リアルタイムアナリシス
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2022/05/02 00:27 UTC 版)
「サイバーセキュリティ」の記事における「リアルタイムアナリシス」の解説
SOCに求められる主な機能の一つで、ログを参照監視してインシデントの予兆を発見する。監視するログとしては主に以下のものがある: ファイアウォールなどのネットワーク装置のログ IDS/IPS、WAFといったセキュリティ機器のアラートログ Webサーバなどのアクセスログ Active DirectoryやDNSなど各種システムからのログ ユーザ利用端末のログ SIEMのようにログを収集・正規化し、複数のログを相関分析する機器を用いる事で、職人芸的なログ分析能力などの属人性を廃して膨大な量のログを分析する。 ログの分析は以下の2つをトリガーとして行う セキュリティ機器のルールやシグネチャ条件に合致したイベントの発生によるアラートをトリガーにして分析を開始する、 一つのログを定点観測する事で、時間あたりのログの量が急激に増えるなどの現象をトリガにして分析を開始する。 上述した分析だけでは不足する場合は、詳細な分析として以下を行う: 専用のネットワークキャプチャ装置やセキュリティ装置を用いたパケットキャプチャ エンドポイントやサーバから必要なデータを取得 以上に加えリアルタイムアナリシスでは、トリアージ(後述)に必要となる情報の収集を行う。 SOCにはその活動内容の報告が求められ、定期報告と必要に応じた臨時報告を行う。定期報告は大手ソフトウェアメーカーが定期的にパッチをリリースする1週間後程度を目安として行われる事が多い。報告内容は被害端末の情報、攻撃手法、攻撃経路、情報漏えいの有無、影響度、すぐに行うべき短期的な対処策等である。不明なものは不明と明記する事が望ましい。また分析に関する問合せ対応も行う必要がある。
※この「リアルタイムアナリシス」の解説は、「サイバーセキュリティ」の解説の一部です。
「リアルタイムアナリシス」を含む「サイバーセキュリティ」の記事については、「サイバーセキュリティ」の概要を参照ください。
- リアルタイムアナリシスのページへのリンク