5章決定フェーズ

“Never interrupt your enemy when he is making a mistake.”

敵が間違いを犯しているときに、敵の邪魔をするな。

─Napoléon Bonaparte(ナポレオン・ボナパルト)

 私たちはインテリジェンスを持っていると宣言するために、インテリジェンスを収集しているわけではありません。インテリジェンスは、戦略的計画を伴うアクションや、インシデント対応プロセスへのサポート提供など、アクションの支援を意図しています。インテリジェンスは、インシデント対応をいくつか重要な方法でサポートします。

  • アラート基準を改善することにより、より良い出発ポイントを提供する
  • 応答プロセスで特定された情報にコンテキストを付与する
  • 攻撃者、攻撃手法、および戦術の理解

 以前に特定されたインテリジェンスあるいは脅威データを使用して、攻撃者がどこにいるか(外部環境、または自分の環境)を特定するプロセスは、決定(Fix)フェーズと定義します。F3EADの決定フェーズでは、調査フェーズで収集した全てのインテリジェンスが、ネットワーク上の攻撃活動の兆候を追跡するために活用されます。5章では、攻撃者が活動していることを決定する3つの方法、IOCの活用、TTPsとも呼ばれる攻撃活動のインジケータ、攻撃者の目標について説明します。

 この章を執筆するのは難しく、包括的ではありません。なぜならば、この章で議論する多くのテーマそれぞれについて、本を1冊書くことができるためです。例えば、マルウェア解析を学びたい場合は、この本で紹介している内容だけでは不十分です。追加の専門書籍をいくつか読み、何か月もの実践的な訓練を行う必要があります。さらに、決定フェーズで採用されているアプローチの多くは、組織で利用されているテクノロジーに基づいて劇的に異なります(例えば、MacとLinuxのメモリ解析には類似点がありますが、Windowsはまったく別物です)。インテリジェンスへの応用へ焦点を当てるため、インシデント対応における重要な概念を取り上げ、特に技術と脅威インテリジェンスの関係性に焦点を当てていきます。また、様々なテーマを学習するために有益な参考文献も紹介していきます。 ...

Get インテリジェンス駆動型インシデントレスポンス ―攻撃者を出し抜くサイバー脅威インテリジェンスの実践的活用法 now with the O’Reilly learning platform.

O’Reilly members experience live online training, plus books, videos, and digital content from nearly 200 publishers.