セキュリティ オペレーション自己評価ツール
インシデントと脅威アラートの優先度をどのように決定していますか?
(当てはまるものをすべて選択してください)
大量または繰り返すインシデントの調査と修復に、自動化をどの程度まで使用していますか?
どれだけの数のシナリオにおいて、クラウド ベースのツールを使用してオンプレミスとマルチクラウドのリソースをセキュリティ保護していますか?
セキュリティ インシデントを管理するとともに確認までの時間と修復までの時間を測定するためのチケット システムはありますか?
アラート疲れをどのようにして管理していますか?
(当てはまるものをすべて選択してください)
次のリソースと推奨事項がこのステージに役立つと思われます。
脅威アラートの優先度決定
- 脅威アラートの優先度決定は、オペレーションの成功を左右します。ソースの真陽性率に基づいてスコアを算出することをおすすめします。セキュリティ オペレーションの成熟度を高めるために、セキュリティ分野のリーダーが紹介する重要なインサイトとベスト プラクティスをご覧ください。 詳細情報
自動化
- 自動化は、オペレーション チームを単調なタスクから解放するのに役立ちます。メンバーを重大な脅威に専念させ、生産性を高め、燃え尽きを減らすことができます。
- Microsoft Defender for Endpoint での自動化の構成方法を参照 します
クラウド ベースのツールを活用する
- クラウド ベースのツールは、組織の脅威の状況をクラウド全体にわたって把握するのに役立ちます。クラウド ベースの SIEM に移行すると、オンプレミスの SIEM ソリューションに伴う課題を軽減できる可能性があります。 詳細情報
チケット システムを介してセキュリティ インシデントを管理する
- チケット システムを持つことは、チームが効率的に活動して脅威との戦いに勝つのに役立ちます。 詳細情報
アラート疲れを管理する
- アラート疲れを管理することは、セキュリティ オペレーションを円滑に運営するためにきわめて重要です。優先度決定のシステムがなければ、チームが偽陽性も調査することになって深刻な脅威を見逃してしまうおそれがあり、これが燃え尽きにつながる可能性があります。Azure Sentinel は機械学習でアラート疲れを減らします。 詳細情報
アナリストがインシデント調査に使用するセキュリティ ツール (たとえば、ベンダーの製品またはポータルと独自作成のツールまたはスクリプト) の数はどれくらいですか
SIEM またはその他のツールを使用して、すべてのデータ ソースを集めて相互に関連付けていますか?
検出と調査において行動分析を使用していますか (たとえばユーザー/エンティティ行動分析 (UEBA))?
ID に特化した検出と調査のツールを使用していますか?
エンドポイントに特化した検出と調査のツールを使用していますか?
メールとデータに特化した検出と調査のツールを使用していますか?
SaaS アプリに特化した検出と調査のツールを使用していますか?
クラウド インフラストラクチャ (仮想マシン、モノのインターネット (IoT)、オペレーショナル テクノロジ (OT) など) に特化した検出と調査のツールを使用していますか?
MITRE ATT&CK またはその他のフレームワークをインシデントの追跡と分析に使用していますか?
調査またはハンティングのチームがトリアージ キューの中のケースを精査して傾向、根本原因、またはその他の知見を見つけていますか?
推奨事項
いただいた回答に基づいて、お客様のセキュリティ オペレーションは最適のステージにあります。
参考リソース:
- 統合されたセキュリティ スタックがどのようにリスクとコストを縮小するかを説明します。
- セキュリティ オペレーション (SecOps) の機能についての詳細情報をご覧ください。
セキュリティ オペレーション センターの成熟度を最適化する方法について、さらに詳しい情報をご覧ください。
推奨事項
いただいた回答に基づいて、お客様のセキュリティ オペレーションは最適のステージにあります。
参考リソース:
- 統合されたセキュリティ スタックがどのようにリスクとコストを縮小するかを説明します。
- セキュリティ オペレーション (SecOps) の機能についての詳細情報をご覧ください。
セキュリティ オペレーション センターの成熟度を最適ステージに進める方法について、さらに詳しい情報をご覧ください。
推奨事項
いただいた回答から、お客様のセキュリティ オペレーションの現在のステージは Basic と判定されました。
参考リソース:
- 統合されたセキュリティ スタックがどのようにリスクとコストを縮小するかを説明します。
- セキュリティ オペレーション (SecOps) の機能についての詳細情報をご覧ください。
セキュリティ オペレーション センターの成熟度を上級ステージに進める方法について、さらに詳しい情報をご覧ください。
次のリソースと推奨事項がこのステージに役立つと思われます。
統合セキュリティ ツール
- インテリジェントで自動化された統合型のセキュリティ ソリューションをドメイン横断で使用することは、SecOps の防御担当者が、ばらばらに見えるアラートをつなぎ合わせて攻撃者に先回りするのに役立ちます。SIEM と XDR をひとつにまとめたソリューションが高度な攻撃の阻止にどのように役立つかをご覧ください。 詳細情報
- リモート ワーカーをより適切にセキュリティで保護できるようにセキュリティ オペレーション センターをモダン化します。 詳細については、こちらをご覧ください。
SIEM を使用してデータ ソースを統合する
- Azure Sentinel のような SIEM を利用すると、脅威の状況を全体的に見渡して脅威データすべてを捕捉することができます。何も見落とすことなく先回りで活動するのに役立ちます。 Azure Sentinel とは?
- Microsoft サイバーセキュリティ リファレンス アーキテクチャの詳細情報を参照 します。
Microsoft のセキュリティ オペレーションに関するセキュリティ ベスト プラクティス
- 機械学習と行動分析をベスト プラクティスとしておすすめします。通常とは異なる事象を、高い信頼度ですばやく特定するのに役立つからです。 詳細情報
データ アクセス管理
- 組織のデータに誰がアクセスでき、どのような種類のアクセス権を持っているかを知ることが重要です。リスクを縮小して生産性を高めるために、ID ベースのフレームワークの利用をベスト プラクティスとしておすすめします。 詳細情報
エンドポイント管理
- 従来の境界の外から誰がアクセスしているか、およびそのデバイスが正常かどうかがわかるようにすることをベスト プラクティスとしておすすめします。Microsoft Defender for Endpoint を利用すると、これを案内に従って行うことができます。 詳細情報
- Microsoft Defender for Endpoint を展開する方法を参照 します
メールとデータの検出
- 悪意のあるアクターは、侵害した法人メール アドレスを通して組織の環境に侵入することがあります。フィッシングのような脅威を検出して阻止できるソリューションは、エンド ユーザーに負担をかけることなくセキュリティを強化するのに役立ちます。 詳細情報
SaaS アプリの検出
- 組織の機密データにアクセスできるクラウド ベース ソリューションをセキュリティで保護することが重要です。
クラウド インフラストラクチャの検出
- 境界部が拡大して IoT とストレージやコンテナーなどのクラウド インフラストラクチャのコンポーネントも含まれるようになると、組織の環境のこのような拡張部における監視と検出を確立することが重要です。
インシデントの追跡と分析
- MITRE ATT&CK® は世界中からアクセス可能なナレッジ ベースであり、敵対者の戦術と手法が実世界での観察に基づいて収録されています。MITRE ATT&CK のようなフレームワークは、先回りして防御を固めるための具体的な脅威モデルと方法論を作成するのに役立ちます。
文書とレビュー
- 知見を蓄積して脅威に先回りするには、調査ケースを文書化することが重要です。
先回り型の脅威ハンティングをセキュリティ戦略に組み込んでいますか?
自動化ハンティング プロセス (たとえば Jupyter ノートブック) を使用していますか?
内部関係者による脅威を検出して管理するのに役立つプロセスやツールはありますか?
組織内のハンティング チームは、トリアージ (Tier 1) チームのためにアラートを精選して真陽性率を高めるという活動の時間を作っていますか?
推奨事項
いただいた回答に基づいて、お客様のセキュリティ オペレーションは最適のステージにあります。
参考リソース:
- Microsoft 365 でのインサイダー リスク管理に関する詳細情報をご確認ください。
セキュリティ オペレーション センターの成熟度を最適化する方法について、さらに詳しい情報をご覧ください。
推奨事項
いただいた回答に基づいて、お客様のセキュリティ オペレーションは最適のステージにあります。
参考リソース:
- Microsoft 365 でのインサイダー リスク管理に関する詳細情報をご確認ください 。
セキュリティ オペレーション センターの成熟度を最適ステージに進める方法について、さらに詳しい情報をご覧ください。
推奨事項
いただいた回答から、お客様のセキュリティ オペレーションの現在のステージは Basic と判定されました。
参考リソース:
- Microsoft 365 でのインサイダー リスク管理に関する詳細情報をご確認ください 。
セキュリティ オペレーション センターの成熟度を上級ステージに進める方法について、さらに詳しい情報をご覧ください。
次のリソースと推奨事項がこのステージに役立つと思われます。
先回り型の脅威ハンティング
- 脅威を、実際に発生する前に特定します。粘り強い敵対者が自動検出を回避する方法を見つけてしまうこともあるため、先回り型の戦術を持つことが重要です。アクション実施までの時間を加速することで、インサイダー リスクの影響を縮小します。 詳細情報
- Microsoft SOC の脅威ハンティングのアプローチを参照 します
自動化ハンティング
- 自動化ハンティング プロセスを使用することは、生産性の向上と量の縮小に役立ちます。
内部関係者による脅威
- 従業員、ベンダー、請負業者が会社のネットワークに無数のエンドポイントからアクセスしているときは、組織内で発生しているリスクをリスク管理業務従事者がすばやく特定して修復アクションを取れることが、これまで以上に重要になります。
- 内部関係者による脅威の監視に関する情報を参照 します
- インサイダー リスク管理の概要
ハンティング プロセスを改良する
- 脅威ハンティング チームから集めた知見は、トリアージ アラート システムを改良して精度を高めるのに役立ちます。 詳細情報
重大なセキュリティ インシデントに対処するための危機管理プロセスが規定されていますか?
このプロセスには、インシデント応答、脅威インテリジェンス、またはテクノロジ プラットフォームのエキスパートを有するベンダー チームを参加させることについての規定が含まれていますか?
このプロセスには経営上層部 (法務チームを含む) と規制機関が関与しますか?
このプロセスにはコミュニケーションと広報のチームが含まれていますか?
このプロセスを練習して改良するための定期的訓練を実施していますか?
推奨事項
いただいた回答に基づいて、お客様のセキュリティ オペレーションは最適のステージにあります。
参考リソース:
- Microsoft 365 でのインサイダー リスク管理に関する詳細情報をご確認ください 。
セキュリティ オペレーション センターの成熟度を最適化する方法について、さらに詳しい情報をご覧ください。
推奨事項
いただいた回答に基づいて、お客様のセキュリティ オペレーションは最適のステージにあります。
参考リソース:
- Microsoft 365 でのインサイダー リスク管理に関する詳細情報をご確認ください 。
セキュリティ オペレーション センターの成熟度を最適ステージに進める方法について、さらに詳しい情報をご覧ください。
推奨事項
いただいた回答から、お客様のセキュリティ オペレーションの現在のステージは Basic と判定されました。
参考リソース:
- Microsoft 365 でのインサイダー リスク管理に関する詳細情報をご確認ください 。
セキュリティ オペレーション センターの成熟度を上級ステージに進める方法について、さらに詳しい情報をご覧ください。
次のリソースと推奨事項がこのステージに役立つと思われます。
インシデント応答
- 危機対応では 1 分 1 分が大切です。一時的なプロセスであっても、プロセスが規定されていることはすばやい修復とインシデント管理のためには重要です。
- インシデント応答リファレンス ガイドを入手します
- ランサムウェアから強要まで、サイバーセキュリティ攻撃を防ぐ方法を参照 します。
インシデント修復
- 俊敏性と柔軟性は、修復とインシデント管理にとって重要です。チームがどのようなスキルと経験を持っているかを理解し、評価することも、必要なベンダー チームとテクノロジを特定するのに役立ちます。 詳細情報
影響を緩和する
- セキュリティは組織内のすべての人にとっての責任です。他のビジネス利害関係者からの知見は、侵害の影響を緩和するための具体的なガイダンスとなることがあります。
- CISO スポットライト シリーズを視聴 します
- クラウド セキュリティに関する詳細情報を参照 します
コミュニケーションと広報
- 侵害が発生した場合の広報とコミュニケーションの計画もプロセスに含まれている必要があります。顧客をサポートして侵害の影響を緩和できるように準備を整えるためです。 きわめて効果的なセキュリティ オペレーションを実行する方法を参照 します。
練習あるのみ
- 練習することによって、ギャップや改善領域を侵害発生前に発見できます。テスト ケース訓練で、侵害への準備ができていることを確認します。
- アナリストの調査と修復のワークロード軽減を目的として、ベンダーが提供する、またはベンダーが保守する自動化を使用していますか?
複数のツールにわたって自動化アクションをオーケストレーションできますか?
複数のツールにわたって自動化アクションをオーケストレーションしている場合に、そのツールのすべてまたはほとんどをネイティブに接続していますか、それとも独自のスクリプト処理に依存していますか?
コミュニティ提供の自動化を使用していますか?
推奨事項
いただいた回答に基づいて、お客様のセキュリティ オペレーションは最適のステージにあります。
参考リソース:
- Azure Sentinel - SOC プロセス フレームワーク ワークブック。 いますぐ入手してください。
- Azure Sentinel での Security Orchestration, Automation, and Response (SOAR)。 詳細については、こちらをご覧ください。
- シームレスなセキュア アクセスへのガイド:より良いユーザー エクスペリエンスと強化したセキュリティ。 詳細については、こちらをご覧ください。
- 先回り型のセキュリティをゼロ トラストで取り入れる。 詳細については、こちらをご覧ください。
- Microsoft Azure Active Directory のためのゼロ トラスト展開ガイド。 いますぐ入手してください。
セキュリティ オペレーション センターの成熟度を最適化する方法について、さらに詳しい情報をご覧ください。
推奨事項
いただいた回答に基づいて、お客様のセキュリティ オペレーションは最適のステージにあります。
参考リソース:
- Azure Sentinel - SOC プロセス フレームワーク ワークブック。 いますぐ入手してください。
- Azure Sentinel での Security Orchestration, Automation, and Response (SOAR)。 詳細については、こちらをご覧ください。
- シームレスなセキュア アクセスへのガイド:より良いユーザー エクスペリエンスと強化したセキュリティ。 詳細については、こちらをご覧ください。
- 先回り型のセキュリティをゼロ トラストで取り入れる。 詳細については、こちらをご覧ください。
- Microsoft Azure Active Directory のためのゼロ トラスト展開ガイド。 いますぐ入手してください。
セキュリティ オペレーション センターの成熟度を最適ステージに進める方法について、さらに詳しい情報をご覧ください。
推奨事項
いただいた回答から、お客様のセキュリティ オペレーションの現在のステージは Basic と判定されました。
参考リソース:
- Azure Sentinel - SOC プロセス フレームワーク ワークブック。 いますぐ入手してください。
- Azure Sentinel での Security Orchestration, Automation, and Response (SOAR)。 詳細については、こちらをご覧ください。
- シームレスなセキュア アクセスへのガイド:より良いユーザー エクスペリエンスと強化したセキュリティ。 詳細については、こちらをご覧ください。
- 先回り型のセキュリティをゼロ トラストで取り入れる。 詳細については、こちらをご覧ください。
- Microsoft Azure Active Directory のためのゼロ トラスト展開ガイド。 いますぐ入手してください。
セキュリティ オペレーション センターの成熟度を上級ステージに進める方法について、さらに詳しい情報をご覧ください。
次のリソースと推奨事項がこのステージに役立つと思われます。
アナリストのワークロードを管理する
- ベンダー自動化サポートは、チームのワークロード管理に役立つ可能性があります。組織のデジタル資産を保護するために、統合型のアプローチで SOC の効率を高めることを検討してください。 詳細情報
- 変化する脅威の状況にセキュリティ オペレーション チームがどのように適応しているかについての説明を参照 します
自動化アクションをオーケストレーションする
- 使用するツールすべてにわたって自動化アクションを統合することは、生産性を高めるとともに、脅威の見逃しの可能性を減らせると考えられます。統合されたセキュリティ スタックによってリスクとコストをどのように縮小できるかをご覧ください。 詳細情報
自動化アクションを接続する
- ツールやプロセスが接続されて統合されていれば、組織の脅威監視プログラムにおけるギャップを減らすのに役立つとともに、絶えず変化するサイバーセキュリティ脅威の状況に対応していくのに役立つ可能性があります。
コミュニティ提供の自動化
- コミュニティ提供の自動化の使用を検討してください。脅威パターンの認識が向上するとともに、組織のメンバーの時間を節約できる可能性があります。自動化ツールを独自に作成する必要がなくなるからです。
Microsoft Security をフォロー