ある企業がインシデント対応の初動として、侵害されたユーザーアカウントに対する即時対応を検討しています。Microsoft Defender XDR のインシデント対応フローとして、最初に実行すべき手順として最も適切なものはどれか。
- A. 関係する全端末をネットワークから分離して被害の拡大を阻止する
- B. インシデントのスコープを特定するために攻撃のタイムラインと影響を受けたエンティティを調査する
- C. 侵害されたアカウントのパスワードを変更し、すべての有効なセッションを取り消す
- D. 法的証拠保全のためにすべてのログを即座にアーカイブする
解答と解説を見る
正解: B
インシデント対応の初動では、まず「何が起きているか」を把握するスコーピング(範囲特定)が最優先です。Microsoft Defender XDR のインシデントビューで攻撃タイムライン・影響を受けたデバイス・ユーザー・メールを確認し、攻撃の範囲と初期侵害ポイントを特定します。スコーピングなしで対応を行うと、見落としたエンティティから攻撃が継続するリスクがあります。Cのパスワード変更はスコーピング後、実際に侵害が確認されたアカウントに対して行う封じ込め手順です。Dのログアーカイブも初動より後の手順です。Aの全端末分離はスコーピングで対象を特定してから行うべきであり、無差別に分離すると業務影響が大きくなります。