book

実践 CSIRTプレイブック ―セキュリティ監視とインシデント対応の基本計画

Name: 実践 CSIRTプレイブック ―セキュリティ監視とインシデント対応の基本計画
ISBN: 9784873118383

by Jeff Bollinger, Brandon Enright, Matthew Valites, 飯島卓也, 小川梢, 柴田亮, 山田正浩, 谷崎朋子

May 2018

Intermediate to advanced

272 pages

6h 2m

Japanese

O'Reilly Japan, Inc.

Read now

Unlock full access

1.1 インシデント対応チーム
1.2 チームの存在を正当化する
1.3 評価方法
1.4 どこと連携するか
1.4.1 外部組織との連携
1.5 チームを育てるのはツール
1.6 自分たちのポリシーを策定する
1.7 購入するか、開発するか
1.8 プレイブックを使う
1.9 本章のまとめ
2章守りたいものは何か
2.1 中核となる4つの質問
2.2 ここにあった出入り口はいずこへ？
2.3 ホストの属性
2.3.1 自前のメタデータを活用する
2.4 重要なデータを特定する
2.5 自分のサンドイッチを作ろう
2.6 その他の重要なデータ
2.6.1 簡単な達成目標
2.7 基準となる標準規格
2.8 リスクの許容
2.9 プレイブックのコピーをいただけますか
2.10 本章のまとめ
3章脅威は何か
3.1 「犯罪者は創造的な芸術家だが、探偵はただの批評家に過ぎない」
3.2 何事にも屈しない
3.3 すべてはカネがものを言う
3.4 欲望と価値観は人それぞれ
3.5 財布はいらない、電話をよこせ
3.6 127.0.0.1に勝るものはなし
3.7 世界戦争を始めようじゃないか
3.8 闇の芸術への防御策
3.9 本章のまとめ
4章セキュリティ監視におけるデータセントリックなアプローチ
4.1 データを取得する
4.1.1 ロギング要件
4.1.2 事実のみ扱う
4.1.3 正規化
4.1.4 フィールドを知る
4.1.5 フィールド実践
4.1.6 フィールド内のフィールド
4.2 メタデータ：データについてのデータ
4.2.1 セキュリティにおけるメタデータ
4.2.2 データサイエンスに幻惑！
4.2.3 メタデータを実践する
4.2.4 コンテキストがすべてを支配する
4.3 本章のまとめ
5章プレイブックを作成する
5.1 レポートID
5.1.1 {$UNIQUE_ID}
5.1.2 {HF,INV}
5.1.3 {$EVENTSOURCE}
5.1.4 {$REPORT_CATEGORY}5.1.5 {$DESCRIPTION}
5.1.6 実施目的
5.1.7 結果分析
5.1.8 データクエリ／コード
5.1.9 アナリストによるコメント／メモ5.1.10 フレームワーク完成─次のステップは？
5.2 本章のまとめ
6章運用展開
6.1 あなたはコンピュータより賢い
6.1.1 人、プロセス、テクノロジー
6.1.2 信頼できる内部関係者
6.1.3 本業を忘れるべからず
6.1.4 クリティカルシンキング
6.1.5 体系的なアプローチ
6.2 プレイブック管理システム
6.2.1 計測2回、切り取り1回、再度計測
6.2.2 レポートのガイドライン
6.2.3 高信頼度レポートを理論的にレビューする
6.2.4 調査対象レポートを理論的にレビューする
6.2.5 レポートのレビュー実践
6.3 イベントクエリシステム
6.4 結果表示システム
6.5 インシデントの取り扱いと修復システム
6.6 ケース追跡システム
6.7 運用し続けるには
6.8 フレッシュな状態を保つ
6.9 本章のまとめ
7章商用ツール
7.1 多層防御
7.1.1 インシデント検知を成功させる
7.2 セキュリティ監視ツールキット
7.2.1 ログ管理：セキュリティイベントのデータウェアハウス
7.2.2 侵入検知はまだ廃れていない (1/2)
7.2.2 侵入検知はまだ廃れていない (2/2)
7.2.3 HIPの一撃（HIP Shot）
7.2.4 NetFlowについて (1/2)
7.2.4 NetFlowについて (2/2)
7.2.5 真なる唯一の王、DNS (1/2)
7.2.5 真なる唯一の王、DNS (2/2)
7.2.6 HTTPこそがプラットフォーム：Webプロキシ (1/3)
7.2.6 HTTPこそがプラットフォーム：Webプロキシ (2/3)
7.2.6 HTTPこそがプラットフォーム：Webプロキシ (3/3)
7.2.7 ［ローリング］パケットキャプチャ
7.2.8 インテリジェンスの適用
7.2.9 ツールの話はこれで終わり
7.2.10 すべての情報をまとめる
7.3 本章のまとめ
8章クエリとレポート
8.1 フォルスポジティブ：プレイブックの不倶戴天の敵
8.2 無償レポートなど存在しない
8.3 少し潜れば対象範囲も同様に広がる
8.4 いっぱいのサルといっぱいのタイプライター
8.5 チェーンは最弱リンクと同程度の強度しかない
8.6 チェーンではなく、そのつながりを検知する
8.7 クエリ作成入門
8.8 不正アクティビティのサンプルをレポートのクエリに変える
8.9 レポートはパターン、パターンはレポート
8.10 ゴルディロックスの信頼度
8.11 見える範囲を越えて模索する
8.11.1 知っている情報にこだわる
8.11.2 「既知の良いもの」を求める
8.11.3 「悪性」のラベル付けがされた何かを探す
8.12 本章のまとめ
9章高度なクエリ作成
9.1 基本vs.高度
9.2 フォルスポジティブのパラドックス
9.3 優れた示唆
9.4 インジケータとしてのコンセンサス（set演算子と異常値の発見）
9.5 特徴の調査に向けて作業を設定する
9.6 黒い羊を探して
9.7 統計：60％の確率で毎回成功する
9.8 IDSの不要物を取り除く
9.9 NetFlowからパターンを引き出す
9.9.1 水平ポートスキャン
9.9.2 垂直ポートスキャン9.10 統計からビーコニングを探す
9.11 7はランダムな数字か？
9.12 偶発的なデータによる相関付け
9.13 カイザー・ソゼの正体
9.14 関係者は同罪
9.15 本章のまとめ
10章インシデント発生！どう対応する？
10.1 防御を強化する
10.2 ロックダウン
10.2.1 放送メディア
10.3 ルートを断つ
10.3.1 専門外のこと
10.4 ポテト1つ、ポテト2つ、ポテト3つ、あなたのポテト
10.4.1 要点を言おう
10.5 得られた教訓
10.6 本章のまとめ
11章適切な状態を維持するには
11.1 拡大する攻撃の対象領域
11.2 暗号化の台頭
11.3 すべて暗号化すべきか
11.3.1 幽霊を捕まえる
11.4 TL;DR（要約）
監訳者あとがき
索引 (1/2)
索引 (2/2)

Overview

サイバー攻撃はここ数年で規模、複雑さ、特徴ともに劇的に進化し続けています。検知や対応が適切であっても、その効果を維持し続けるには、さらなる取り組みと高度化が必要です。サイバー攻撃から組織を守り、セキュリティを脅かす不正アクセス、ウイルス、標的型攻撃、情報漏洩などのインシデントに対応する専門チームであるCSIRT（Computer Security Incident Response Team）の重要性が高まっています。本書は、シスコシステムズのCSIRTが10年以上の蓄積の中で編み出したセキュリティ監視、インシデント対応、脅威分析の基本アプローチを一冊にまとめたものです。CSIRTをすでに導入している組織も、これから導入をする組織にとっても、必携の一冊です。

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.

Read now

Unlock full access

More than 5,000 organizations count on O’Reilly

O’Reilly covers everything we've got, with content to help us build a world-class technology community, upgrade the capabilities and competencies of our teams, and improve overall team performance as well as their engagement.

Julian F.

Head of Cybersecurity

I wanted to learn C and C++, but it didn't click for me until I picked up an O'Reilly book. When I went on the O’Reilly platform, I was astonished to find all the books there, plus live events and sandboxes so you could play around with the technology.

Addison B.

Field Engineer

I’ve been on the O’Reilly platform for more than eight years. I use a couple of learning platforms, but I'm on O'Reilly more than anybody else. When you're there, you start learning. I'm never disappointed.

Amir M.

Data Platform Tech Lead

I'm always learning. So when I got on to O'Reilly, I was like a kid in a candy store. There are playlists. There are answers. There's on-demand training. It's worth its weight in gold, in terms of what it allows me to do.

Mark W.

Embedded Software Engineer

実践 bashによるサイバーセキュリティ対策 ―セキュリティ技術者のためのシェルスクリプト活用術

Publisher Resources

ISBN: 9784873118383Other

Cloud Computing

Data Engineering

Data Science

AI & ML

Programming Languages

Software Architecture

IT/Ops

Security

Design

Business

Soft Skills

実践 CSIRTプレイブック ―セキュリティ監視とインシデント対応の基本計画

by Jeff Bollinger, Brandon Enright, Matthew Valites, 飯島卓也, 小川梢, 柴田亮, 山田正浩, 谷崎朋子

Overview

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.

More than 5,000 organizations count on O’Reilly

Julian F.

Addison B.

Amir M.

Mark W.

You might also like

実践 bashによるサイバーセキュリティ対策 ―セキュリティ技術者のためのシェルスクリプト活用術

実践 AWSデータサイエンス ―エンドツーエンドのMLOpsパイプライン実装

リーダーの作法 ―ささいなことをていねいに

実用 Go言語 ―システム開発の現場で知っておきたいアドバイス

Publisher Resources