コンテンツにスキップ

機能演習🔗

サービス概要🔗

Secureworksは、機能演習およびドリル(以下で説明)を提供しています。これらの演習やドリルは、お客様の対応準備テストのレベルを向上させ、インシデント対応(IR)チームのメンバーが自分の役割と責任を実践し、IR計画の1つまたは複数の機能領域でプロセスを実行できるようにします。各演習は、計画の特定の側面を検証する(ドリル)ものから、完全なIR計画の複数の側面を検証する(機能演習)ものまで、複雑さや範囲が異なります。

設計段階で見落とされがちな現実世界の課題(たとえば、交通状況によりアナリストが決められた時間内に特定の場所へ移動できない、または調査担当者がタスクを実行するための必要な権限を持っていない等)は、対応プロセスに悪影響を及ぼすことがあります。機能演習を通じて、お客様の組織はプロセスや手順が期待通りに機能するかを検証し、課題を特定・解決することで、より良いプロセス/手順の実行を実現できます。

サービス手法🔗

ドリル は、特定のIR機能をテストする短時間の演習です。IRドリルでテストできる機能の例は以下の通りです。

  • 当番チームが外部IRプロバイダーをどれだけ迅速に起動できるか
  • チーム全員がアラートを迅速にトリアージし、侵害されたサーバーを隔離できるか

機能演習 は、複数の機能を含む広範囲な対応シナリオであり、現実的かつリアルタイムな環境でハンズオン要素を伴って実施されます。例えば、次のような演習です。「お客様のツールで、joebloggs@xxxxxxxx.comがフィッシング被害に遭ったという重大なアラートが表示されています。アラートのトリアージ、関係者への通知、関連データの取得から、根本原因の技術的調査、データ損失の有無の特定、調査の完了まで、対応プロセスに従って実施してください。

ドリルおよび機能演習は、技術的または戦略的な機能を活用し、組織の対応の異なる要素に焦点を当てることができます。お客様のチームと協力して、検証すべきプロセス/手順のリストを作成します。これらの演習中、環境に変更は加えませんが、演習の一環として「Trusted Insider」と協力し、現実的なデータ(例:Secureworksが管理するC2サーバーへの実際のネットワークトラフィックの生成など)を仕込む場合があります。参加者は既存のプロセスや自分のツールを活用してタスクを実施します。

参加者は、通常の対応の一部である以下のようなタスク(これらに限りません)を実施する必要があります。

  • 自身のツールを用いたアラートのトリアージ
  • データの取得および保全
  • 大規模データセットの転送と分析開始
  • 適切なタイミングで外部ベンダーを巻き込む
  • 公的/社内向け声明のドラフト作成
  • 法務部門と連携し、規制上のリスク要因について協議
  • 人事部門と連携し、関連する調査手順を決定

成果物🔗

観察されたアクティビティの要約、リスク優先度付きの発見事項、およびIRプロセス・手順・実践の改善提案をまとめたアフターアクションレポートを提供します。参加者は、文書化されたプロセス/手順を、知識と経験豊富なインシデント対応専門家とともにテストし、実際のシステム上で対応タスクに取り組むことで、スキルの向上が期待されます。

スコープおよびサービスユニット🔗

機能演習およびドリルはカスタムサービスであるため、Secureworksはお客様の要件、制約、目標をより深く理解するためにスコーピングセッションを必須としています。

  • ドリルは最低8サービスユニットが必要
  • 機能演習は最低16サービスユニットが必要

スケジューリングおよび予約情報🔗

本サービスのスケジューリングに関する情報は、サービススケジューリングをご参照ください。