実践 CSIRTプレイブック ―セキュリティ監視とインシデント対応の基本計画

Table of contents

1. 序文
2. はじめに
   1. 対象読者
   2. 本書の目的
   3. 要点
   4. 本書の使い方
   5. その他の参考情報
   6. 本書の表記法
   7. 問い合わせ先
   8. 謝辞 (1/2)
   9. 謝辞 (2/2)
3. 1章 インシデント対応の基本
   1. 1.1 インシデント対応チーム
   2. 1.2 チームの存在を正当化する
   3. 1.3 評価方法
   4. 1.4 どこと連携するか
      1. 1.4.1 外部組織との連携
   5. 1.5 チームを育てるのはツール
   6. 1.6 自分たちのポリシーを策定する
   7. 1.7 購入するか、開発するか
   8. 1.8 プレイブックを使う
   9. 1.9 本章のまとめ
4. 2章 守りたいものは何か
   1. 2.1 中核となる4つの質問
   2. 2.2 ここにあった出入り口はいずこへ？
   3. 2.3 ホストの属性
      1. 2.3.1 自前のメタデータを活用する
   4. 2.4 重要なデータを特定する
   5. 2.5 自分のサンドイッチを作ろう
   6. 2.6 その他の重要なデータ
      1. 2.6.1 簡単な達成目標
   7. 2.7 基準となる標準規格
   8. 2.8 リスクの許容
   9. 2.9 プレイブックのコピーをいただけますか
   10. 2.10 本章のまとめ
5. 3章 脅威は何か
   1. 3.1 「犯罪者は創造的な芸術家だが、探偵はただの批評家に過ぎない」
   2. 3.2 何事にも屈しない
   3. 3.3 すべてはカネがものを言う
   4. 3.4 欲望と価値観は人それぞれ
   5. 3.5 財布はいらない、電話をよこせ
   6. 3.6 127.0.0.1に勝るものはなし
   7. 3.7 世界戦争を始めようじゃないか
   8. 3.8 闇の芸術への防御策
   9. 3.9 本章のまとめ
6. 4章 セキュリティ監視におけるデータセントリックなアプローチ
   1. 4.1 データを取得する
      1. 4.1.1 ロギング要件
      2. 4.1.2 事実のみ扱う
      3. 4.1.3 正規化
      4. 4.1.4 フィールドを知る
      5. 4.1.5 フィールド実践
      6. 4.1.6 フィールド内のフィールド
   2. 4.2 メタデータ：データについてのデータ
      1. 4.2.1 セキュリティにおけるメタデータ
      2. 4.2.2 データサイエンスに幻惑！
      3. 4.2.3 メタデータを実践する
      4. 4.2.4 コンテキストがすべてを支配する
   3. 4.3 本章のまとめ
7. 5章 プレイブックを作成する
   1. 5.1 レポートID
      1. 5.1.1 {$UNIQUE_ID}
      2. 5.1.2 {HF,INV}
      3. 5.1.3 {$EVENTSOURCE}
      4. 5.1.4 {$REPORT_CATEGORY}
      5. 5.1.5 {$DESCRIPTION}
      6. 5.1.6 実施目的
      7. 5.1.7 結果分析
      8. 5.1.8 データクエリ／コード
      9. 5.1.9 アナリストによるコメント／メモ
      10. 5.1.10 フレームワーク完成─次のステップは？
   2. 5.2 本章のまとめ
8. 6章 運用展開
   1. 6.1 あなたはコンピュータより賢い
      1. 6.1.1 人、プロセス、テクノロジー
      2. 6.1.2 信頼できる内部関係者
      3. 6.1.3 本業を忘れるべからず
      4. 6.1.4 クリティカルシンキング
      5. 6.1.5 体系的なアプローチ
   2. 6.2 プレイブック管理システム
      1. 6.2.1 計測2回、切り取り1回、再度計測
      2. 6.2.2 レポートのガイドライン
      3. 6.2.3 高信頼度レポートを理論的にレビューする
      4. 6.2.4 調査対象レポートを理論的にレビューする
      5. 6.2.5 レポートのレビュー実践
   3. 6.3 イベントクエリシステム
   4. 6.4 結果表示システム
   5. 6.5 インシデントの取り扱いと修復システム
   6. 6.6 ケース追跡システム
   7. 6.7 運用し続けるには
   8. 6.8 フレッシュな状態を保つ
   9. 6.9 本章のまとめ
9. 7章 商用ツール
   1. 7.1 多層防御
      1. 7.1.1 インシデント検知を成功させる
   2. 7.2 セキュリティ監視ツールキット
      1. 7.2.1 ログ管理：セキュリティイベントのデータウェアハウス
      2. 7.2.2 侵入検知はまだ廃れていない (1/2)
      3. 7.2.2 侵入検知はまだ廃れていない (2/2)
      4. 7.2.3 HIPの一撃（HIP Shot）
      5. 7.2.4 NetFlowについて (1/2)
      6. 7.2.4 NetFlowについて (2/2)
      7. 7.2.5 真なる唯一の王、DNS (1/2)
      8. 7.2.5 真なる唯一の王、DNS (2/2)
      9. 7.2.6 HTTPこそがプラットフォーム：Webプロキシ (1/3)
      10. 7.2.6 HTTPこそがプラットフォーム：Webプロキシ (2/3)
      11. 7.2.6 HTTPこそがプラットフォーム：Webプロキシ (3/3)
      12. 7.2.7 ［ローリング］パケットキャプチャ
      13. 7.2.8 インテリジェンスの適用
      14. 7.2.9 ツールの話はこれで終わり
      15. 7.2.10 すべての情報をまとめる
   3. 7.3 本章のまとめ
10. 8章 クエリとレポート
    1. 8.1 フォルスポジティブ：プレイブックの不倶戴天の敵
    2. 8.2 無償レポートなど存在しない
    3. 8.3 少し潜れば対象範囲も同様に広がる
    4. 8.4 いっぱいのサルといっぱいのタイプライター
    5. 8.5 チェーンは最弱リンクと同程度の強度しかない
    6. 8.6 チェーンではなく、そのつながりを検知する
    7. 8.7 クエリ作成入門
    8. 8.8 不正アクティビティのサンプルをレポートのクエリに変える
    9. 8.9 レポートはパターン、パターンはレポート
    10. 8.10 ゴルディロックスの信頼度
    11. 8.11 見える範囲を越えて模索する
        1. 8.11.1 知っている情報にこだわる
        2. 8.11.2 「既知の良いもの」を求める
        3. 8.11.3 「悪性」のラベル付けがされた何かを探す
    12. 8.12 本章のまとめ
11. 9章 高度なクエリ作成
    1. 9.1 基本vs.高度
    2. 9.2 フォルスポジティブのパラドックス
    3. 9.3 優れた示唆
    4. 9.4 インジケータとしてのコンセンサス（set演算子と異常値の発見）
    5. 9.5 特徴の調査に向けて作業を設定する
    6. 9.6 黒い羊を探して
    7. 9.7 統計：60％の確率で毎回成功する
    8. 9.8 IDSの不要物を取り除く
    9. 9.9 NetFlowからパターンを引き出す
       1. 9.9.1 水平ポートスキャン
       2. 9.9.2 垂直ポートスキャン
    10. 9.10 統計からビーコニングを探す
    11. 9.11 7はランダムな数字か？
    12. 9.12 偶発的なデータによる相関付け
    13. 9.13 カイザー・ソゼの正体
    14. 9.14 関係者は同罪
    15. 9.15 本章のまとめ
12. 10章 インシデント発生！どう対応する？
    1. 10.1 防御を強化する
    2. 10.2 ロックダウン
       1. 10.2.1 放送メディア
    3. 10.3 ルートを断つ
       1. 10.3.1 専門外のこと
    4. 10.4 ポテト1つ、ポテト2つ、ポテト3つ、あなたのポテト
       1. 10.4.1 要点を言おう
    5. 10.5 得られた教訓
    6. 10.6 本章のまとめ
13. 11章 適切な状態を維持するには
    1. 11.1 拡大する攻撃の対象領域
    2. 11.2 暗号化の台頭
    3. 11.3 すべて暗号化すべきか
       1. 11.3.1 幽霊を捕まえる
    4. 11.4 TL;DR（要約）
14. 監訳者あとがき
15. 索 引 (1/2)
16. 索 引 (2/2)