Northstarでのセキュリティ運用担当のワークフロー
セキュリティ運用(SOC)担当は、一般的に以下のような業務を担当します。
インシデントのトリアージと対応:
インシデントを調査して優先順位を付けます。例えば、インシデントが誤検知か実際の問題であるかを判断します。
初期段階での封じ込めを行います。例えば、IPアドレスをブロックしたり、影響を受けるシステムを分離します。
インシデント対応を実行します。例えば、システムの隔離、問題の除去、システムの復旧を行います。
脅威の調査、リスクと影響範囲の特定
Northstarにおけるセキュリティ運用担当のワークフロー手順
以下は、Northstarを活用したセキュリティ運用担当のワークフロー手順の例です。
インシデントを確認 インシデントページに移動し、Contrastスコアまたは深刻度で並べ替え、重大な問題を優先します。 組織のアプリケーション層を包括的に表示するには、エクスプローラーにアクセスして下さい。 |  | インシデント対応を開始 「インシデント」 ページで、インシデントを選択し、概要、スコア、考えられる原因、関連する資産(サーバとアプリケーション)、関連する課題などの詳細を確認します。 | | トリアージと修復 「インシデント」ページで、関連する課題を選択します。 「修正方法」に記載された対応策を確認して実行します。 必要に応じて、問題解決のためにインシデントを開発者に割り当ててます。 | | インシデントをクローズ 課題が修正され、インシデントが悪用されなくなったことを確認したら、「インシデント」ページでステータスを クローズに変更します。 |