web-dev-qa-db-ja.com

Cyber​​secの世界でのトリアージの意味は何ですか?

私はこの用語についてGoogleを検索しましたが、見つけた定義は医学の世界に関連しており、ITには関連していませんでした。それは何かを文書化するためのある種の手順だと思いますか?このWordは、現在作業しているSOC(セキュリティオペレーションセンター)で初めて聞いたことに注意してください。

41
victor26567

私たちのシステムの4000がランサムウェアに感染しているという報告を受けました。

3000はエンドユーザー、800は重要でないサーバー、200は重要なサーバーです。

トリアージはこの混乱を見て、システムの復元を開始する順序を決定しています。一度にすべてに取り組むことはできないため、いくつかを見て、「申し訳ありませんが、できなかった小さなInspironがあります。そこに座ってください。しばらく役に立たない。」

あなたが述べたように、それは医学の世界から来ています。これは、ER医師が2人の患者を診察し、救うことができると確信している患者に取り組むことを決定するのと同じ理由です。あなたは一方を手放し、もう一方は生き残ることができるようにします。負傷者がひどい場合は、2人とも死亡した可能性があります。

セキュリティの世界の違いは、文字通りの生と死ではなく、ユーザーが仕事ができなくなったために多くの場合、ドルが失われることです。復元できる可能性が最も高いシステムで作業すると、環境に最大の生産性がもたらされます。現時点では、1人のユーザーにのみ影響する個々のラップトップを脇に置きます。

優先順位付けに関する Adonalsiumの細かい回答 に加えて、トリアージステップには、イベントの処理に最適な人々へのイベントの初期ルーティングが含まれます。

ウイルスやランサムウェアの攻撃は、最初にコンピュータを隔離して副次的な被害を最小限に抑える運用チームに送られます。 DDoS攻撃は、ネットワークチームに送信され、ガーベッジパケットのシンクを開始する可能性があります。疑惑の報告は、ジェネラリストが後で処理するためにキューに入れられる場合があります。侵入の証拠は、インシデント管理チームにすぐにエスカレートされる可能性があります。

14
John Deters

他の優れた回答に加えて、トリアージという用語は、バグバウンティバグレポートプロセスでも使用され、最初に問題を再現して優先順位を割り当てるプロセスを意味します。

トリアージ

脆弱性の提出を生の提出から有効で簡単に消化できるレポートまで検証するプロセス。

出典: https://www.bugcrowd.com/resources/glossary/triage/

または、報告されたバグのさまざまな状態について話すとき:

トリアージ:有効である可能性があるが、再度確認して検証する必要がある送信。

出典: https://docs.bugcrowd.com/docs/submission-status

この用語はHackerOneでも同様のコンテキストで使用されています(提出の状態が少ないため、BugCrowdによる同名の状態よりも多くカバーされています)。

トリアージ-レポートは評価されましたが、解決されていません。修理済みの状態です。

出典: https://docs.hackerone.com/hackers/report-states.html

7
Torin42