コンテンツにスキップ

機能演習🔗

サービス概要🔗

Secureworksは、機能演習とドリル(以下で説明)を提供しています。これらの演習やドリルは、お客様の対応準備テストのレベルを向上させ、インシデント対応(IR)チームのメンバーが自分の役割と責任を実践し、IR計画の1つまたは複数の機能領域におけるプロセスを実行できるようにします。各演習は、計画の特定の側面を検証する(ドリル)ものから、完全なIR計画の複数の側面を検証する(機能演習)ものまで、複雑さや範囲が異なります。

設計段階で見落とされがちな現実世界の問題(たとえば、アナリストが決められた時間内に特定の場所へ移動する際の交通状況や、調査担当者がタスクを実行するための必要な権限を持っていないことなど)は、対応プロセスに悪影響を及ぼす可能性があります。機能演習を通じて、お客様の組織はプロセスや手順が期待通りに機能するかを検証し、課題を特定・解決することで、より良いプロセス/手順の実行を実現できます。

サービス手法🔗

ドリル は、特定のIR機能をテストする短時間の演習です。IRドリルでテストできる機能の例は以下の通りです。

  • 当番チームが外部IRプロバイダーをどれだけ迅速に起動できるか
  • すべてのチームメンバーがアラートを迅速にトリアージし、侵害されたサーバーを隔離できるか

機能演習 は、複数の機能を含む広範な対応シナリオであり、現実的かつリアルタイムな環境でハンズオン要素を伴って実施されます。例えば、次のような演習が挙げられます。「お客様のツールで、joebloggs@xxxxxxxx.comがフィッシング被害に遭ったという重大なアラートが表示されています。アラートのトリアージ、関係者への通知、関連データの取得から、根本原因の技術的調査、データ損失の有無の特定、調査の完了まで、対応プロセスをどのように実施するかを実演してください。

ドリルや機能演習は、技術的または戦略的な機能を活用して、組織の対応のさまざまな要素に焦点を当てることができます。お客様のチームと協力して、検証すべきプロセス/手順のリストを作成します。これらの演習中に環境に変更を加えることはありませんが、演習の一環として「Trusted Insider」と協力し、現実的なデータを仕込む場合があります(例:Secureworksが管理するC2サーバーへの実際のネットワークトラフィックを生成するなど)。参加者は、既存のプロセスや自分のツールを活用してタスクを実行します。

参加者は、通常の対応の一部である以下のようなタスク(これらに限定されません)を実施する必要がある場合があります。

  • 自身のツールを用いたアラートのトリアージ
  • データの取得および保全の実施
  • 大規模データセットの転送および分析開始
  • 適切なタイミングで外部ベンダーを巻き込む
  • 公的/社内向け声明のドラフト作成
  • 規制リスク要因について法務部門と連携
  • 関連する調査手順を決定するために人事部門と調整

成果物🔗

観察されたアクティビティの要約、リスク優先度付きの発見事項、およびIRプロセス・手順・実践の改善に向けた推奨事項をまとめたアフターアクションレポートを提供します。参加者は、文書化されたプロセス/手順を、知識と経験豊富なインシデント対応専門家とともにテストし、実際のシステム上で対応タスクに取り組むことで、スキルの向上が期待されます。

スコープ🔗

機能演習およびドリルはカスタム対応となるため、Secureworksはお客様の要件、制約、目標をより深く理解するためにスコーピングセッションを必須としています。

スケジューリングおよび予約情報🔗

本サービスのスケジューリングに関する情報は、サービススケジューリングをご参照ください。