公開日
2023年11月8日
新人SEからVision Oneマスターに、私はなる! #8 Operations Dashboard:セキュリティリスクの可視化
こんにちは、セールスエンジニアリング部 Vision Oneオンボーディングチームの森川です。
「新人SEからVision Oneマスターに、私はなる!」シリーズ 第7回の本編では、
Trend Vision One™ (以下、Vision One) の『Risk Insights』の機能で、組織/デバイス/アカウントに対するリスクスコアの詳細確認・リスク低減策の確認ができる『Operations Dashboard』について、説明から実際の使い方の流れまでスクリーンショット付きで詳しくご紹介します。
組織に関する総合的なリスク状況 (組織全体/デバイス/インシデントの兆候など) を把握されたい場合はExecutive Dashboardにて可能ですのでこちらの記事をご参照ください。
本記事はVision Oneをご登録いただかなくても最後までお読みいただけますが、この機会に是非無料体験版をお試しいただけると幸いです!
Vision One登録手順につきましてはこちらの記事をご参照ください。
一緒にVision Oneマスターになりましょう!
1. Operations Dashboardとは?
Operations Dashboardは、『Risk Insights』の機能の一つです!
Risk Insightsでは、Trend Micro製品のデータや3rd Party製品のデータをリスク分析のデータソースとして活用し、IT資産の洗い出しとIT資産に潜む脆弱性リスクを評価し、可視化します。
※連携可能な3rd Partyの詳細についてはこちらをご参照ください。
その中でもOperations Dashboardは、ユーザ・デバイス・クラウドアプリ等をリスク指標*¹とリスクイベント*²によって、リスクを可視化しています。
※¹リスク指標:露出、攻撃リスク、セキュリティ設定リスクなどを含むリスク要因についての動的なリスク診断に基づいた総合的なリスク指標スコアです。
全社規模の改善策と予防策を講じることで、全社的なリスク指標を徐々に低下させることができます。
※²リスクイベント:各リスクに対するリスクイベントの例は以下をご参照ください。
以下の図がOperations Dashboardの画面です。①「リスク要因」②「クラウドアクティビティ」の2つのタブで構成されているので以下それぞれご説明します。
①「リスク要因」
・リスク指標:数値が高ければ高いほどリスクが大きいことを示しています。
・リスク要因:以下の画面構造から成り立っています。
| リスク要因 | 内容 |
|---|---|
| XDR検出 | XDRによる検出状況を一覧表示 |
| アカウントの侵害 | ユーザ・アカウントの侵害のリスクと高以上のリスクイベントを一覧表示 |
| アクティビティと挙動 | ユーザやネットワーク異常なアクティビティのリスクと高以上のイベントを一覧表示 |
| クラウドアプリのアクティビティ |
クラウドアプリのレピュテーションスコアと高以上のクラウドアプリを一覧表示 |
| システム設定 | クラウド設定のリスクに関する情報を表示 |
| セキュリティ設定 | Trend Micro製品の設定を評価しリスクを一覧表示 |
| 脅威の検出 | 各センサーの脅威検出を一覧表示 |
| 脆弱性 | デバイスの脆弱性リスクと高以上の脆弱性リスクを一覧表示 |
・一覧情報:リスクを削減するためのアプローチを提供します。リスク削減策を確認しながら対処が可能です。
②「クラウドアクティビティ」
クラウドアプリの利用状況、リスクの把握ができます!「クラウドアクティビティ」にて確認できる項目は以下です。
| ウィジェット | 説明 |
|---|---|
アクセスされたクラウドアプリのリスクレベル |
ネットワーク全体でアクセスされたクラウドアプリのリスクレベルの概要を[アクセス数]または[アプリ数]別に示すグラフが表示されます。 |
アクセスされたクラウドアプリのカテゴリ |
ネットワーク全体でアクセスされたクラウドアプリカテゴリの割合を[アクセス数]または[アプリ数]別に示す円グラフが表示されます。 |
接続済みコラボレーションツール |
Operations Dashboard アプリのデータソースとして機能するサードパーティのクラウドアプリ (Office 365など) を接続した場合に、該当のクラウドアプリが表示されます。※Office 365のデータソースを設定することで、リスクの可視性が向上します。 |
承認済みアプリ |
ネットワーク全体でユーザがアクセスした承認済みアプリの上位を表示します。 |
最もアクセス数の多いクラウドアプリトップ10 |
ネットワーク全体で最もアクセスの多いクラウドアプリの上位10件を表示します。 |
最もアクセスの多かったユーザトップ10 |
クラウドアプリを最も頻繁に使用した上位10件のユーザが表示されます。 |
クラウドアプリの場所別アクセス数 |
特定の日にユーザまたはデバイスがクラウドアプリにアクセスした回数と場所が表示されます。 |
【補足:データソース】
Vision Oneコンソール右上の[データソース]をクリックすると、データソースの設定状況を確認することができます。
2.なぜリスクの可視化が重要なのか?
「1. Operations Dashboardとは?」にてOperations Dashboardではリスクの可視化ができますとご説明いたしましたが、そもそもなぜリスクの可視化が重要なのでしょうか?
昨今のランサムウェアを悪用するアクターの目的達成まではおよそ1週間かかるといわれています。
仮にEDRが攻撃に気づくタイミングが4日目だとすると、猶予は2日程度です。この間に攻撃を停止し、再侵入を予防する必要があります!
リスクを可視化し初期侵入前にその予兆を捉えられていると、対応まで1週間程度の猶予期間を得られることになります。
そのため、リスクの可視化が重要となります。
上の図のASRMとは「Attack Surface Risk Management」の略称で、アタックサーフェス (攻撃対象領域) の検出、評価、およびリスクの軽減のために環境内にある外部・内部アセットを発見し、各アセットに対しスコアリングを提示します。
そこから脅威分析が行われるため、発見されたリスクに対して修復を実行すべきか判断できます。
従来、リスクの優先順位付けが不明瞭のため、アラートの処理を正しく行えないという懸念がありましたが、ASRM導入後は、リスクスコアリングによる優先順位付けとアセット所有者の関連付けにより、指示されたアクションプランを決定しやすくなりました。
3.活用事例のご紹介
【通常と異なる場所からのアクセス】
通常と異なる地域からアクセスしたユーザは不審ユーザとしてリスクイベントに検出されます。
認証システム(Azure ADやOkta等)と連携することでアカウントの挙動を分析し、リスク評価を行います。
多拠点からのアクセスや複数回のログイン試行、不正な権限設定変更等から認証情報を悪用されたユーザやアカウントの成りすましの早期発見が可能です!
【通常と異なる挙動を確認】
Office365と連携することでクラウドストレージの監査ログを解析し、通常とは異なるアクセス頻度やデバイスやIPアドレスからのアクセスなどを検知します。
「アクティビティと挙動」で検出されたリスクの高いリスクイベントにより、該当のユーザやデバイスが確認できます。
これにより内部犯による情報漏えい対策の兆候を事前に把握することができます!
【クラウドアプリの利用実態】
Cloud Reputation Service*によって評価されたリスクレベル別のクラウドアプリの利用状況を可視化し、社内のクラウドアプリの利用実態を把握することができます。
「クラウドアプリのアクティビティ」タブでリスクレベル別のアクセス状況やカテゴリによる利用状況の把握ができます。
クラウドアプリの利用実態を把握し、評価/未許可の選別の情報源となります!
※Cloud Reputation Service:企業で利用されているクラウドアプリの利用状況やクラウドアプリのリスク評価を行います。
許可されていないクラウドアプリを利用する「シャドーIT」の検出や、今後 利用を検討しているクラウドアプリの審査の参考情報として利用ができます。
4.知っておくと便利!Operations Dashboardの便利機能
便利機能として2つご紹介します。
1つ目がリスクスコアを他の組織と比較できる機能です。自社のリスクレベルが同業他社と比べてどうなのかを把握したことはありますでしょうか?
[リスク要因]タブの中央にあるグラフにて「他の組織と比較(下記図の赤枠)」のトグルをONにしていただくと、お客さまの会社のリスクレベルが同じ業界の中だとどの位置にいるのかを把握することができます。
2つ目が脆弱性管理の自動化を行う機能です。新たに高リスクな脆弱性が検出された時、影響のある端末の特定と対応開始のトリガー実行を自動で行えると便利ではないでしょうか?
「Security Playbook」という機能をご利用いただくことで、メールでの通知からチケット登録*までの自動化処理が可能となります。
※チケット登録(チケット管理システム):ServiceNowというチケット管理システムと連携することで、脆弱性を見つけたら誰が何をするのかをタスク化しておくことができます。
「Security Playbook」の作成方法につきましては下記の弊社サイトに記載がございます。もしよろしければ是非下記サイトをご参照のうえお試しください。
◆自動応答Playbookの作成
<https://docs.trendmicro.com/ja-jp/enterprise/trend-vision-one-olh/common-apps/security-playbooks/create-playbooks/automated-response-p.aspx>
5.さいごに
お疲れさまでした!
このブログを通して、Operations Dashboardの概要やリスクの可視化の重要性、ユースケースについてご紹介させて頂きました。
Operations Dashboardをご活用いただくことでセキュリティリスクを可視化し迅速に対処することができますので、是非ご活用いただけると幸いです。
他の機能について確認されたい場合は、本シリーズ第2回目の「新人SEからVision Oneマスターに、私はなる! #2 トレンドマイクロのEDR/XDRを簡単に紹介」に一覧をまとめているのでご参照ください。
本シリーズでは、この後もその他の便利な機能の紹介記事を書いていく予定ですので、一緒にVision Oneマスターを目指していきましょう!
ここまでお読みいただき、ありがとうございました。
最新情報
最新のVision Oneについての情報については、Online Helpをご確認ください。
Vision Oneのトライアルはこちらからお申込みください!
ブログシリーズ『新人SEからVision Oneマスターに、私はなる!』
トレンドマイクロ株式会社
セキュリティエキスパート本部 セールスエンジニアリング部
Vision One オンボーディングチーム セールスエンジニア
森川 梨奈