公開日
2023年11月8日
新人SEからVision Oneマスターに、私はなる! #7 Executive Dashboard:組織全体のセキュリティ状況を多角的に把握
こんにちは、セールスエンジニアリング部 Vision One オンボーディングチームの髙木です。
「新人SEからVision Oneマスターに、私はなる!」シリーズ 第7回の本編では、
Trend Vision One™(以下、Vision One)の『Risk Insights』の機能で、無償で組織に関する総合的なリスク状況 (組織全体/デバイス/インシデントの兆候など) を把握できるExecutive Dashboardについて、説明から使用詳細をスクリーンショット付きで詳しくご紹介します。
組織/デバイス/アカウントに対するリスクスコアの詳細確認や、リスク低減策の確認を行いたい場合はOperations Dashboardにて可能ですのでこちらの記事をご参照ください。
本記事はVision Oneをご登録いただかなくても最後までお読みいただけますが、この機会に是非無料体験版をお試しいただけると幸いです!
Vision One登録手順につきましてはこちらの記事をご参照ください。
一緒にVision Oneマスターになりましょう!
1. Executive Dashboardとは
Executive Dashboardは全体的なリスク指標※、ユーザやデバイスなどのアセットリスク、進行中の攻撃、およびすべての要因となるリスクを表示してくれるので、企業のセキュリティ状況を俯瞰的に把握することができます。
※リスク指標は、露出、攻撃リスク、セキュリティ設定リスクなどを含むリスク要因についての動的なリスク診断に基づいた総合的なリスク指標スコアです。
全社規模の改善策と予防策を講じることで、全社的なリスク指標を徐々に低下させることができます。
以下画面は Executive Dashboard の実際の画面です。第一タブと第二タブに分かれます。
表示方法はRisk Insights(
)>Executive Dashboard です。
Executive Dashboardの大まかな画面構造としては以下のようになります。
2.Executive Dashboardのメリットとは?
メリットは組織に存在するリスクをスコアで数値化することで、平常時のベースラインを把握し、異常が発生した際の素早い発見に役立つことです。
更にリスクの上昇要因を調査する場合に、Operations Dashboardを活用いただけます。
3.Executive Dashboardの見方
それではスクリーンショット付きで画面詳細をご説明していきます。
①~⑥の順に進めていきます。
①リスクの概要
会社全体のリスク指標や、以下の項目ごとのリスクレベルを確認できます。
・デバイス
・インターネットに接続するアセット
・アカウント
・アプリケーション
・クラウドアセット
会社全体のリスク指標は、[他の組織の数値を比較]をすることが出来るので、他と比較して自社のリスクが高いか低いかを確認できます。
次に、[リスクイベントの概要]をクリックすると、会社のリスク指標に影響を与えるリスク要因のリストが表示されます。
評価に含まれるのは、リスク指標に最も影響を与えるリスクイベントとアセットの情報です。
リスク指標を低下させる可能性のあるものは修復処理ができます。その詳細については、Operations Dashboardを参照してください。
下記①~⑤のビューに関しては、画像の通り、各リスクレベルが表示されていてリスクを押し上げる項目を把握できます。
②露出の概要
続いて[リスク概要]の隣のタブの[露出の概要]の説明に移ります。
組織全体の露出指数(パッチが適用されていない脆弱性や攻撃の可能性など、さまざまな要因に基づいて算出)を確認できます。
〜100のスコアで、攻撃の深度をスコア化します。露出指数に関しましても、他の組織の数値を比較をすることが可能です。
ここでは以下を把握することができます。
・組織内で確認された脆弱性と、その対策状況
・意図せず公開されているサービス、IPアドレス
・陳腐化した認証方法など、脆弱な設定
具体的には、重大なCVEに関するアラートや組織内の現状(診断範囲や脆弱な端末、レガシ端末)、対処検討材料としてのMTTPなどを把握できます。
③攻撃の概要
[露出の概要]の隣のタブの[攻撃の概要]についてです。
攻撃指数(組織に対する攻撃の強さ)を確認できます。
この指数は、既知の検出数、影響を受けたアセットの数、およびトレンドマイクロのセキュリティ専門家によって定義された一意の脅威の種類ごとの重大度に基づいて算出されています。
次に攻撃指数の下部にある攻撃段階の概要についてです。
攻撃段階の概要では攻撃の深度と検知状況について確認できます。
例えば「認証情報へのアクセス」の割合が大きくなっている場合であれば、Operations Dashboardでアカウント侵害/アクティビティと挙動で詳細を調査へ繋げてみる といった判断が出来ます。
※攻撃段階の概要はMITE ATT&CKによる攻撃の深度やセキュリティ対策製品による検知状況に基づいて算出されます。
⚠【MITRE情報とは?】
MITRE ATT&CK®とも呼んでおり、アメリカの非営利組織であるMITRE社が公開している、脆弱性を悪用した実際の攻撃を戦術と技術または手法の観点で分類したナレッジベースのこと
URL:https://attack.mitre.org/
次に攻撃段階の概要の下部にあるサイバー脅威についてです。
サイバー脅威では、組織で発生した最も強度の高いサイバー脅威を表示します。
注意点として、高い攻撃強度は攻撃の強さを示すものであり、必ずしも何らかのダメージが発生したことを示すものではありません。
④セキュリティ設定
次に[攻撃の概要]の隣のタブにある[セキュリティ設定]についてです。
セキュリティ設定では、トレンドマイクロのエンドポイント製品におけるセキュリティ対策の状況を確認できます。
具体的にセキュリティ設定指数はエージェントとセンサーの配置、主要機能の導入、ライセンスの状態、 エージェントのバージョンなどの要素に基づいて算出されます。
セキュリティ設定を強化すると、組織の[セキュリティ設定指数]のスコアを低くすることが出来ます。こちらも他の組織の数値を比較をすることも可能です。
次に以下画面ではEndpoint製品導入状況と機能設定状況を確認できます。
表示されるEndpoint製品につきましては以下に記載しております。
◆セキュリティ設定の概要
https://docs.trendmicro.com/ja-jp/enterprise/trend-vision-one/security-posture-gro/executivedashboard/securityconfiguratio.aspx
⑤データソース
VisionOneに接続されたサードパーティ製品やトレンドマイクロ製品のデータソースを表示し、詳細な分析情報を取得できます。
その詳細については、Operations Dashboardを参照してください。
⑥レポートを管理
平常時の検出状況やリスク状況の把握、報告などに使用するレポートを自動で生成することができる便利な機能です。
Exective Dashboardの内容をレポートとして出力することが出来るので、リスク状況をチームや組織間でシェアすることが出来ます。
詳細はTrend Vision One™ Reports機能の使い方 レポート出力を予約・自動化に記載しております。
図 実際に出力したレポート
4.さいごに
お疲れさまでした!
このブログでは、Executive Dashboardの概要やメリット、画面の見方や実際の使用方法についてご紹介させていただきました。
Executive Dashboardで企業のセキュリティ状況を適切に把握することで、素早い脅威の発見に役立てていただくことができます。
他の機能について確認されたい場合は、本シリーズ第2回目の「新人SEからVision Oneマスターに、私はなる! #2 トレンドマイクロのEDR/XDRを簡単に紹介」に一覧をまとめているのでご参照ください。
本シリーズでは、この後もその他の便利な機能の紹介記事を書いていく予定ですので、一緒にVision Oneマスターを目指していきましょう!
ここまでお読みいただき、ありがとうございました。
最新のVision Oneについての情報については、Online Helpをご確認ください。
Vision Oneのトライアルはこちらからお申込みください!
ブログシリーズ『新人SEからVision Oneマスターに、私はなる!』
トレンドマイクロ株式会社
セキュリティエキスパート本部 セールスエンジニアリング部
Vision One オンボーディングチーム セールスエンジニア
髙木 彩未