目次[隠す][見せる]
内部の問題は、すべての組織で発生する可能性があります。 デバイスが壊れたり、ソフトウェアがメンテナンスを必要としたり、物がなくなったりすることは避けられません。
問題に優先順位を付け、透明性を提供し、チームが問題を迅速に処理できるようにするインシデント管理手順を採用することで、これらの懸念やその他多くの懸念に効果的に対処することができます。
これを大規模に行うには、自動化されたインシデント管理システムを採用する必要があります。
この記事では、自動化されたインシデント管理について詳しく見ていき、その目標と重要性について説明し、サイバーセキュリティ インシデントを管理するための手順を調べます。
まず、インシデント管理の理解を開始し、さらに自動化されたインシデント管理に進みます。
インシデント管理
不測の事態やサービスの中断への対応、およびサービスの運用状態への復帰は、インシデント管理によって処理されます。 すべてのイベントの最も重要な側面は、その迅速な解決です。そのため、プロセスを成文化して従うことが重要です。
インシデント管理プロセスには、通常、次の XNUMX つの手順があります。
- インシデントの優先順位付け
- インシデント対応
- インシデントの分類
- インシデントの識別とログ
自動インシデント管理
自動インシデント管理とは、インシデント対応を自動化して、重要な出来事が特定され、可能な限り最も効果的で信頼できる方法で対処されるようにすることです。
インシデント管理に関しては、時間は重要です。 したがって、自動化されたインシデント管理の主な利点はスピードです。 自動化により、時間のかかるジョブを大幅に迅速に完了することができます。
その結果、インシデント対応時間が短縮され、チームは専門知識が必要なタスクに集中できるようになります。
自動インシデント対応
「インシデント対応」という言葉を聞くと、攻撃や違反を検出、調査、軽減する組織の能力を指します。
ヒューマン コンポーネントは、トラフィックの監視、疑わしいアクティビティの調査、新たな危険が発生したときのプロトコルの作成などに、過去に頻繁に使用されてきました。
ただし、名前が示すように、自動化されたインシデント対応では、方程式から人的要素が取り除かれます。
面倒な操作を自動化し、脅威の検出と対応を加速し、XNUMX 時間体制の防御を提供することで、SOC チームに他の方法でセキュリティ体制を拡張および強化するための時間とスペースを提供します。
サイバーセキュリティ インシデント管理の詳細については、記事の後半で説明します。
自動インシデント管理の重要性
エージェントは事故の処理により集中できるようになりました。
イベントを手動で処理する場合、エージェントはデータを複数回入力する可能性が高く、間違いを犯す可能性が高くなります (システムの問題のステータスを変更できないなど)。
自動化された問題管理ソリューションを使用する場合、エージェントはアプリを切り替えたり、手動操作を完了する必要はありません。
別の方法として、その時間をより多くの問題に迅速に対処するために振り向けることができます。これにより、クライアントとスタッフの満足度が大幅に向上します。
誤検知の減少
アラートは、インシデント管理において役立ちますが、問題もあります。 偽陽性の通知は、実際のアラートと実用的なアラートに含まれることが多く、絶え間ないアラートの集中砲火に従業員を麻痺させ、アラート疲れを引き起こす可能性があります。
自動化されたツールが警告を評価し、適切なチーム メンバーにルーティングすることで、時間とリソースを節約します。
従業員はこれを使用して、チケットのステータスを簡単に追跡できます。
ほとんどのスタッフ メンバーは、彼らが提示するそれぞれの懸念について常に情報を得たいと考えています。 自動化されたインシデント管理により、必要な透明性を提供できます。 どのように?
チケットがエージェントに割り当てられてから解決されるまで、チケットの有効期間の各時点で、従業員はチケットを送信した後、チャットを通じてアラートを受け取ることができます。
従業員はエージェントにステータスの更新を依頼する必要はなく、特定のアプリケーションにアクセスしなくても常に通知されます。
自動インシデント管理の主な機能
- クラスタリングおよびパターン マッチング アルゴリズムを使用して、誤ったアラームなどのノイズを減らすことができます。
- 障害が発生する可能性が高くなる前に、パターンを認識します。
- 異常な状況や行動を積極的に特定し、それらをビジネス上の結果に結び付けるために、静的なしきい値または数値の外れ値を超える多変量の異常に注意してください。
- 因果関係を定義し、トポロジと ML を使用してイベントの可能性のあるソースを特定し、デシジョン ツリー、ランダム フォレスト、グラフ分析を使用してこれらの問題をカスタマー ジャーニーに結び付けます。
- 低リスクから中リスクの日常的なタスクの自動化を促進します。 ワークフロー エンジンを使用すると、他のシステムへの接続を作成する必要がなく、緊急で管理下にある問題に対処できます。
- 問題の優先順位を決定し、直接または以前の経験に基づいた統合を通じて、可能な解決策を提案します。 問題の再発を避けるために、レポジトリでの修復のために、一連のイベント全体で誰に連絡したかを追跡します。
- チャットボットと仮想サポート アシスタント (VSA) を使用して、情報へのアクセスを民主化しながら、ユーザーの効率を高め、反復的な雑用を自動化できます。
例
インシデント管理の自動化によって最もメリットが得られる状況の XNUMX つのカテゴリは、時間が重要で単純な状況です。 顧客に直接影響する技術的な問題は、タイム クリティカルな発生の一例です。
顧客が影響を受ける場合、できるだけ早く問題を終わらせたいと考えています。 逆に、プリンター接続の問題などの単純な発生も自動化できます。
T手続きが簡単で、人が介在することなく解決できます。
インシデント管理プロセスを自動化するには?
1. インシデント管理ワークフローを確立します。
インシデント管理手順を自動化するには、まずインシデント管理ワークフローを設計する必要があります。
イベント ライフサイクルと呼ばれることもあるインシデント ワークフローは、発生後に行われる一連の手順の詳細を示します。 インシデント ワークフローの主な手順は次のとおりです。
- 識別
- 優先順位付け
- レスポンス
- 解像度
インシデント管理のライフサイクルはビジネスごとに異なり、それに合わせて調整されています。
効果的なインシデント管理ワークフローを作成する秘訣は、関係者全員から情報を得て、関係者が行うすべてのアクションを文書化し、必要なすべての情報を収集することです。
タスクを実行し、データを収集する方法については、おそらく多くの意見の相違があるでしょうが、そのプロセスはすべてを視野に入れて行う必要があります。 このため、自動化する前にワークフローをオンボードでマッピングする必要があります。
2. インシデントの優先順位付けの一貫性
次の段階は、インシデントの優先順位を一様にすることです。 正しく対応するには、問題の重大さと根本的な原因を認識しておく必要があります。 インシデントの優先順位付けマトリックスは、組織で使用される一般的なツールです。
インシデント優先度マトリックスは、P1 から P5 の数値スケールを使用して、発生の重要性と適切なアクションを定量化します。
P1 は最も重要であると見なされており、即時の対応が求められます。 システム全体を停止させる可能性のあるサーバーの問題は、P1 オカレンスの例です。
優先順位を下げると、エピソードの重要性/緊急性が低下します。 P1 から P5 の発生の基準を作成するために、組織は評価可能なリスク データを徐々に収集します。
誰もがアプローチに同意する必要があり、これは非常に重要です。
3. 自動ランブック
多くの場合、プレイブックと呼ばれるランブックは、特定のタスクを段階的に実行する方法を説明するマニュアルです。 プレイブックは、頻繁に行うアクティビティの手順を詳細に記述することで、認知的負担を軽減するように設計されています。
ランブックの自動化は、さらに一歩進んで、特定の状況でプロンプトが表示されたときにステップを自動的に実行するソフトウェアをプロセスに組み込むことで、労力を削減します。
Runbook は待ち時間を短縮するだけでなく、プロセスの一貫性を標準化し、改善します。
4. 回顧のためのデータ収集
データ収集は、インシデント管理の重要な段階です。
チームは、インシデントの回顧を作成し、今後のインシデントの影響を軽減するために、インシデント管理プロセス全体でリアルタイム データが収集されていることを確認する必要があります。
発生が報告されるとすぐにデータ収集が開始されます。 アラート プロセスは、監視技術によってイベントが特定または検出されるとすぐに対応を開始するために必要な人物と連絡を取ります。
監視および可観測性テクノロジは、インシデント管理プロセス中にデータを収集しています。 データへのリアルタイム アクセスが可能であり、後でレトロスペクティブ分析に利用できる必要があります。
5. サードパーティ ソフトウェアをプロセスに統合し、一元化する
インシデント管理プロセスが適切に機能するためには、仲介者として行動し、JIRA や Slack などの外部システムとやり取りする必要があります。
コミュニケーションと他のプログラムを切り替えるには時間がかかり、重要な情報を見逃す可能性があります。
バックグラウンド データの収集と発生の自動更新により、自動化されたインシデント管理ソリューションが手順を合理化します。 その間、チームはレポートと活動をリアルタイムで調べることができます。
今度は、サイバーセキュリティ インシデント管理とそのベスト プラクティスを見ていきます。
サイバーセキュリティ インシデント管理
セキュリティ リスクまたは発生のリアルタイムの監視、管理、ロギング、および分析は、サイバーセキュリティ インシデント管理として知られています。 IT システム内に存在する可能性のあるセキュリティ リスクの厳密かつ完全な概要を提供することを目的としています。
セキュリティ イベントは、アクティブな脅威、侵入の試み、侵入の成功、またはデータ漏洩にまで及びます。
セキュリティ問題のいくつかの例には、ポリシー違反や、社会保障番号、財務情報、健康情報、個人を特定できる情報などの記録を含むデータへの違法アクセスが含まれます。
サイバーセキュリティ インシデント管理プロセス
組織は、サイバーセキュリティの脅威が量と巧妙さを増し続けているため、回復力を強化し、将来のインシデントに対する保護を行いながら、この種のインシデントを迅速に特定、対応、および軽減できるようにするポリシーを実装しています。
セキュリティ インシデントを管理するために、ハードウェア、ソフトウェア、および人間主導の調査と分析の組み合わせが使用されます。
イベントが発生したというアラートとインシデント対応チームの起動は、多くの場合、セキュリティ インシデント管理手順の最初のステップです。
その後、インシデント対応担当者が状況を調査および評価して、その範囲を確認し、損害を測定し、緩和戦略を作成します。
IT 環境が本当に安全であることを保証するには、セキュリティ インシデント管理のための多面的な計画を立てる必要があります。
セキュリティ インシデント管理のベスト プラクティス
セキュリティ インシデント管理手順は、あらゆる規模と形態の組織で計画する必要があります。 これらのベスト プラクティスを実践することにより、徹底的なセキュリティ インシデント管理計画を作成します。
- セキュリティ インシデント管理プロセスに必要なすべてのタスクに対応する広範なトレーニング プログラムを作成します。 セキュリティ インシデント管理計画をテスト シナリオに一貫して適用し、必要な調整を行います。
- セキュリティの問題が発生した後の成功と失敗から学ぶために、インシデント後の調査を行います。 次に、必要に応じて、セキュリティ プログラムとインシデント管理手順を変更します。
- セキュリティ インシデント管理戦略と必要な手順を作成します。これには、問題の発見、報告、評価、および処理方法に関する指示が含まれます。 脅威に応じて手順のリストを作成し、利用できるようにします。 必要に応じて、セキュリティ インシデント管理ポリシーを更新します。これは、特に以前の出来事から得た教訓に照らして行われます。
- 役割と義務が明確に定義されたインシデント対応チーム (CSIRT とも呼ばれます) を作成します。 インシデント対応チームには、法務、通信、財務、ビジネス管理または運用などの他の部門からの代表に加えて、IT/セキュリティ部門からの機能的地位も含める必要があります。
まとめ
最後に、自動化されたインシデント管理により、緊急の問題が迅速かつ効果的に特定され、対応され、対処されるようになります。
自動化により、インシデント管理ソリューションが相互にやり取りできるようになり、システム全体でリアルタイムのコミュニケーションが促進されます。
すべての部門が自動化によってまとめられ、IT 運用 (ITOps) チーム間の境界がなくなります。 チームはインシデント ステータス情報に完全にアクセスして、適切な担当者がインシデントを処理していることを確認できます。
チームは自動化を使用して、IT の問題がより一般的になるにつれて、インシデント管理プロセスを簡素化および改善します。
サイバーセキュリティのコンテキストにおけるインシデント管理は、現実世界のサイバーセキュリティに関連するセキュリティ リスクとインシデントを特定、制御、文書化、および評価するプロセスです。
これは、サイバー危機が IT システムを襲った後と前の両方で取るべき重要な対策です。
コメントを残す