内容紹介
CSIRTの構築から運用までに必要な知識が1冊でひと通り得られる!
CSIRT(Computer Security Incident Response Team)は、サイバー攻撃から組織を守り、セキュリティを脅かす不正アクセス、ウイルス、標的型攻撃、情報漏洩などの事故(インシデント)に対応する専門チームです。日本でも近年CSIRTへの需要は急増しており、関心の高いテーマです。本書は、セキュリティモニタリング、インシデントレスポンスの基本~プランニング、CSIRTの構築~運用まで、CSIRTの導入を検討している企業のセキュリティ部門や情報システム部門実務者に不可欠な知識を1冊にまとめています。
目次
詳細目次
序文
はじめに
1章 インシデント対応の基本
1.1 インシデント対応チーム
1.2 チームの存在を正当化する
1.3 評価方法
1.4 どこと連携するか
1.4.1 外部組織との連携
1.5 チームを育てるのはツール
1.6 自分たちのポリシーを策定する
1.7 購入するか、開発するか
1.8 プレイブックを使う
1.9 本章のまとめ
2章 守りたいものは何か
2.1 中核となる 4つの質問
2.2 ここにあった出入り口はいずこへ?
2.3 ホストの属性
2.3.1 自前のメタデータを活用する
2.4 重要なデータを特定する
2.5 自分のサンドイッチを作ろう
2.6 その他の重要なデータ
2.6.1 簡単な達成目標
2.7 基準となる標準規格
2.8 リスクの許容
2.9 プレイブックのコピーをいただけますか
2.10 本章のまとめ
3章 脅威は何か
3.1 「犯罪者は創造的な芸術家だが、探偵はただの批評家に過ぎない」
3.2 何事にも屈しない
3.3 すべてはカネがものを言う
3.4 欲望と価値観は人それぞれ
3.5 財布はいらない、電話をよこせ
3.6 127.0.0.1に勝るものはなし
3.7 世界戦争を始めようじゃないか
3.8 闇の芸術への防御策
3.9 本章のまとめ
4章 セキュリティ監視におけるデータセントリックなアプローチ
4.1 データを取得する
4.1.1 ロギング要件
4.1.2 事実のみ扱う
4.1.3 正規化
4.1.4 フィールドを知る
4.1.5 フィールド実践
4.1.6 フィールド内のフィールド
4.2 メタデータ:データについてのデータ
4.2.1 セキュリティにおけるメタデータ
4.2.2 データサイエンスに幻惑!
4.2.3 メタデータを実践する
4.2.4 コンテキストがすべてを支配する
4.3 本章のまとめ
5章 プレイブックを作成する
5.1 レポート ID
5.1.1 {$UNIQUE_ID}
5.1.2 {HF,INV}
5.1.3 {$EVENTSOURCE}
5.1.4 {$REPORT_CATEGORY}
5.1.5 {$DESCRIPTION}
5.1.6 実施目的
5.1.7 結果分析
5.1.8 データクエリ/コード
5.1.9 アナリストによるコメント/メモ
5.1.10 フレームワーク完成─次のステップは?
5.2 本章のまとめ
6章 運用展開
6.1 あなたはコンピュータより賢い
6.1.1 人、プロセス、テクノロジー
6.1.2 信頼できる内部関係者
6.1.3 本業を忘れるべからず
6.1.4 クリティカルシンキング
6.1.5 体系的なアプローチ
6.2 プレイブック管理システム
6.2.1 計測 2回、切り取り 1回、再度計測
6.2.2 レポートのガイドライン
6.2.3 高信頼度レポートを理論的にレビューする
6.2.4 調査対象レポートを理論的にレビューする
6.2.5 レポートのレビュー実践
6.3 イベントクエリシステム
6.4 結果表示システム
6.5 インシデントの取り扱いと修復システム
6.6 ケース追跡システム
6.7 運用し続けるには
6.8 フレッシュな状態を保つ
6.9 本章のまとめ
7章 商用ツール
7.1 多層防御
7.1.1 インシデント検知を成功させる
7.2 セキュリティ監視ツールキット
7.2.1 ログ管理:セキュリティイベントのデータウェアハウス
7.2.2 侵入検知はまだ廃れていない
7.2.3 HIPの一撃(HIP Shot)
7.2.4 NetFlowについて
7.2.5 真なる唯一の王、 DNS
7.2.6 HTTPこそがプラットフォーム: Webプロキシ
7.2.7 [ローリング]パケットキャプチャ
7.2.8 インテリジェンスの適用
7.2.9 ツールの話はこれで終わり
7.2.10 すべての情報をまとめる
7.3 本章のまとめ
8章 クエリとレポート
8.1 フォルスポジティブ:プレイブックの不倶戴天の敵
8.2 無償レポートなど存在しない
8.3 少し潜れば対象範囲も同様に広がる
8.4 いっぱいのサルといっぱいのタイプライター
8.5 チェーンは最弱リンクと同程度の強度しかない
8.6 チェーンではなく、そのつながりを検知する
8.7 クエリ作成入門
8.8 不正アクティビティのサンプルをレポートのクエリに変える
8.9 レポートはパターン、パターンはレポート
8.10 ゴルディロックスの信頼度
8.11 見える範囲を越えて模索する
8.11.1 知っている情報にこだわる
8.11.2 「既知の良いもの」を求める
8.11.3 「悪性」のラベル付けがされた何かを探す
8.12 本章のまとめ
9章 高度なクエリ作成
9.1 基本 vs.高度
9.2 フォルスポジティブのパラドックス
9.3 優れた示唆
9.4 インジケータとしてのコンセンサス(se演算子と異常値の発見)
9.5 特徴の調査に向けて作業を設定する
9.6 黒い羊を探して
9.7 統計: 60%の確率で毎回成功する
9.8 IDSの不要物を取り除く
9.9 Ne Flowからパターンを引き出す
9.9.1 水平ポートスキャン
9.9.2 垂直ポートスキャン
9.10 統計からビーコニングを探す
9.11 7はランダムな数字か?
9.12 偶発的なデータによる相関付け
9.13 カイザー・ソゼの正体
9.14 関係者は同罪
9.15 本章のまとめ
10章 インシデント発生!どう対応する?
10.1 防御を強化する
10.2 ロックダウン
10.2.1 放送メディア
10.3 ルートを断つ
10.3.1 専門外のこと
10.4 ポテト 1つ、ポテト 2つ、ポテト 3つ、あなたのポテト
10.4.1 要点を言おう
10.5 得られた教訓
10.6 本章のまとめ
11章 適切な状態を維持するには
11.1 拡大する攻撃の対象領域
11.2 暗号化の台頭
11.3 すべて暗号化すべきか
11.3.1 幽霊を捕まえる
11.4 TL;DR(要約)
監訳者あとがき
索引
続きを見る