米国 MITRE 世界最高水準のサイバーセキュリティオペレーションセンターの11の戦略 (2022.03)
こんにちは、丸山満彦です。
MITREが世界最高水準のサイバーセキュリティオペレーションセンターの11の戦略を公表していますね。。。全文は452ページあります。。。
● MITRE
・2022.03 11 STRATEGIES OF A WORLD-CLASS CYBERSECURITY OPERATIONS CENTER
11 STRATEGIES OF A WORLD-CLASS CYBERSECURITY OPERATIONS CENTER | 世界最高水準のサイバーセキュリティオペレーションセンターの11の戦略 |
If you are getting started in cybersecurity operations, evolving your existing security operations center (SOC), or engaging with a SOC regularly, MITRE offers free downloads of 11 Strategies of a World-Class Cybersecurity Operations Center—both for the 20-page summary document and the full textbook. Fully revised, this second edition of the popular 10 Strategies of a World-Class Cybersecurity Operations Center includes new material and evolved thinking to bring a fresh approach to excelling at cybersecurity operations and leveraging up your cyber defenses. | サイバーセキュリティオペレーションをこれから始める方、既存のセキュリティオペレーションセンター(SOC)を発展させる方、SOCと定期的に関わる方向けに、MITREは「世界最高水準のサイバーセキュリティオペレーションセンターの11の戦略」の20ページの要約文書と全文を無料でダウンロード提供しています。世界最高水準のサイバーセキュリティ運用センターの10の戦略」の第2版である本書は、全面的に改訂され、新しい資料や進化した考え方を盛り込み、サイバーセキュリティ運用に優れ、サイバー防御を強化するための新たなアプローチを提供します。 |
You will learn to: | 本書では、次のことを学びます。 |
・Understand the mission context in which the SOC operates. | ・SOCが活動するミッションの背景を理解する。 |
・Identify the right SOC structure and functions for your organization. | ・組織にとって適切なSOCの構造と機能を特定する。 |
・Hire and grow talented staff, foster a sense of community, and create a place people want to be. | ・優秀なスタッフを雇用し、成長させ、コミュニティ意識を醸成し、人が集まりたくなるような場所を作る。 |
・Instrument digital assets and fuse their data to speed workflow, maximize detection, and inform situational awareness. | ・デジタル資産を活用し、そのデータを融合することで、ワークフローを高速化し、検知力を高め、状況認識を向上させる。 |
・Leverage cyber threat intelligence to operationalize threat-oriented defense, adversary emulation, hunting, and response. | ・サイバー脅威のインテリジェンスを活用し、脅威指向の防御、敵のエミュレーション、ハンティング、レスポンスの運用を実現する。 |
・Tell the SOC’s story through effective metrics and communications, internally and externally. | ・効果的な指標とコミュニケーションを通じて、SOCのストーリーを社内外に発信します。 |
・[PDF] 要約
・[PDF] 全文
Executive Summary | エグゼクティブサマリー |
This book presents an overview of how to organize and consider the many functions in cybersecurity operations centers (SOCs). It describes strategies that can be applied to SOCs of all sizes, from two people to large, multi-national centers with hundreds of people. It is intended for all cybersecurity operations center personnel, from new professionals just starting in a SOC to managers considering capability expansion of the SOC. Starting with a Fundamentals section table which summarizes functional categories and areas, the book guides cyber professionals through applying mission context to 11 strategies of a worldclass SOC: | 本書は、サイバーセキュリティオペレーションセンター(SOC)における多くの機能をどのように整理し、検討するかについて、その概要を紹介するものである。2名から数百名の大規模な多国籍センターまで、あらゆる規模のSOCに適用できる戦略を解説しています。この本は、SOCに入ったばかりの新しい専門家から、SOCの能力拡張を検討している管理者まで、すべてのサイバーセキュリティ運用センターの担当者を対象としています。本書は、機能分類と分野をまとめた「基礎編」の表から始まり、世界トップクラスのSOCの11の戦略にミッションのコンテキストを適用することで、サイバー専門家をガイドしています。 |
Strategy 1: Know What You Are Protecting and Why | 戦略1:何を守るのか、なぜ守るのかを知る |
Develop situational awareness through understanding the mission; legal regulatory environment; technical and data environment; user, user behaviors and service interactions; and the threat. Prioritize gaining insights into critical systems and data and iterate understanding over time. | ミッション、法的規制環境、技術・データ環境、ユーザ、ユーザの行動、サービスの相互作用、脅威を理解することにより、状況認識を深めます。重要なシステムとデータに関する理解を深めることを優先し、時間をかけて繰り返し理解すします。 |
Strategy 2: Give the SOC the Authority to Do Its Job | 戦略2:SOCに職務を遂行する権限を与える |
Empower the SOC to carry out the desired functions, scope, partnerships, and responsibilities through an approved charter and the SOCs alignment within the organization. | 承認された憲章と組織内のSOCの連携により、SOCが望ましい機能、範囲、パートナーシップ、責任を遂行する権限を与えます。 |
Strategy 3: Build a SOC Structure to Match Your Organizational Needs | 戦略3:組織のニーズに合ったSOCの構造を構築する |
Structure SOCs by considering the constituency, SOC functions and responsibilities, service availability, and any operational efficiencies gained by selecting one construct over another. | SOCの構成は、構成員、SOCの機能と責任、サービスの利用可能性、ある構成を選択することで得られる業務効率などを考慮して決定されます。 |
Strategy 4: Hire AND Grow Quality Staff | 戦略4:質の高いスタッフを雇用し、育成する |
Create an environment to attract the right people and encourage them to stay through career progression opportunities and great culture and operating environment. Plan for turnover and build a pipeline to hire. Consider how many personnel are needed for the different SOC functions. | 優秀な人材を惹きつけ、キャリアアップの機会や素晴らしい文化・経営環境を通じて、継続的に働いてもらえるような環境を整えます。離職率を考慮し、採用のためのパイプラインを構築する。SOCの各機能に必要な人数を検討します。 |
Strategy 5: Prioritize Incident Response | 戦略5:インシデント対応の優先順位を付ける |
Prepare for handling incidents by defining incident categories, response steps, and escalation paths, and codifying those into SOPs and playbooks. Determine the priorities of incidents for the organization and allocate the resources to respond. Execute response with precision and care toward constituency mission and business. | インシデントのカテゴリ、対応ステップ、エスカレーション経路を定義し、それらをSOPやプレイブックに成文化することで、インシデント対応の準備をします。組織におけるインシデントの優先順位を決定し、対応に必要なリソースを割り当てる。構成員のミッションとビジネスに対して、正確かつ慎重に対応を実行します。 |
Strategy 6: Illuminate Adversaries with Cyber Threat Intelligence | 戦略 6: サイバー脅威インテリジェンスで敵を照らし出す |
Tailor the collection and use of cyber threat intelligence by analyzing the intersection of adversary information, organization relevancy, and technical environment to prioritize defenses, monitoring, and other actions. | 敵の情報、組織の関連性、技術的環境の交点を分析し、防御、監視、その他の行動の優先順位付けを行うことで、サイバー脅威情報の収集と活用を調整することができます。 |
Strategy 7: Select and Collect the Right Data | 戦略7:適切なデータを選択し収集する |
Choose data by considering relative value of different data types such as sensor and log data collected by network and host systems, cloud resources, applications, and sensors. Consider the trade-offs of too little data and therefore not having the relevant information available and too much data such that tools and analysts become overwhelmed. | ネットワークやホストシステム、クラウドリソース、アプリケーション、センサーによって収集されたセンサーデータやログデータなど、さまざまな種類のデータの相対的価値を考慮してデータを選択する。データが少なすぎて関連情報が得られない、データが多すぎてツールやアナリストが圧倒されてしまうというトレードオフを考慮します。 |
Strategy 8: Leverage Tools to Support Analyst Workflow | 戦略8:アナリストのワークフローを支援するツールを活用する |
Consolidate and harmonize views into tools and data and integrate them to maximize SOC workflow. Consider how the many SOC tools, including SIEM, UEBA, SOAR, and others fit in with the organization’s technical landscape, to include cloud and OT environments. | SOCのワークフローを最大化するために、ツールやデータへの見方を集約・調和させ、それらを統合します。SIEM、UEBA、SOARなどの多くのSOCツールが、クラウドやOT環境など、組織の技術的な環境にどのように適合するかを検討します。 |
Strategy 9: Communicate Clearly, Collaborate Often, Share Generously | 戦略9:明確なコミュニケーション、頻繁なコラボレーション、惜しみない共有 |
Engage within the SOC, with stakeholders and constituents, and with the broader cyber community to evolve capabilities and contribute to the overall security of the broader community. | SOC内、ステークホルダーや構成員、より広いサイバーコミュニティと関わり、能力を進化させ、より広いコミュニティ全体のセキュリティに貢献します。 |
Strategy 10: Measure Performance to Improve Performance | 戦略10:パフォーマンスを測定してパフォーマンスを改善する |
Determine qualitative and quantitative measures to know what is working well, and where to improve. A SOC metrics program includes business objectives, data sources and collection, data synthesis, reporting, and decision-making and action. | 何がうまくいっているのか、どこを改善すべきかを知るために、定性的・定量的な指標を決定する。SOCの測定基準プログラムには、ビジネス目標、データソースと収集、データの統合、報告、意思決定とアクションが含まれます。 |
Strategy 11: Turn up the Volume by Expanding SOC Functionality | 戦略11:SOCの機能拡張で量を増やす |
Enhance SOC activities to include threat hunting, red teaming, deception, malware analysis, forensics, and/or tabletop exercises, once incident response is mature. Any of these can improve the SOCs operating ability and increase the likelihood of finding more sophisticated adversaries. | インシデントレスポンスが成熟したら、脅威ハンティング、レッドチーミング、デセプション、マルウェア解析、フォレンジック、卓上演習など、SOCの活動を強化します。これらはいずれもSOCの運用能力を向上させ、より巧妙な敵対者を発見する可能性を高めることができます。 |
目次 ↓
Contents | 目次 |
Second Edition Acknowledgments | 第2版 謝辞 |
First Edition Acknowledgments | 初版の謝辞 |
Contents | 目次 |
Executive Summary | エグゼクティブサマリー |
Introduction | はじめに |
Audience | 視聴者の方へ |
How to Use This Book | 本書の使い方 |
Scope | 対象範囲 |
Why the First Edition | なぜ初版なのか |
Why a Second Edition | なぜ第2版なのか |
Changes Since the Original Ten Strategies of a World-Class Cybersecurity Operations Center | 初版からの変更点 世界最高水準のサイバーセキュリティオペレーションセンターの10の戦略 |
0 Fundamentals | 0 基礎知識 |
0.1 The Importance and Role of the SOC | 0.1 SOCの重要性と役割 |
0.2 SOC Functions | 0.2 SOCの機能 |
0.3 SOC Basics | 0.3 SOCの基礎知識 |
0.4 People, Process, and Technology… at Speed | 0.4 人、プロセス、テクノロジー...スピード感を持って |
1 Strategy 1: Know What You Are Protecting and Why | 1 戦略1:何を守るのか、なぜ守るのかを知る |
1.1 Situational Awareness | 1.1 状況認識 |
1.2 SOC Operating Context | 1.2 SOCの運用状況 |
1.3 Understand the Organization’s Mission | 1.3 組織のミッションを理解する |
1.4 Understand the Legal, Regulatory, and Compliance Environment | 1.4 法律、規制、コンプライアンス環境の理解 |
1.5 Understand the Technical Environment, Especially Critical Systems and Data | 1.5 技術環境、特に重要なシステムとデータの理解 |
1.6 Understand the Users, User Behaviors, and Service Interactions | 1.6 ユーザ、ユーザの行動、サービスの相互作用の理解 |
1.7 Understand the Threat | 1.7 脅威を理解する |
1.8 Building Awareness over Time | 1.8 時間をかけて認識を高める |
1.9 Summary – Strategy 1: Know What You Are Protecting and Why | 1.9 まとめ - 戦略1:何を守るのか、なぜ守るのかを知る |
2 Strategy 2: Give the SOC the Authority to Do Its Job | 2 戦略2:SOCに職務を遂行する権限を与える |
2.1 Written Authorities | 2.1 書かれた権限 |
2.2 Organizational Alignment | 2.2 組織的な連携 |
2.3 Summary – Strategy 2: Give the SOC the Authority to Do Its Job | 2.3 まとめ - 戦略2:SOCに職務を遂行する権限を与える |
3 Strategy 3: Build a SOC Structure to Match Your Organizational Needs | 3 戦略3: 組織のニーズに合ったSOCの構造を構築する |
3.1 Drivers for Choosing a SOC Structure | 3.1 SOCの構造を選択するための原動力 |
3.2 SOC Organizational Models | 3.2 SOCの組織モデル |
3.3 Centralized SOC Organizational Structures | 3.3 集中型SOCの組織構造 |
3.4 Selecting SOC Functions and Services | 3.4 SOCの機能・サービスの選択 |
3.5 Should We Operate Our Own SOC? | 3.5 自社でSOCを運営すべきなのか? |
3.6 Should the SOC Go 24x7? | 3.6 SOCは24時間365日体制にすべきか? |
3.7 SOC Physical Location and Maintaining Connections Among Distributed Staff | 3.7 SOCの物理的な場所と分散したスタッフ間のコネクションの維持 |
3.8 Summary – Strategy 3: Build a SOC Structure to Match Your Organizational Needs | 3.8 まとめ - 戦略3:組織のニーズに合ったSOCの構造を構築する |
4 Strategy 4: Hire AND Grow Quality Staff | 4 戦略4:質の高いスタッフを雇用し、育成する |
4.1 Whom Should I Hire? | 4.1 誰を雇うべきか? |
4.2 Grow Your Own SOC Staff | 4.2 自社でSOCスタッフを育てる |
4.3 Create an Environment that Encourages Staff to Stay | 4.3 スタッフが定着するための環境づくり |
4.4 Pre-Plan for Staff Turn-Over | 4.4 離職率に関する事前計画 |
4.5 How Many Analysts Do I Need? | 4.5 アナリストは何人必要ですか? |
4.6 Summary – Strategy 4: Hire AND Grow Quality Staff | 4.6 まとめ - 戦略4:質の高いスタッフを雇用し、育成する |
5 Strategy 5: Prioritize Incident Response | 5 戦略5:インシデント対応の優先順位を付ける |
5.1 What is Incident Handling? | 5.1 インシデントハンドリングとは? |
5.2 Planning | 5.2 計画立案 |
5.3 Detection and Analysis | 5.3 検出と分析 |
5.4 Containment, Eradication and Recovery | 5.4 封じ込め、根絶、復旧 |
5.5 Post Incident Activities | 5.5 インシデント発生後の活動 |
5.6 Incident Response in the Cloud | 5.6 クラウドでのインシデントレスポンス |
5.7 Incident Response with Mobile Devices | 5.7 モバイル端末を用いたインシデントレスポンス |
5.8 Incident Response and OT | 5.8 インシデントレスポンスとOT |
5.9 Summary – Strategy 5: Prioritize Incident Response | 5.9 まとめ - 戦略5:インシデント対応の優先順位を付ける |
6 Strategy 6: Illuminate Adversaries with Cyber Threat Intelligence | 6 戦略6:サイバー脅威インテリジェンスで敵を照らし出す |
6.1 Why CTI is Important | 6.1 CTIが重要な理由 |
6.2 What Is Cyber Threat Intelligence? | 6.2 サイバー脅威インテリジェンスとは? |
6.3 Focusing Goals & Planning | 6.3 目標の絞込みとプランニング |
6.4 Getting Started in CTI | 6.4 CTIを始めるにあたって |
6.5 Understanding the Adversary | 6.5 敵を理解する |
6.6 CTI Tools | 6.6 CTIツール |
6.7 Analysis Reports & Products | 6.7 分析レポートと製品 |
6.8 Organizational Relationships | 6.8 組織的な関係 |
6.9 Common CTI Challenges | 6.9 一般的なCTIの課題 |
6.10 Final Thoughts | 6.10 最後に思うこと |
6.11 Summary – Strategy 6: Illuminate Adversaries with Cyber Threat Intelligence | 6.11 まとめ - 戦略6:サイバー脅威インテリジェンスで敵を照らし出す |
7 Strategy 7: Select and Collect the Right Data | 7 戦略7:適切なデータを選択し収集する |
7.1 Planning for Data Collection | 7.1 データ収集の計画 |
7.2 Intrusion Detection Overview | 7.2 侵入検知の概要 |
7.3 Host Monitoring and Defense | 7.3 ホストの監視と防御 |
7.4 Network Monitoring | 7.4 ネットワークの監視 |
7.5 Instrumenting Constituent Systems in the Cloud | 7.5 クラウド上の構成システムのインストゥルメント化 |
7.6 Monitoring in Zero Trust Environments | 7.6 ゼロトラスト環境での監視 |
7.7 Monitoring Operational Technology | 7.7 運用技術の監視 |
7.8 Two Instrumentation Strategies | 7.8 2つのインスツルメンテーション戦略 |
7.9 Summary – Strategy 7: Select and Collect the Right Data | 7.9 まとめ - 戦略7:適切なデータを選択し収集する |
8 Strategy 8: Leverage Tools to Support Analyst Workflow | 8 戦略8:アナリストのワークフローを支援するツールを活用する |
8.1 Tool Integration Overview | 8.1 ツール統合の概要 |
8.2 Security Information and Event Management | 8.2 セキュリティ情報およびイベント管理 |
8.3 User Entity Behavior Analytics | 8.3 ユーザ・エンティティの行動分析 |
8.4 Case Management | 8.4 ケース管理 |
8.5 Security Automation, Orchestration, and Response | 8.5 セキュリティの自動化、オーケストレーション、レスポンス |
8.6 Protecting SOC Tools and Data | 8.6 SOCツールおよびデータの保護 |
8.7 Cloud Considerations for SOC Tools & Data | 8.7 SOCツールおよびデータのためのクラウドの考慮事項 |
8.8 Summary – Strategy 8: Leverage Tools to Support Analyst Workflow | 8.8 まとめ - 戦略8:アナリストのワークフローを支援するツールを活用する |
9 Strategy 9: Communicate Clearly, Collaborate Often, Share Generously | 9 戦略9: 明確なコミュニケーション、頻繁なコラボレーション、惜しみない共有 |
9.1 Getting Started | 9.1 はじめに |
9.2 Within the SOC | 9.2 SOC内 |
9.3 With Stakeholders and Constituents | 9.3 ステークホルダーと構成員と共に |
9.4 With the Broader Cyber Community | 9.4 広いサイバーコミュニティとともに |
9.5 Summary – Strategy 9: Communicate Clearly, Collaborate Often, Share Generously | 9.5 まとめ - 戦略9: 明確なコミュニケーション、頻繁なコラボレーション、惜しみない共有 |
10 Strategy 10: Measure Performance to Improve Performance | 10 戦略 10: パフォーマンスを測定してパフォーマンスを改善する |
10.1 Elements of a SOC Metrics Program | 10.1 SOC指標プログラムの要素 |
10.2 Utilizing an External Organization to Measure the SOC | 10.2 SOCの測定に外部機関を活用する場合 |
10.3 Example Metrics | 10.3 メトリクスの例 |
10.4 Data Trending | 10.4 データの傾向分析 |
10.5 Not All Measures Result in Positive Outcomes | 10.5 すべての対策がポジティブな結果をもたらすわけではない |
10.6 Summary – Strategy 10: Measure Performance to Improve Performance | 10.6 まとめ - 戦略10:パフォーマンスを測定してパフォーマンスを改善する |
11 Strategy 11: Turn up the Volume by Expanding SOC Functionality | 11 戦略11:SOCの機能拡張で量を増やす |
11.1 Threat Hunting | 11.1 スレットハンティング |
11.2 Red Teaming | 11.2 レッドチーム |
11.3 Purple Teaming | 11.3 パープルチーム |
11.4 Breach and Attack Simulation | 11.4 侵入と攻撃のシミュレーション |
11.5 Deception | 11.5 欺瞞 |
11.6 Malware Analysis Capability | 11.6 マルウェア解析能力 |
11.7 Digital Forensics | 11.7 デジタルフォレンジック |
11.8 Tabletop Exercises | 11.8 卓上演習 |
11.9 Summary – Strategy 11: Turn Up the Volume by Expanding SOC Functionality | 11.9 まとめ - 戦略11:SOCの機能拡張で量を増やす |
References | 参考文献 |
Appendix A Foundational SOC Books | 附属書A SOCの基礎となる書籍 |
Appendix B How to Get Started with Building a SOC | 附属書B SOC構築の始め方 |
B.1 Key Design Decisions and Steering Committee | B.1 重要な設計の決定と運営委員会 |
B.2 Founding: 0 to 6 Months | B.2 ファウンディング。0〜6ヶ月 |
B.3 Build-Out: 6 to 12 Months | B.3 ビルドアウト。6~12ヶ月 |
B.4 Initial Operating Capability: 12–18 Months | B.4 初期運用能力:12ヶ月〜18ヶ月 |
B.5 Full Operating Capability: 18 Months and More | B.5 完全な運用能力:18ヶ月以上 |
Appendix C What Documentation Should the SOC Maintain? | 附属書C SOCが保持すべき文書とは? |
C.1 SOC Programmatics | C.1 SOC プログラマティクス |
C.2 Operations | C.2 オペレーション |
C.3 Engineering and System Administration | C.3 エンジニアリングとシステム管理 |
Appendix D What Should an Analyst Have Within Reach? | 附属書D アナリストが手に届くところに置くべきものは? |
D.1 Communications | D.1 コミュニケーション |
D.2 Data and Tools for All Analysts | D.2 すべてのアナリストのためのデータおよびツール |
D.3 Documents, Records and Miscellaneous | D.3 文書、記録、雑多なもの |
Appendix E Data Sources and Sensoring Technology | 附属書E データソースとセンシング技術 |
Appendix F Abbreviations and Acronyms | 附属書F 略語と頭字語 |
Index | インデックス |
« NIST SP 800-40 Rev.4 組織全体のパッチ管理計画のためのガイド:技術についての予防的保守 | Main | 経済産業省 中小企業のDXに役立つ「手引き」と「AI導入ガイドブック」 »
Comments