4章調査フェーズ

　F3EADサイクルの前半部分、調査（Find）、決定（Fix）、完了（Finish）は、私たちのインシデント対応手順を構成するインシデント対応の主な構成要素です。最初の3つのフェーズでは、攻撃者を標的として、特定し、根絶します。私たちはこれらの対応を支えるためインテリジェンスを利用しますが、これだけでインテリジェンスの活用が終わるわけではありません。このプロセスの後半では、データを運用の観点から活用します。言い換えれば、F3EADサイクルの後半にあたるインテリジェンスフェーズ、すなわち活用（Exploit）、分析（Analyze）、配布（Disseminate）においてもデータを活用していきます。

　この章では、インテリジェンス活動と運用の両方の出発点を特定する、調査フェーズに焦点を当てています。伝統的なF3EADサイクルでは、調査フェーズでは、専門チームが目標とすべき価値の高いターゲットを特定することが一般的です。インテリジェンス駆動型インシデント対応において、インシデント対応に関連する攻撃グループを特定することが調査フェーズの目標といえます。

　進行中のインシデントの場合、初期インジケータを特定したり、与えたりしている可能性があります。場合によっては、さらに詳細に分析すべき事例もあるでしょう。または脅威ハンティング（Threat Hunting）を行っている場合、ネットワーク上で発生している異常な活動を探しているかもしれません。状況に関わらず、何かを見つける前に、何を探すべきかきちんと把握しておく必要があります。 ...