コンテンツにスキップ

機能演習🔗

サービス概要🔗

Secureworksは、機能演習およびドリル(以下で説明)を提供しています。これらの演習やドリルは、お客様の対応準備テストのレベルを向上させ、インシデント対応(IR)チームのメンバーが自身の役割と責任を実践し、IR計画の1つまたは複数の機能領域におけるプロセスを実行できるようにします。各演習は、計画の特定の側面を検証する(ドリル)ものから、完全なIR計画の複数の側面を検証する(機能演習)ものまで、複雑さや範囲が異なります。

設計段階で見落とされがちな現実世界の課題―たとえば、交通状況によりアナリストが決められた時間内に特定の場所へ移動できない、または調査担当者がタスクを実行するための必要な権限を持っていない―などが、対応プロセスに悪影響を及ぼすことがあります。機能演習は、お客様の組織がプロセスや手順を検証し、期待通りに機能することを確認し、課題を特定・解決することで、プロセスや手順のより良い実行を実現します。

サービス手法🔗

ドリルは、特定のIR機能をテストする短時間の演習です。IRドリルでテストできる機能の例は以下の通りです。

  • 当番チームが外部IRプロバイダーをどれだけ迅速に起動できるか
  • チーム全員がアラートを迅速にトリアージし、侵害されたサーバーを隔離できるか

機能演習は、複数の機能を含む広範な対応シナリオであり、現実的かつリアルタイムの環境でハンズオン要素を伴って実施されます。このような演習の例としては、「お客様のツールが、joebloggs@xxxxxxxx.comがフィッシング被害に遭ったという重大なアラートを示しています。アラートのトリアージ、関係者への通知、関連データの取得から、技術的な調査による根本原因の特定、データ損失の有無の確認、調査の完了まで、対応プロセスをどのように実施するかを示してください。」といったものがあります。

ドリルおよび機能演習は、技術的または戦略的な機能を活用し、組織の対応の異なる要素に焦点を当てることができます。お客様のチームと協力して、検証すべきプロセスや手順のリストを作成します。これらの演習中、環境に変更は加えませんが、演習の一環として「Trusted Insider」と協力し、現実的なデータを仕込む場合があります(例:Secureworksが管理するC2サーバーへの実際のネットワークトラフィックを生成するなど)。参加者は、既存のプロセスや自身のツールを活用してタスクを実行します。

参加者は、通常の対応の一部である以下のようなタスクを実施する必要がある場合があります(これらに限定されません)。

  • 自身のツールを用いたアラートのトリアージ
  • データの取得および保全の実施
  • 大規模データセットの転送および分析開始
  • 適切なタイミングで外部ベンダーを巻き込む
  • 公的/社内向け声明のドラフト作成
  • 法務部門と連携し、規制上のリスク要因について協議
  • 人事部門と連携し、関連する調査手順を決定

成果物🔗

観察されたアクティビティを要約し、リスク優先度付きの発見事項およびIRプロセス・手順・実践の改善に向けた推奨事項をまとめたアフターアクションレポートを提供します。参加者は、文書化されたプロセスや手順を、知識と経験豊富なインシデント対応専門家とともにテストし、実際のシステム上で対応タスクに取り組むことで、スキルの向上が期待されます。

スコープおよびサービスユニット🔗

機能演習およびドリルはカスタム対応となるため、Secureworksはスコーピングセッションを実施し、お客様の要件、制約、目標をより深く理解する必要があります。

  • ドリルは最低8サービスユニットが必要
  • 機能演習は最低16サービスユニットが必要