個別のサイバーキルチェーンノードに対する対応操作
インシデントをより細かく管理したい場合、個別のサイバーキルチェーンノードにさまざまな対応操作を適用することができます。これらの対応操作により、あらゆるノードを迅速かつ容易に修復することができます。
インシデント全体にグローバルな対応操作を適用する場合は、インシデント全体を修復するを参照してください。
対応操作は以下のカテゴリに分類されますが、すべてのノードにカテゴリすべてが含まれているわけではありません。
- 修復:このカテゴリの操作では、攻撃に対する即時対応を実行できます。この操作には、ワークロードのネットワーク分離の管理、ファイル、プロセス、レジストリ値の削除と隔離が含まれます。
- 調査:このカテゴリの操作(ワークロードにのみ適用)では、フォレンジックバックアップの実行や、より詳細な調査のためのリモートデスクトップ接続を実行できます。
- 調査:このカテゴリの操作(ワークロードにのみ適用)では、より詳細な調査のためのリモートデスクトップ接続を実行できます。
- 復元:このカテゴリの操作(ワークロードにのみ適用)では、バックアップからの復元、またはディザスタリカバリフェールオーバーを実行して、集中的な攻撃に対応できます。
- 防止:このカテゴリの操作で、脅威を保護計画の許可リストまたはブロックリストに追加して、将来の脅威に対抗するとともに、偽陽性による検出を防止できます。
インシデントが完了すると、ノードに対応操作を適用できなくなります。ただし、該当の調査ステータスを変更して調査中にすることで、完了したインシデントを再度開くことができます。再度開くと、対応操作を適用できるようになります。
以下の表は、サイバーキルチェーンの各ノードタイプ、各ノードに適用されるカテゴリ、および利用可能な対応操作をまとめたものです。
| ノード | カテゴリ | 対応操作 |
|---|---|---|
| ワークロード | 修復 | |
| 調査 | ||
| 調査 | ||
| 復元 | ||
| 防止 | ||
| プロセス | 修復 | |
| 防止 | ||
| ファイル | 修復 | |
| 防止 | ||
| レジストリ | 修復 | |
| ネットワーク | 防止 |