デジタルフォレンジックと事故应对（dfir）とは？

サイバーセキュリティにおけるDFIRの役割

より大きなサイバーセキュリティ慣行の枠組みの中で、dfirは、侵害がどう発生したか、さらにその特定のインシデントの修復に必要な具体的手順を詳細に把握する上で役立ちます。総合的なdfirで行われる作業をそれぞれ詳しく見ていきましょう。

事故的检测与响应

侵害の影響を受けたユーザーの検出は、何が発生したかを可視化し、攻撃者をネットワークから排除して侵害を封じ込め、修正し、残りの可滥用的脆弱を修復するために迅速な対応を行うための第一歩です。ここから、念入りな調査を行うことで、進化する攻撃者行動を特定し、将来的にこうした行動をより正確に特定できるようになります。

逻辑调查

侵害はそれぞれに異なるため、ある侵害に対する調査が以前の侵害の調査と同じとなることは決してありません。脅威が差し迫っている場合でも、すでに発生している場合でも、脅威に対して状況に応じたアプローチを取り入れることが不可欠です。調査を開始する際、セキュリティチームは影響を受けるアセットのデータ分析を実行し、ブラウザ履歴に残されたアーティファクト、活动ログ、ディレクトリからのファイル、レジストリハイブの情報を取得します。

威胁情报与分析

威胁情报収集の上で最も重要なステップは、データがセキュリティ組織のあらゆる機能に合わせて調整されていることを確認することです。智能循环をひとたび実践に移すと、情報を収集、分析し、組織内の関連するステークホルダーに配布することで成果が生まれます。このプロセスでは、データを迅速に検索して関連する情報を明らかにできる自動分析を主に活用することが前提となります。

恶意软件解析とリバースエンジニアリング

在网络上恶意软件の疑いがあるものを分析する場合、セキュリティチームはそのサンプルを提出して一連のアナライザーを実行し、リスクスコアに基づいて脅威を分類します。この作業は、状況に優先順位を付けるために役立ち、すぐに対応する必要がある状況か否かを決める判断材料となります。この分析期間で、恶意软件のリバースエンジニアリングを駆使し、元凶である脅威を把握して迅速に根絶するために一番良い方法を見つける上で役立ちます。

事故的封锁和修复

侵害の範囲が完全に特定され、影響を受けたアセット、アプリケーション、ユーザーが封じ込められると、セキュリティ オペレーション センター (SOC) が、通常の業務運営プロセスを復元するための所定の計画を開始します。チームがバックアップシステムのさまざまなコンポーネントを理解できるように、文書は災害計画の鍵となります。自動化されたオフラインバックアップを維持すると、恶意软件攻撃からの回復プロセスにさらに役立ちます。

インシデント対応におけるデジタルフォレンジックの活用方法

デジタルフォレンジックは、プロセスに組み込まれて事故应对中使用。。セキュリティ担当者であればご存じかと思いますが、インシデントに対応して問題を解決するだけでは不十分で、何がどのように起こったのかを正確に把握し、その攻撃経路に合わせてシステムを調整し、次にそのような行動が発見されたときにカスタマイズされたアラートを発することができるようにしなければなりません。

“数字逻辑是什么?？」と尋ねられたら、（先述の）マルチシステムのフォレンジック中心に説明するのが適切でしょう。つまり、ネットワーク全体で重要なシステムとアセットタイプを監視し、疑わしい行動の兆候がないかクエリを実行できる機能です。このプロセスは、分解すると以下のようになります。

• 収集：端点全体で対象を絞ってデジタルフォレンジック証拠の収集を行います。
• 監視：ログ、ファイル変更、プロセス実行などの端点活动を継続的に監視します。
• 狩猎：信頼できるフォレンジックアーティファクトのライブラリを検索してアクセスし、ネットワーク上の恶意软件に関する疑わしいアクティビティを検索し、特定の威胁狩猎のニーズに合わせてカスタマイズします。

デジタルフォレンジックを行うことにより、脅威対応担当者や検出担当者は、あらゆる数の端点とネットワーク全体のほぼすべてに関わる情報を収集、クエリ、監視できるようになります。この手法は、端点上での継続的な監視ルールの作成やサーバータスクの自動化などにも用いることができます。以下是具体的使用例子。。

• 客户端的监视和警告(检测)：dfirツールは検知に重点を置いた活动クエリを収集できるため、担当者は自律的に端点を監視し、特定の条件が満たされた場合に優先順位の高い警告を送り返すことができます。
• 兆候（威胁情报）のプロアクティブな狩猎：多数のシステムから大規模にアーティファクトを収集し、ハッシュなどの威胁情报情報と組み合わせることで、既知の悪意ある行為者による侵害を事前対応的に探索します。
• 将事件持续转移到另一个系统：監視クエリを使用して活动を簡単に転送できます。
• 別のシステムでの分析向けバルクファイルの収集（デジタルフォレンジック）：dfirツールは、のちに他のツールで分析できるよう、端点からバルクファイルを収集します。
• 端点上の兆候の解析（デジタルフォレンジック）：アーティファクトを使用して端点上のファイルを直接解析し、時間のかかる後処理を行わずに実用的で価値の高い情報を迅速に返します。
• 多数のシステムにわたるプロアクティブな兆候の狩猎（事故应对）：dfirツールは多くの端点からのアーティファクトを同時に検出できます。

DFIRがサイバーセキュリティプログラムの重要なツールである理由

攻撃者がネットワークの侵害に悪用しようとしたり、すでに使用した手法と経路をより正確かつ詳細に明らかにする上で役立つdfirは、サイバーセキュリティプログラムに欠かせないツールです。

攻撃の対応にとどまらず、今後、同一または類似の動作を認識するための予防措置を調整できることが、企業とそのセキュリティプログラムにとって最大の利益となります。

dfir的好处是？

侵害調査の目標は、セキュリティチームが起こったことを理解し、より強力なプログラムを作成できるようにするための可視化であることを考えれば、dfirのメリットは多大です。

• 恢复的快速化：過去のインシデントやライブラリのアーティファクトに基づいてより関連性の高い警告が表示されるため、dfir担当者がインシデントへの対応と復旧をより迅速に行えるようになります。
• 强化保安态势：脅威への対応と調査をより正確に行えるようになれば、組織全体の健全性とセキュリティ態勢が改善し始めます。外部的dfir服务プログラムは、さらに詳細な調査を実施し、社内の実務担当者が他の目標や優先事項に集中できるようにすることで、さらに付加価値を高めます。
• 数据共享功能：最新のdfir解决方案には、脅威やインシデントに対応して実行されたすべてのアクションの正確なレポートが含まれており、こうしたレポートや重要な洞察は、要望に応じてあらゆるステークホルダーと簡単に共有できます。
• 不留推测的余地：攻撃者の侵入方法や経路、素性や動機などが徹底したdfir機能により明らかになり、発生した事象、今後発生すると考えられる事象を推測を交えずに的確に理解できます。

关于dfir的进一步阅读

dfir： 最新のRapid7ブログ記事

VeloCON：Rapid7のdfirコミュニティ活动