インシデント対応の説明:ステージとオープンソースソフトウェア

現在の時代は私たちのポケットの中のスーパーコンピューターです。ただし、最高のセキュリティツールを使用しているにもかかわらず、犯罪者はオンラインリソースを攻撃し続けています。この投稿では、インシデントレスポンス(IR)(Incident Response (IR))を紹介し、IRのさまざまな段階を説明してから、IRに役立つ3つの無料のオープンソースソフトウェアをリストします。

インシデントレスポンスとは

インシデントレスポンス

インシデント(Incident)とは何ですか?サイバー犯罪者またはマルウェアがコンピューターを乗っ取っている可能性があります。IRは誰にでも起こり得るので、無視してはいけません。影響を受けないと思うなら、あなたは正しいかもしれません。しかし、インターネット(Internet)に接続されているもの自体の保証はないため、長くはありません。そこにあるアーティファクトは、不正になり、マルウェアをインストールしたり、サイバー犯罪者がデータに直接アクセスしたりする可能性があります。

攻撃が発生した場合に対応できるように、インシデント対応テンプレートが必要です。(Incident Response Template)言い換えれば、IRIFに関するものではなく、情報科学のWHENHOWに関係しています。

インシデント対応(Incident Response)は自然災害にも適用されます。あなたは、災害が発生したときにすべての政府と人々が準備されていることを知っています。彼らは彼らが常に安全であると想像する余裕はありません。このような自然な事件では、政府、軍隊、および多くの非政府組織(NGO(NGOs))。同様に、ITの(Likewise)インシデントレスポンス(Incident Response)(IR)を見落とすことはできません。

基本的に、IRとは、サイバー攻撃の準備ができており、害を及ぼす前にそれを阻止することを意味します。

インシデント対応–6段階

ほとんどのIT専門家は、(IT Gurus)インシデント対応(Incident Response)には6つの段階があると主張しています。他の何人かはそれを5に保ちます。しかし、説明しやすいので6つは良いです。インシデント対応(Incident Response)テンプレートを計画する際に焦点を合わせておく必要のあるIRステージは次のとおりです。

  1. 準備
  2. 身元
  3. 封じ込め
  4. 根絶
  5. 回復、および
  6. 学んだ教訓

1]インシデント対応–準備(1] Incident Response – Preparation)

サイバー攻撃を検出して対処する準備をする必要があります。それはあなたが計画を立てるべきであることを意味します。また、特定のスキルを持つ人々を含める必要があります。会社の才能が不足している場合は、外部組織の人が含まれる場合があります。サイバー攻撃攻撃の場合に何をすべきかを詳しく説明したIRテンプレートを用意することをお勧めします。自分で作成することも、インターネット(Internet)からダウンロードすることもできます。インターネット(Internet)上には多くのインシデントレスポンス(Incident Response)テンプレートがあります。ただし、ITチームはネットワークの状態をよく知っているので、テンプレートを使用することをお勧めします。

2] IR –識別(2] IR – Identification)

これは、不規則性がないかビジネスネットワークトラフィックを特定することを意味します。異常を見つけた場合は、IR計画に従って行動を開始してください。攻撃を防ぐために、セキュリティ機器とソフトウェアをすでに配置している可能性があります。

3] IR –封じ込め(3] IR – Containment)

3番目のプロセスの主な目的は、攻撃の影響を抑えることです。ここで、封じ込めとは、影響を減らし、サイバー攻撃が何かに損害を与える前に防ぐことを意味します。

インシデント対応(Incident Response)の封じ込めは、短期計画と長期計画の両方を示します(インシデントに対抗するためのテンプレートまたは計画があることを前提としています)。

4] IR –根絶(4] IR – Eradication)

インシデントレスポンスの6つの段階での根絶とは、攻撃の影響を受けたネットワークを復元することを意味します。これは、ネットワークやインターネット(Internet)に接続されていない別のサーバーに保存されているネットワークのイメージと同じくらい単純な場合があります。ネットワークの復元に使用できます。

5] IR –回復(5] IR – Recovery)

インシデント対応(Incident Response)の第5段階は、ネットワークをクリーンアップして、根絶後に残された可能性のあるものをすべて削除することです。また、ネットワークを復活させることも指します。この時点でも、ネットワーク上の異常なアクティビティを監視していることになります。

6]インシデント対応–学んだ教訓(6] Incident Response – Lessons Learned)

インシデントレスポンスの6つのステージの最後のステージは、インシデントを調査し、問題があったことを書き留めることです。人々はこの段階を見逃すことがよくありますが、何がうまくいかなかったのか、そして将来それをどのように回避できるのかを学ぶ必要があります。

(Open Source Software)インシデント対応(Incident Response)を管理するためのオープンソースソフトウェア

1] CimSweepは、(1] CimSweep)インシデント対応(Incident Response)を支援するエージェントレスのツールスイートです。あなたがそれが起こった場所に立ち会うことができないならば、あなたはそれを遠隔で行うこともできます。このスイートには、脅威の識別とリモート応答のためのツールが含まれています。また、イベントログ、サービス、アクティブなプロセスなどを確認するのに役立つフォレンジックツールも提供します。詳細については、こちら(More details here)をご覧ください。

2] GRR Rapid Response ToolGitHubで利用可能であり、ネットワーク(自宅(Home)またはオフィス(Office))でさまざまなチェックを実行して、脆弱性があるかどうかを確認するのに役立ちます。リアルタイムのメモリ分析、レジストリ検索などのツールがあります。Pythonで構築されているため、Windows10を含むすべての(Python)WindowsOS –XP以降のバージョンと互換性があります。Githubで確認してください(Check it out on Github)

3] TheHiveは、オープンソースの無料のインシデントレスポンス(Incident Response)ツールです。チームでの作業が可能になります。チームワークにより、さまざまな才能のある人々の仕事(職務)が軽減されるため、サイバー攻撃への対抗が容易になります。したがって、IRのリアルタイム監視に役立ちます。このツールは、ITチームが使用できるAPIを提供します。TheHiveを他のソフトウェアと併用すると、一度に最大100の変数を監視できるため、攻撃が即座に検出され、インシデント対応(Incident Response)が迅速に開始されます。詳細はこちら(More information here)

上記では、インシデントレスポンスについて簡単に説明し、インシデントレスポンスの6つの段階を確認し、インシデントの処理に役立つ3つのツールを挙げています。追加するものがある場合は、以下のコメントセクションで追加してください。(The above explains Incident Response in brief, checks out the six stages of Incident Response, and names three tools for help in dealing with Incidents. If you have anything to add, please do so in the comments section below.)



翔太 松本

About the author

私は 10 年以上の経験を持つソフトウェア開発者です。私は Mac プログラミングを専門としており、TextEdit、GarageBand、iMovie、Inkscape など、さまざまな Mac アプリケーション用に数千行のコードを書いてきました。また、Linux および Windows 開発の経験もあります。開発者としての私のスキルにより、macOS から Linux まで、さまざまなソフトウェア開発プラットフォーム向けの高品質で包括的なチュートリアルを作成することができます。このチュートリアルは、使用しているツールについて詳しく知りたい人にとって最適な選択肢です。


Related posts