実践 CSIRTプレイブック

―セキュリティ監視とインシデント対応の基本計画

[cover photo]
TOPICS
Security
発行年月日
PRINT LENGTH
272
ISBN
978-4-87311-838-3
原書
Crafting the InfoSec Playbook
FORMAT
Print PDF
Ebook
3,520円
Ebookを購入する
Print
3,520円

サイバー攻撃はここ数年で規模、複雑さ、特徴ともに劇的に進化し続けています。検知や対応が適切であっても、その効果を維持し続けるには、さらなる取り組みと高度化が必要です。サイバー攻撃から組織を守り、セキュリティを脅かす不正アクセス、ウイルス、標的型攻撃、情報漏洩などのインシデントに対応する専門チームであるCSIRT(Computer Security Incident Response Team)の重要性が高まっています。 本書は、シスコシステムズのCSIRTが10年以上の蓄積の中で編み出したセキュリティ監視、インシデント対応、脅威分析の基本アプローチを一冊にまとめたものです。インシデント対応の基本から、セキュリティ監視におけるデータセントリックなアプローチ、インシデント検知ロジックの開発、それらを実践できる形に展開する方法、さまざまなツールや技術の解説とそれらを適切に選定・導入する方法、クエリを使った検知ロジックの開発、インシデント対応サイクルのフェーズまでを丁寧に解説しています。CSIRTをすでに導入している組織も、これから導入をする組織にとっても、必携の一冊です。

正誤表

ここで紹介する正誤表には、書籍発行後に気づいた誤植や更新された情報を掲載しています。以下のリストに記載の年月は、正誤表を作成し、増刷書籍を印刷した月です。お手持ちの書籍では、すでに修正が施されている場合がありますので、書籍最終ページの奥付でお手持ちの書籍の刷版、刷り年月日をご確認の上、ご利用ください。

1刷正誤表


※2018年6月更新。2刷で修正予定です。

■P.39 上から11行目
【誤】ドメインコントローラの価値は非常に高いもかかわらず
【正】ドメインコントローラの価値は非常に高いにもかかわらず

■P.174 上から3行目
【誤】情報窃取<ルビ>せっしゅ</ルビ>犯のZeuSファミリを追跡する
【正】情報窃取犯のZeuSファミリを追跡する  ※「窃取」にルビ

■P.182 下から10行目
【誤】このイベントがレポートにおいて特に有意義となるよう特徴は
【正】このイベントがレポートにおいて特に有意義となるような特徴は

目次

序文
はじめに

1章 インシデント対応の基本
    1.1 インシデント対応チーム
    1.2 チームの存在を正当化する
    1.3 評価方法
    1.4 どこと連携するか
        1.4.1 外部組織との連携
    1.5 チームを育てるのはツール
    1.6 自分たちのポリシーを策定する
    1.7 購入するか、開発するか
    1.8 プレイブックを使う
    1.9 本章のまとめ

2章 守りたいものは何か 
    2.1 中核となる 4つの質問
    2.2 ここにあった出入り口はいずこへ?
    2.3 ホストの属性
        2.3.1 自前のメタデータを活用する
    2.4 重要なデータを特定する
    2.5 自分のサンドイッチを作ろう
    2.6 その他の重要なデータ
        2.6.1 簡単な達成目標
    2.7 基準となる標準規格
    2.8 リスクの許容
    2.9 プレイブックのコピーをいただけますか
    2.10 本章のまとめ

3章 脅威は何か
    3.1 「犯罪者は創造的な芸術家だが、探偵はただの批評家に過ぎない」
    3.2 何事にも屈しない
    3.3 すべてはカネがものを言う
    3.4 欲望と価値観は人それぞれ
    3.5 財布はいらない、電話をよこせ
    3.6 127.0.0.1に勝るものはなし
    3.7 世界戦争を始めようじゃないか
    3.8 闇の芸術への防御策
    3.9 本章のまとめ

4章 セキュリティ監視におけるデータセントリックなアプローチ
    4.1 データを取得する
        4.1.1 ロギング要件
        4.1.2 事実のみ扱う
        4.1.3 正規化
        4.1.4 フィールドを知る
        4.1.5 フィールド実践
        4.1.6 フィールド内のフィールド
    4.2 メタデータ:データについてのデータ
        4.2.1 セキュリティにおけるメタデータ
        4.2.2 データサイエンスに幻惑!
        4.2.3 メタデータを実践する
        4.2.4 コンテキストがすべてを支配する
    4.3 本章のまとめ

5章 プレイブックを作成する
    5.1 レポート ID
        5.1.1 {$UNIQUE_ID}
        5.1.2 {HF,INV}
        5.1.3 {$EVENTSOURCE}
        5.1.4 {$REPORT_CATEGORY}
        5.1.5 {$DESCRIPTION}
        5.1.6 実施目的
        5.1.7 結果分析
        5.1.8 データクエリ/コード
        5.1.9 アナリストによるコメント/メモ
        5.1.10 フレームワーク完成─次のステップは?
    5.2 本章のまとめ

6章 運用展開
    6.1 あなたはコンピュータより賢い
        6.1.1 人、プロセス、テクノロジー
        6.1.2 信頼できる内部関係者
        6.1.3 本業を忘れるべからず
        6.1.4 クリティカルシンキング
        6.1.5 体系的なアプローチ
    6.2 プレイブック管理システム
        6.2.1 計測 2回、切り取り 1回、再度計測
        6.2.2 レポートのガイドライン
        6.2.3 高信頼度レポートを理論的にレビューする
        6.2.4 調査対象レポートを理論的にレビューする
        6.2.5 レポートのレビュー実践
    6.3 イベントクエリシステム
    6.4 結果表示システム
    6.5 インシデントの取り扱いと修復システム
    6.6 ケース追跡システム
    6.7 運用し続けるには
    6.8 フレッシュな状態を保つ
    6.9 本章のまとめ

7章 商用ツール
    7.1 多層防御
        7.1.1 インシデント検知を成功させる
    7.2 セキュリティ監視ツールキット
        7.2.1 ログ管理:セキュリティイベントのデータウェアハウス
        7.2.2 侵入検知はまだ廃れていない
        7.2.3 HIPの一撃(HIP Shot) 
        7.2.4 NetFlowについて
        7.2.5 真なる唯一の王、 DNS
        7.2.6 HTTPこそがプラットフォーム: Webプロキシ
        7.2.7 [ローリング]パケットキャプチャ
        7.2.8 インテリジェンスの適用
        7.2.9 ツールの話はこれで終わり
        7.2.10 すべての情報をまとめる
    7.3 本章のまとめ

8章 クエリとレポート
    8.1 フォルスポジティブ:プレイブックの不倶戴天の敵
    8.2 無償レポートなど存在しない
    8.3 少し潜れば対象範囲も同様に広がる
    8.4 いっぱいのサルといっぱいのタイプライター
    8.5 チェーンは最弱リンクと同程度の強度しかない
    8.6 チェーンではなく、そのつながりを検知する
    8.7 クエリ作成入門
    8.8 不正アクティビティのサンプルをレポートのクエリに変える
    8.9 レポートはパターン、パターンはレポート
    8.10 ゴルディロックスの信頼度
    8.11 見える範囲を越えて模索する
        8.11.1 知っている情報にこだわる
        8.11.2 「既知の良いもの」を求める
        8.11.3 「悪性」のラベル付けがされた何かを探す
    8.12 本章のまとめ

9章 高度なクエリ作成
    9.1 基本 vs.高度
    9.2 フォルスポジティブのパラドックス
    9.3 優れた示唆
    9.4 インジケータとしてのコンセンサス(se演算子と異常値の発見)
    9.5 特徴の調査に向けて作業を設定する
    9.6 黒い羊を探して
    9.7 統計: 60%の確率で毎回成功する
    9.8 IDSの不要物を取り除く
    9.9 Ne Flowからパターンを引き出す
        9.9.1 水平ポートスキャン
        9.9.2 垂直ポートスキャン
    9.10 統計からビーコニングを探す
    9.11 7はランダムな数字か?
    9.12 偶発的なデータによる相関付け
    9.13 カイザー・ソゼの正体
    9.14 関係者は同罪
    9.15 本章のまとめ

10章 インシデント発生!どう対応する?
    10.1 防御を強化する
    10.2 ロックダウン
        10.2.1 放送メディア
    10.3 ルートを断つ
        10.3.1 専門外のこと
    10.4 ポテト 1つ、ポテト 2つ、ポテト 3つ、あなたのポテト
        10.4.1 要点を言おう
    10.5 得られた教訓
    10.6 本章のまとめ

11章 適切な状態を維持するには
    11.1 拡大する攻撃の対象領域
    11.2 暗号化の台頭
    11.3 すべて暗号化すべきか
        11.3.1 幽霊を捕まえる
    11.4 TL;DR(要約)

監訳者あとがき
索引