突然の情報セキュリティインシデントは企業組織を驚かせます。外部の専門チームに支援を求める場合は、コミュニケーション効率を高めるために以下の資料を準備することをお勧めします。外部の専門チームがその強みを最大限に発揮し、企業の業務再開を迅速に支援できるようにします。
セキュリティインシデント対応チームと連携するための 5 つの鍵
1. 被害範囲の確認
- 侵害されたコンピュータ、侵害されたドメイン、影響を受けたサービスの総数
2. 主要なマシンのフォレンジック分析に使用するキーツール(Reg, Log, $MFT……)
- Windows
- Exchange IIS log/ mail log
3.コマンドラインプログラム監査を有効にする
- イベントログ 4688
4. ファイアウォールログ
5. トラフィックモニタリングログ
情報セキュリティ インシデント対応チームは、企業が影響を受ける状況を判断できるよう支援します。
まず、情報セキュリティ インシデント対応チームは、企業が次のような影響を受ける状況を明確にするのを支援します。
1. 盗まれたデータ
- 最近追加された zip、tar、rar、その他のファイルを探し、それらが攻撃者によってパッケージ化されているかどうかを確認します。
- エンドポイントにトンネルまたはポート転送ツールがあるかどうかを確認します。
- Megatools、dropbox などのクラウド アプリケーション フォルダーを見つけます。
- 一部のハッカーは誤って設定ファイルを保存してしまうことがあります。どのような情報を盗んだのかを確認することができる可能性があります。
2.侵害されたアカウント
イベント ログを通じて、どのアカウントがハッカーによって横方向の移動やファイルのインストールに使用されたかを確認します。
3. 使用されるツール
- ハッキング ツール: mimikatz、Rubeus、Impacket、LOLBAS…
- バックドア: CobaltStrike、Metasploit、TrickBot…
さらに、インシデント対応チームは、企業が通常業務を再開し、将来同様の攻撃を回避するために適切な情報セキュリティ保護措置を講じられるよう支援します。
堅実な技術的バックグラウンドと最前線での専門知識を基に、TeamT5のインシデントレスポンスチームは徹底した調査と現実世界のサイバー攻撃者に対しての対処を提供します。侵入者の攻撃、インシデントの影響と技術的要因を特定、調査し、クライアントが回復と修復するための解決策と回避策を提案します。
情報セキュリティ インシデントの処理と対応が必要な場合は、相談フォームにご記入ください。 https://teamt5.org/jp/request-information/