侵害インジケータ (IOC) を使用する

侵害のインジケータ (IOC) とは、ネットワーク、システム、または環境内で観察され、悪意のあるアクティビティまたはセキュリティインシデントを (高い信頼性レベルで) 特定できるアーティファクトです。IOC は、IP アドレス、ドメイン、TCP フラグやペイロードなどのネットワークレベルのアーティファクト、実行可能ファイルなどのシステムレベルまたはホストレベルのアーティファクト、ファイル名とハッシュ、ログファイルエントリ、レジストリエントリなど、さまざまな形式で存在します。また、システム上の特定の項目またはアーティファクトの存在 (特定のファイルまたは一連のファイルおよびレジストリ項目)、特定の順序で実行されるアクション (特定の IP からシステムにログインし、その後に特定の異常なコマンドを実行する)、または特定の脅威、攻撃、攻撃者の方法論を示す可能性のあるネットワークアクティビティ (特定のドメインとの間の異常なインバウンドトラフィックまたはアウトバウンドトラフィック) など、複数の項目またはアクティビティが組み合わさる場合もあります。

インシデント対応プログラムを反復的に改善するには、検出とアラートを継続的に構築して改善し、調査の速度と有効性を向上させるメカニズムとして、IOC を収集、管理、利用するフレームワークを実装する必要があります。まず、IOC の収集と管理をインシデント対応プロセスの分析と調査フェーズに組み込むことから開始できます。IOC をプロセスの標準部分としてプロアクティブに識別、収集、保存することで、(より包括的な脅威インテリジェンスプログラムの一環として) データのリポジトリを構築できます。このリポジトリを使用することで、既存の検出とアラートの改善、追加の検出とアラートの構築、アーティファクトの発生場所と発生日時の特定、一致する IOC が関与していた過去の調査の実施方法に関するドキュメントの構築と参照などを行うことができます。