実践 CSIRTプレイブック ―セキュリティ監視とインシデント対応の基本計画

実践 CSIRTプレイブック ―セキュリティ監視とインシデント対応の基本計画

by Jeff Bollinger, Brandon Enright, Matthew Valites, 飯島 卓也, 小川 梢, 柴田 亮, 山田 正浩, 谷崎 朋子
Released May 2018
Publisher(s): O'Reilly Japan, Inc.
ISBN: 9784873118383

Read it now on the O’Reilly learning platform with a 10-day free trial.

O’Reilly members get unlimited access to books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.

Start your free trial

Book description

サイバー攻撃はここ数年で規模、複雑さ、特徴ともに劇的に進化し続けています。検知や対応が適切であっても、その効果を維持し続けるには、さらなる取り組みと高度化が必要です。サイバー攻撃から組織を守り、セキュリティを脅かす不正アクセス、ウイルス、標的型攻撃、情報漏洩などのインシデントに対応する専門チームであるCSIRT(Computer Security Incident Response Team)の重要性が高まっています。本書は、シスコシステムズのCSIRTが10年以上の蓄積の中で編み出したセキュリティ監視、インシデント対応、脅威分析の基本アプローチを一冊にまとめたものです。CSIRTをすでに導入している組織も、これから導入をする組織にとっても、必携の一冊です。

Table of contents

  1. 序文
  2. はじめに
    1. 対象読者
    2. 本書の目的
    3. 要点
    4. 本書の使い方
    5. その他の参考情報
    6. 本書の表記法
    7. 問い合わせ先
    8. 謝辞 (1/2)
    9. 謝辞 (2/2)
  3. 1章 インシデント対応の基本
    1. 1.1 インシデント対応チーム
    2. 1.2 チームの存在を正当化する
    3. 1.3 評価方法
    4. 1.4 どこと連携するか
      1. 1.4.1 外部組織との連携
    5. 1.5 チームを育てるのはツール
    6. 1.6 自分たちのポリシーを策定する
    7. 1.7 購入するか、開発するか
    8. 1.8 プレイブックを使う
    9. 1.9 本章のまとめ
  4. 2章 守りたいものは何か
    1. 2.1 中核となる4つの質問
    2. 2.2 ここにあった出入り口はいずこへ?
    3. 2.3 ホストの属性
      1. 2.3.1 自前のメタデータを活用する
    4. 2.4 重要なデータを特定する
    5. 2.5 自分のサンドイッチを作ろう
    6. 2.6 その他の重要なデータ
      1. 2.6.1 簡単な達成目標
    7. 2.7 基準となる標準規格
    8. 2.8 リスクの許容
    9. 2.9 プレイブックのコピーをいただけますか
    10. 2.10 本章のまとめ
  5. 3章 脅威は何か
    1. 3.1 「犯罪者は創造的な芸術家だが、探偵はただの批評家に過ぎない」
    2. 3.2 何事にも屈しない
    3. 3.3 すべてはカネがものを言う
    4. 3.4 欲望と価値観は人それぞれ
    5. 3.5 財布はいらない、電話をよこせ
    6. 3.6 127.0.0.1に勝るものはなし
    7. 3.7 世界戦争を始めようじゃないか
    8. 3.8 闇の芸術への防御策
    9. 3.9 本章のまとめ
  6. 4章 セキュリティ監視におけるデータセントリックなアプローチ
    1. 4.1 データを取得する
      1. 4.1.1 ロギング要件
      2. 4.1.2 事実のみ扱う
      3. 4.1.3 正規化
      4. 4.1.4 フィールドを知る
      5. 4.1.5 フィールド実践
      6. 4.1.6 フィールド内のフィールド
    2. 4.2 メタデータ:データについてのデータ
      1. 4.2.1 セキュリティにおけるメタデータ
      2. 4.2.2 データサイエンスに幻惑!
      3. 4.2.3 メタデータを実践する
      4. 4.2.4 コンテキストがすべてを支配する
    3. 4.3 本章のまとめ
  7. 5章 プレイブックを作成する
    1. 5.1 レポートID
      1. 5.1.1 {$UNIQUE_ID}
      2. 5.1.2 {HF,INV}
      3. 5.1.3 {$EVENTSOURCE}
      4. 5.1.4 {$REPORT_CATEGORY}
      5. 5.1.5 {$DESCRIPTION}
      6. 5.1.6 実施目的
      7. 5.1.7 結果分析
      8. 5.1.8 データクエリ/コード
      9. 5.1.9 アナリストによるコメント/メモ
      10. 5.1.10 フレームワーク完成─次のステップは?
    2. 5.2 本章のまとめ
  8. 6章 運用展開
    1. 6.1 あなたはコンピュータより賢い
      1. 6.1.1 人、プロセス、テクノロジー
      2. 6.1.2 信頼できる内部関係者
      3. 6.1.3 本業を忘れるべからず
      4. 6.1.4 クリティカルシンキング
      5. 6.1.5 体系的なアプローチ
    2. 6.2 プレイブック管理システム
      1. 6.2.1 計測2回、切り取り1回、再度計測
      2. 6.2.2 レポートのガイドライン
      3. 6.2.3 高信頼度レポートを理論的にレビューする
      4. 6.2.4 調査対象レポートを理論的にレビューする
      5. 6.2.5 レポートのレビュー実践
    3. 6.3 イベントクエリシステム
    4. 6.4 結果表示システム
    5. 6.5 インシデントの取り扱いと修復システム
    6. 6.6 ケース追跡システム
    7. 6.7 運用し続けるには
    8. 6.8 フレッシュな状態を保つ
    9. 6.9 本章のまとめ
  9. 7章 商用ツール
    1. 7.1 多層防御
      1. 7.1.1 インシデント検知を成功させる
    2. 7.2 セキュリティ監視ツールキット
      1. 7.2.1 ログ管理:セキュリティイベントのデータウェアハウス
      2. 7.2.2 侵入検知はまだ廃れていない (1/2)
      3. 7.2.2 侵入検知はまだ廃れていない (2/2)
      4. 7.2.3 HIPの一撃(HIP Shot)
      5. 7.2.4 NetFlowについて (1/2)
      6. 7.2.4 NetFlowについて (2/2)
      7. 7.2.5 真なる唯一の王、DNS (1/2)
      8. 7.2.5 真なる唯一の王、DNS (2/2)
      9. 7.2.6 HTTPこそがプラットフォーム:Webプロキシ (1/3)
      10. 7.2.6 HTTPこそがプラットフォーム:Webプロキシ (2/3)
      11. 7.2.6 HTTPこそがプラットフォーム:Webプロキシ (3/3)
      12. 7.2.7 [ローリング]パケットキャプチャ
      13. 7.2.8 インテリジェンスの適用
      14. 7.2.9 ツールの話はこれで終わり
      15. 7.2.10 すべての情報をまとめる
    3. 7.3 本章のまとめ
  10. 8章 クエリとレポート
    1. 8.1 フォルスポジティブ:プレイブックの不倶戴天の敵
    2. 8.2 無償レポートなど存在しない
    3. 8.3 少し潜れば対象範囲も同様に広がる
    4. 8.4 いっぱいのサルといっぱいのタイプライター
    5. 8.5 チェーンは最弱リンクと同程度の強度しかない
    6. 8.6 チェーンではなく、そのつながりを検知する
    7. 8.7 クエリ作成入門
    8. 8.8 不正アクティビティのサンプルをレポートのクエリに変える
    9. 8.9 レポートはパターン、パターンはレポート
    10. 8.10 ゴルディロックスの信頼度
    11. 8.11 見える範囲を越えて模索する
      1. 8.11.1 知っている情報にこだわる
      2. 8.11.2 「既知の良いもの」を求める
      3. 8.11.3 「悪性」のラベル付けがされた何かを探す
    12. 8.12 本章のまとめ
  11. 9章 高度なクエリ作成
    1. 9.1 基本vs.高度
    2. 9.2 フォルスポジティブのパラドックス
    3. 9.3 優れた示唆
    4. 9.4 インジケータとしてのコンセンサス(set演算子と異常値の発見)
    5. 9.5 特徴の調査に向けて作業を設定する
    6. 9.6 黒い羊を探して
    7. 9.7 統計:60%の確率で毎回成功する
    8. 9.8 IDSの不要物を取り除く
    9. 9.9 NetFlowからパターンを引き出す
      1. 9.9.1 水平ポートスキャン
      2. 9.9.2 垂直ポートスキャン
    10. 9.10 統計からビーコニングを探す
    11. 9.11 7はランダムな数字か?
    12. 9.12 偶発的なデータによる相関付け
    13. 9.13 カイザー・ソゼの正体
    14. 9.14 関係者は同罪
    15. 9.15 本章のまとめ
  12. 10章 インシデント発生!どう対応する?
    1. 10.1 防御を強化する
    2. 10.2 ロックダウン
      1. 10.2.1 放送メディア
    3. 10.3 ルートを断つ
      1. 10.3.1 専門外のこと
    4. 10.4 ポテト1つ、ポテト2つ、ポテト3つ、あなたのポテト
      1. 10.4.1 要点を言おう
    5. 10.5 得られた教訓
    6. 10.6 本章のまとめ
  13. 11章 適切な状態を維持するには
    1. 11.1 拡大する攻撃の対象領域
    2. 11.2 暗号化の台頭
    3. 11.3 すべて暗号化すべきか
      1. 11.3.1 幽霊を捕まえる
    4. 11.4 TL;DR(要約)
  14. 監訳者あとがき
  15. 索 引 (1/2)
  16. 索 引 (2/2)

Product information

  • Title: 実践 CSIRTプレイブック ―セキュリティ監視とインシデント対応の基本計画
  • Author(s): Jeff Bollinger, Brandon Enright, Matthew Valites, 飯島 卓也, 小川 梢, 柴田 亮, 山田 正浩, 谷崎 朋子
  • Release date: May 2018
  • Publisher(s): O'Reilly Japan, Inc.
  • ISBN: 9784873118383

You might also like

book

実践 bashによるサイバーセキュリティ対策 ―セキュリティ技術者のためのシェルスクリプト活用術

by Paul Troncone, Carl Albing, 髙橋 基信

bashとLinuxの標準コマンドを活用したセキュリティ対策手法についての解説書。サイバーセキュリティの現場では、常にGUIの最新ツールを使えるとは限りません。CUIによるセキュリティ対策はセキュリティ技術者にとって必須の知識です。本書では、Linux/Mac/Windows環境でbashを含む標準的なLinuxのコマンドラインツール群を用いて、各種情報収集や収集した情報の解析、監視、侵入テスト(ペネトレーションテスト)など、サイバーセキュリティの具体的な手法を実践形式で説明します。

book

実践 時系列解析 ―統計と機械学習による予測

by Aileen Nielsen, 山崎 邦子, 山崎 康宏

時系列データが使われる範囲は広く、医療データ、金融分析、経済予測、天気予報など、さまざまな分野で使われています。本書は時系列データを通してデータ解析手法を学んでゆくアプローチで、データのクリーニング、プロットの方法、入出力など基本的なトピックについてひととおりカバーしてから、さまざまな分野の事例を数多く取り上げ、統計的手法と機械学習手法の両方を時系列データに適用し、また人気のオープンソースツールも積極的に取り入れた手法を紹介します。プログラムにはRとPythonの両方を利用。データセットやコードはGitHubからダウンロード可能です。

book

リーダーの作法 ―ささいなことをていねいに

by Michael Lopp, 和智 右桂

リーダーシップは一部の人だけに与えられる天職であり、複雑で膨大なリーダーシップの哲学を実践しなければならないと思われがちですが、そんなことはありません。ささいな行動を日々繰り返すことで、お互いを尊敬し、信頼し合うチームを作ることができます。 Netscapeでマネージャー、Appleでディレクター、Slackでエグゼクティブを経験した著者が、それぞれの立場のリーダーに必要な振る舞いを30のエッセイで紹介します。 1on1での傾聴、信頼関係の築き方、仕事の任せ方、メンバーのほめ方、チーム内のうわさ話への対応、組織の文化の作り方など、マネジメントの場面で出会うさまざまなテーマをとりあげ、リーダーとしての具体的な行動や考え方を解説します。

book

Pythonによるデータ分析入門 第2版 ―NumPy、pandasを使ったデータ処理

by Wes McKinney, 瀬戸山 雅人, 小林 儀匡, 滝口 開資

NumPy、SciPy、pandas、Matplotlib、Jupyterをはじめ、高機能で使いやすい数学・科学計算用ライブラリが充実しているPythonは、科学計算、統計解析、機械学習のみならず、金融や経済分野でも広く利用されています。本書はPythonの代表的なデータ分析ツール、pandasの開発者Wes McKinneyによる、データ分析を行うための基本を網羅しています。すべてのサンプルコードはダウンロード可能で、Jupyter Notebookで対話的に試し、実際に手を動かしながら知識を確実なものにすることが可能です。Python 3に対応した待望の改訂版です。