** 本記事は、A day in the life of a Sophos MDR analyst の翻訳です。最新の情報は英語記事をご覧ください。**
Sophos Managed Detection and Response (MDR) は、コンピュータ、サーバー、ネットワーク、クラウドワークロード、メールアカウントなどを標的としたサイバー攻撃を検知し、対応するセキュリティ専門家が提供する24時間365日のフルマネージドサービスです。
ソフォス MDR アナリスト兼チームリーダーの Anthony Bradshaw の一日の舞台裏をご紹介します。セキュリティアナリストの日常的な活動や、MDR のお客様に対する脅威の検出と修復の最近の事例などを紹介します。
Sophos:その前に、MDRをどのように定義しますか?
Bradshaw:MDR は「Managed Detection and Response」の頭文字をとった業界用語ですが、それ以上のものです。脅威インテリジェンス、脅威ハンティング、脅威リサーチ、検知エンジニアリング、インシデントレスポンス、などなどです。重要なシステムを保護するための完全なパッケージであり、高度な技術を持つアナリストが敵対者に瞬時に対応できる能力を持っています。
そのため、私たちのようなチームと協力することで、サイバーセキュリティのインフラを管理する複雑さを軽減し、組織全体でセキュリティを提供するために必要なすべての内部ツールのコストはもちろんのこと、サイバーセキュリティ組織全体をスタッフで配置することは困難で高価であることを認識しています。
Sophos:MDR アナリストはどのような職務を担っているのでしょうか? また、スタッフを配置する際に一般的に求められるスキルや資質は何でしょうか?
Bradshaw:MDR アナリストの主な仕事は、インシデントの調査、インシデントへの対応、カスタマーサービスの提供の3つです。調査」と「対応」は当然として、「カスタマーサービス」についても触れたいと思います。
アナリストは常に顧客と接しています。不審な動きを確認するための簡単な電話であれ、インシデントを処理するための本格的な Zoom セッションであれ、アナリストが優れた顧客サービスを提供することの価値を理解することは非常に重要なことです。
スキルや資質については、当然ながら技術的な側面が大好きです。Security+ やNetwork+ などの基本的な資格や教育を受けていれば、その分野に興味があり、少し分析的であることを示すことができるので、素晴らしいスタートとなります。しかし、ソフトスキルは必須です。重要な時に言うべきことを伝え、明確にすることは、価値を超えています。
また、私たちはあらゆるバックグラウンドの経験者を求めています。元教師や退役軍人など、実に多様な人材がチームを構成しています。結局のところ、サイバーセキュリティに純粋に情熱を注いでいる人を求めているのです。成功するために必要なハードスキルとソフトスキルは、いつでもトレーニングできます。
Sophos:MDRアナリストは、どのようなツールやテクノロジーを使って仕事をするのでしょうか?
Bradshaw:ソフォスのアナリストは、さまざまな独自ツールやオープンソースツールを使用して調査を行い、脅威の探索に取り組んでいます。
また、調査分析の大部分には、Sophos Central(クラウドベースの製品管理コンソール)を使用しています。
自社製品やサードパーティ製品からデータを取り込み、それらを自動的に統合、相関、優先順位付けして、脅威の検出、調査、対応を加速させ、より良いサイバーセキュリティの成果を提供できるようにします。
MDR チームはこの強化されたデータを監視し、奇妙な電子メール ID、ファイアウォールの侵入、MS Graph API によるマイクロソフトイベントの検出など、異常なものについてのアラートを受け取ったときに対応します。この 2つのプラットフォームと、IP、ドメイン、ファイルなどを調査するための標準的なオープンソースツールを組み合わせています。
Sophos:チームの人の 1日の流れはどのようなものですか?
Bradshaw:一般的に、アナリストのシフトの最初の 30分は、前シフトで起こったことを引き継ぎして把握し、バトルステーションにログインして、その日の準備をします。その後、調査、検知のチューニング、脅威の探索、ライブインシデントなどの作業に取り掛かります。
比較的新しいサードパーティーのファイアウォールベンダーが関与した最近のケースで、脅威行為者がお客様のファイアウォールのインターフェースにアクセスし、ポリシーを変更したり、新しい管理者アカウントを作成したりすることができたのです。脅威行為者は、このアカウントを使ってお客様のインフラに侵入し、ドメインを列挙して横方向に移動 (ラテラルムーブメント) するようになりました。
横移動とドメイン列挙を検知し、すぐにお客さまに連絡したところ、想定外の動きであることを確認していただきました。そして、インシデントレスポンスの手順を開始しました。
その結果、お客様はファイアウォールのパッチを短期間で導入することができました。また、ファイアウォールのログを確認して初期アクセスを確認し、IOC (indicator of compromise) を特定して、今後同様の攻撃を防ぐためにお客様のネットワークエッジでブロックすることにしました。
典型的な一日の流れはこんな感じでしょうか。また、アナリストには頻繁に開発・成長日を設けており、プロジェクトや研究、さらには取得したい次の認定資格に取り組むことができます。ソフォスでは、社員だけでなく、お客様やパートナーにもさまざまな認定プログラムを提供しています。
コメントを残す