はじめに
質問:インシデントが発生したらどうすればいいですか?
ネットワールドでは毎月CrowdStrikeのハンズオンセミナーを実施しています。
これまでにたくさんの方にご参加いただいており、我々講師としても実りのある時間となっております。いつもありがとうございます!
さて、そんなハンズオン中に何度かいただいているのが、見出しにも使ったこの質問です。
インシデント(セキュリティ上の問題)が発生したらその後どうすればいい?
打ち合わせなどで相談いただくこともありますが、実は結構回答に悩むんですよね……
今回はこのテーマに、真面目に向き合ってみようと思います。
回答:唯一の正解はありません!
いきなり雑な結論ですみません……ただ、前提としてお伝えしたい点でもあります。
セキュリティインシデントへの対応は組織のポリシーや体制によって異なります。
とにかく防御できていればOKかもしれませんし、特に何も検出されなくても定期的に報告書を作成する必要があるかもしれません。
専用のチームを用意するかもしれませんし、たった一人で他の業務の合間に運用しないといけないかもしれません。
すべてのユーザーにお伝えできる万能の答えはなく、ユーザーは各々で「私達はどうするか」「私達は何を目指すか」を考えるしかないのです。
とはいえ、策を練るには「何ができるか」「どうすればできるか」を知ることが最初の一歩ですよね。
この記事ではインシデント対応のフェーズごとにCrowdStrikeの機能と簡単な使い方を紹介します。
記事に触れた一人ひとりにとって、具体的な戦略を立てるための一助になれば幸いです。
インシデント対応のざっくりした流れ
セキュリティ上の問題発生を起点に、インシデント対応はざっくり以下の流れに沿って進みます。
- 発生:インシデント(セキュリティ上の問題)が起こる
- 認識:インシデントに気づき、解決に向けて動き始める
- 調査:インシデントの詳細を分析し、具体的な対策を考える
- 対応:インシデントを解消するため、実際にアクションを起こす
発生:インシデントが起こる
不審なファイルが実行されたり、不審な通信が行われたり、何らかの疑わしい挙動がインシデントの発生地点となります。
インシデントの発生自体は当然ながら攻撃者によるアクションであり、侵害を受ける側が自発的にどうという話ではないため今回の主題ではないのですが、製品理解も兼ねてもう少し補足します。
CrowdStrikeは通常、不審な振る舞いを検知すると自動的に何らかのアクション(不審なファイルの隔離、不審な通信のブロックなど)を起こします。
このアクションにより侵害は止まり、ユーザー側が明示的に何かをしなくても環境の安全は守られます。
極端な話、「今安全であればOK」ということであれば、特別な対応は不要です。
認識:インシデントに気づく
インシデントが発生した場合、そのインシデントに気づくことがすべての対応の始まりです。
CrowdStrikeはFalcon UI(Webコンソール)でいろいろなことを確認・操作できます。
認識に関わる機能としては、以下の2点が代表的でしょう。
| 機能 | 特徴 | 向いている用途 |
|---|---|---|
| ダッシュボードの表示 | エンドポイントの状況の統合表示 | 日々の概況確認 |
| メール通知 | 検知があったときにメールが送信される | 自動通知 |
ダッシュボードの表示
Falcon UIにログインすると、最初にエンドポイントセキュリティのダッシュボードが表示されます。
このダッシュボードでは常に最新の情報が表示されますし、各タイルをクリックすることで適切なメニューに遷移できます。
メール通知
ダッシュボードは能動的に確認する手段として有効ですが、一方でメール通知は受動的にインシデントを認知するために有効な手段です。
メール通知はFalconコンソールから簡単に設定できます。特にカスタマイズはできませんが、日々の検知状況把握には必要十分な内容です。
細かい設定をしたい場合はFusion SOARとの連携がおすすめです。
検知されたインシデントの重要度によって通知を変えたり、メールに含まれる内容をカスタマイズしたり、発想次第で様々な調整ができます。
メール以外、例えばSlackなどに通知を飛ばすことも可能です。
調査:インシデントを分析する
検知されたインシデントを更に分析するのが調査フェーズです。
Falcon UI上にはたくさんのツールがありますが、今回は2つほど紹介します。
選定基準は「たぶん多くの人にとって使いやすいだろう」という筆者の独断と偏見です。
| 機能 | 特徴 | 向いている用途 |
|---|---|---|
| 検知の詳細表示 | 実行コマンドやプロセスツリーの確認 | 検知の個別調査 |
| 高度なイベント検索 | 高速で柔軟なログ検索・分析 | 応用分析・ルール化・自動化 |
検知の詳細表示
検知の一覧ページで検知をクリックすると、その詳細が見れます。
どこを見ればいいのか迷うほどの情報量ですが、個人的には上の画像の赤枠部分をよく見ます。
- Crowdstrikeで起こったアクションや使用された手法
- 実行されたコマンドの詳細やファイルのパス
- プロセスツリー (全検知を表示 をクリック)
特にプロセスツリーは、先に挙げた2点も含めグラフィカルな表示で見やすく整理されています。
情報や処理が多い分動作がやや重めなのは難点ですが、情報量の多さとその見やすさという点ではおすすめの画面です。
イベント検索
CrowdStrikeはEDR、XDR、更にNG-SIEMとログの統合的な解析の重要性を訴えていますが、その肝となるのがイベント検索です。
データ量が多くてもすぐに結果が返ってくるレスポンスの良さ、直感的にもロジカルにも使える検索性の良さが特長です。
単にログを参照するだけなら基本的には検知の詳細などで十分、むしろ個人的にはそっちのほうが見やすいのですが、イベント検索は応用性も売りのひとつ。
例えば、検索クエリを利用して独自のダッシュボードを作ることができるし、
メール通知のところで触れたFusion SOARとも連携可能で、サードパーティ製品との連携含めアイデア次第で可能性は無限大です。
ちなみに、ご紹介しているのは正確には「高度なイベント検索」です。
ちなみに通常の「イベント検索」もあります。クエリビルダーとしての用途など便利ですが、「高度な」のほうが使いやすくてあまり出番はないかもしれません。
対応:アクションを起こす
CrowdStrikeでは、ホストに起こせるアクションとして主に2つの選択肢を用意しています。
どちらもFalcon UI(コンソール)で完結する操作で、反応も良いので緊急時の対応として優秀です。
ほとんどすべての調査や操作をコンソールだけでできるのは、総合的にセキュリティソリューションを提供しているCrowdStrikeの強みですね。
| 機能 | 特徴 | 向いている用途 |
|---|---|---|
| リアルタイムレスポンス | 対象端末へのリモート接続・遠隔操作 | ログ取得やスクリプトの送り込み |
| ネットワーク隔離 | 対象端末のネットワークからの論理的な切り離し | 緊急時の一時的な隔離 |
リアルタイムレスポンス(遠隔操作)
Falcon UI経由で対象ホストに接続し、コマンドやスクリプトを送信します。
スクリプトはデフォルトでも用意されている他、独自スクリプトを登録しておくことも可能です。
例えば、「ログをファイルに出力させ、そのログファイルをダウンロードする」といった操作もできます。
ネットワーク隔離
Falcon UI上の操作で対象ホストをネットワークから隔離します。
この隔離は論理的なものであり、物理的な抜線などを伴うものではありません。復帰もFalcon UIから操作できるため便利に使えます。
隔離中も上記のリアルタイムレスポンス機能(RTR)は利用できるため、端末隔離→遠隔操作で調査・修復→隔離解除 といったことも可能です。
まとめ
「発生・認識・調査・対応」という流れに沿って、CrowdStrikeを使ったインシデント対応と関連する機能を紹介しました。
紹介しきれていない機能などもまだまだありますが、長くなってしまったので一旦ここまで……
具体的なイメージを掴んでもらえる内容になっていたら嬉しいです。
「何から始めよう?」と迷ったら、まずダッシュボードを開いて自分の環境を見てみるのも良いと思います!
おまけ
導入で触れたハンズオンセミナーについては過去に紹介記事も書いているので、興味のある方はこちらもご覧ください!
現在は9月・10月分の参加者を募集中です!
