トラフィックと同様に、ユーザーの仕事習慣は予測可能です。通常、同じ場所から、週のほぼ同じ時刻にサインインします。セキュリティ担当者は、1 日の奇数時や、組織にオフィスがない国などの通常とは異なる地域からのサインインに注意を払うことで、侵害されたアカウントを検出できます。また、同じアカウントから複数回のサインイン失敗ばあれば、これに注意を払うことも重要です。ユーザーは定期的にパスワードを忘れたり、サインインに問題が発生したりしますが、通常は数回試行した後にこれを解決できます。サインインの試行が繰り返し失敗した場合、誰かが盗まれたアカウントを使用して組織にアクセスしようとしていることを示唆している可能性があります。
特権アカウントの権限
多くの攻撃者は、インサイダーであっても部外者であっても、管理アカウントへのアクセスと機密データの取得に関心を持っています。これらのアカウントに関連付けられている特殊な動作 (特権のエスカレートを試みるなど) は、侵害の兆候である可能性があります。
システム構成の変更
多くの場合、マルウェアは、リモート アクセスの有効化やセキュリティ ソフトウェアの無効化など、システム構成に変更を加えるようにプログラミングされます。これらの予期しない構成変更を監視することで、セキュリティ担当者は、過剰な損害が発生する前に侵害を特定できます。
予期しないソフトウェアのインストールまたは更新
多くの攻撃は、ファイルにアクセスできないようにしたり、攻撃者がネットワークにアクセスできるように設計されたマルウェアやランサムウェアなどのソフトウェアのインストールから始まります。計画外のソフトウェアのインストールと更新を監視することで、組織はこれらの IOC を迅速にキャッチできます。
同じファイルに対する多数の要求
1 つのファイルに対する複数の要求は、不正なアクターがファイルを盗もうとし、それにアクセスするためのいくつかの方法を試みたことを示唆している可能性があります。
通常とは異なるドメイン ネーム システムの要求
一部の悪いアクターは、コマンドと制御と呼ばれる攻撃方法を使用します。これらアクターは組織のサーバーにマルウェアをインストールして、自分たちの所有するサーバーへの接続を作成します。その後、サーバーから感染したコンピューターにコマンドを送信して、データを盗んだり、操作を中断したりしようとします。通常とは異なるドメイン ネーム システム (DNS) 要求は、IT がこれらの攻撃を検出するのに役立ちます。
IOC が重要な理由
IOC の監視は、組織のセキュリティ リスクを軽減するために不可欠です。IOC を早期に検出することで、セキュリティ チームは攻撃に迅速に応答して解決できるため、ダウンタイムと混乱の量が削減されます。また、定期的な監視により、チームは組織の脆弱性についてより詳細な分析情報を得ることができ、脆弱性を軽減できます。
侵害インジケーターへの対応
セキュリティ チームが IOC を特定したら、組織に対する損害をできるだけ少なくするために効果的に対応する必要があります。組織が集中し続け、可能な限り迅速に脅威を停止するのに次の手順が役立ちます:
インシデント応答計画の確立
インシデントへの応答はストレスが多く、時間が重要です。攻撃者の検出が長いほど、目標を達成する可能性が高くなります。多くの組織は、対応の重要なフェーズでチームをガイドするのに役立つインシデント応答計画を策定しています。この計画では、組織がインシデント、役割と責任を定義する方法、インシデントを解決するために必要な手順、およびチームが従業員や外部の関係者とどのように通信する必要があるかについて概説しています。
侵害されたシステムとデバイスを分離する
組織が脅威を特定すると、セキュリティ チームは攻撃を受けているアプリケーションまたはシステムを他のネットワークから迅速に分離します。これにより、攻撃者が会社の他の部分にアクセスすることを防ぐことができます。
フォレンジック分析の実施
フォレンジック分析は、ソース、攻撃の種類、攻撃者の目標など、侵害のあらゆる側面を明らかにするのに役立ちます。攻撃中に、侵害の程度を把握するために分析が行われます。組織が攻撃から回復すると、チームが考えられる脆弱性やその他の分析情報を理解するのに役立つ追加の分析が役立ちます。
脅威の排除
チームは、影響を受けるシステムやリソースから攻撃者とマルウェアを削除します。これには、システムをオフラインにする必要があります。
セキュリティとプロセス改善の実装
組織がインシデントから回復したら、攻撃が発生した理由と、それを防ぐために組織が実行できる操作があるかどうかを評価することが重要です。将来、同様の攻撃を受けるリスクを低減するための単純なプロセスやポリシーの改善もあれば、セキュリティ ロードマップに追加する長期的な解決策を特定することもあります。
SOC ソリューション
ほとんどのセキュリティ侵害は、ログ ファイルとシステムにフォレンジック証跡を残します。これらの IOC の識別と監視を学習することで、組織は攻撃者を迅速に分離して排除できます。AI と自動化を使用して IOC を表示し、それらを他のイベントと関連付ける Microsoft Sentinel や Microsoft Defender XDR などの SIEM ソリューションに目を向けているチームは多くあります。インシデント応答計画を使用すると、チームは攻撃を先取りし、迅速にシャットダウンできます。サイバーセキュリティに関しては、企業が何が起こっているかを理解する速度が速いほど、コストがかかったり評判が損なわれる前に攻撃を停止できる可能性が高くなります。IOC セキュリティは、組織がコストのかかる侵害のリスクを減らすのに役立つ鍵です。
Microsoft Security の詳細情報
よく寄せられる質問
-
IOC にはいくつかの種類があります。最も一般的なものは次のとおりです:
- ネットワーク トラフィックの異常
- 通常とは異なるサインインの試行
- 特権アカウントの権限
- システム構成の変更
- 予期しないソフトウェアのインストールまたは更新
- 同じファイルに対する多数の要求
- 通常とは異なるドメイン ネーム システムの要求
-
侵害インジケーターは、攻撃が既に発生したデジタル証拠です。攻撃のインジケーターは、攻撃が発生する可能性が高い証拠です。たとえば、フィッシングの攻撃活動は、攻撃者が会社を侵害した証拠がないため、攻撃の指標です。ただし、誰かがフィッシング リンクをクリックしてマルウェアをダウンロードした場合、マルウェアのインストールは侵害インジケーターです。
-
メールの侵害インジケーターには、突然の迷惑メールのオーバーフロー、異常な添付ファイルやリンク、または知っている人からの予期しないメールが含まれます。たとえば、従業員が同僚に異様な添付ファイルを含むメールを送信した場合、その従業員のアカウントが侵害されたことを示している可能性があります。
-
侵害されたシステムを識別するには、複数の方法があります。特定のコンピューターからのネットワーク トラフィックの変更は、それが侵害されたことを示すインジケーターである可能性があります。システムを通常必要としないユーザーが定期的にアクセスをし始めると、それは赤信号です。システム上の構成の変更や、予期しないソフトウェアのインストールも、侵害があった可能性がある。
-
IOC の例を 3 つ挙げると:
- 北米に基づくユーザー アカウントは、ヨーロッパから会社のリソースへのサインインを開始します。
- 組織がブルート フォース攻撃の被害を受けていることを示す、複数のユーザー アカウントにわたる何千ものアクセス要求。
- 従業員と顧客が存在しない新しいホストまたは国から送信されている新しいドメイン ネーム システムの要求。
Microsoft Security をフォロー