● 157 entries
防御と運用
- Aircrack-ng802.11 トラフィックを取得し、ハンドシェイクから WEP および WPA/WPA2 事前共有鍵を解析するオープンソースの Wi-Fi 監査スイート。
- APT グループベンダーや政府が長年追跡する名前付き脅威アクター(多くは国家支援)で、特定の組織や業界に対して目的を絞った長期かつ潤沢な侵入活動を行う。
- BIA(ビジネスインパクト分析)重要な業務プロセスとその依存関係、ならびに中断時の運用・財務・レピュテーション上の影響を体系的に分析する手法。
- BlackCat / ALPHV2021 年末から 2024 年まで活動した Rust 製ランサムウェア・アズ・ア・サービスで、クロスプラットフォームの暗号化と攻撃的な多段恐喝で知られる。
- BloodHoundグラフ理論を用いて Active Directory と Azure AD 上の Domain Admin など高価値ターゲットへの攻撃経路を可視化・分析するオープンソース ツール。
- Burp SuitePortSwigger 製の HTTP/HTTPS 用インターセプト プロキシおよびテスト ツールキットで、Web アプリの脆弱性発見、改ざん、悪用に用いられる。
- Censysインターネット規模のスキャンプラットフォーム。ホストや TLS 証明書の構造化データを公開し、ASM やインフラピボットに利用される。
- Cobalt Strike商用の敵対者シミュレーション プラットフォームで、レッドチーム業務に広く用いられる一方、攻撃者によりポストエクスプロイトや C2 に頻繁に悪用される。
- Conti ランサムウェア2020—2022 年に活動したロシア語圏ランサムウェアで、高頻度の二重恐喝プログラムを運営し、内部チャットとソースコードの漏洩を経て解散したグループ。
- Cybercrime-as-a-Service(CaaS)専門化された犯罪者がツール・インフラ・専門知識を販売し、顧客が自前の能力を持たなくてもサイバー攻撃を実行できるアンダーグラウンドのサービスモデル。
- eBPF セキュリティLinux カーネル内で動作する eBPF(extended Berkeley Packet Filter)プログラムを用い、プロセス、ネットワーク、システムコールに対する深いオブザーバビリティとポリシー実施を実現するセキュリティ技術。
- EDR(エンドポイント検知・対応)プロセス・ファイル・レジストリ・ネットワーク活動を継続的に記録し、エンドポイント上の脅威を検知・調査・対応するエンドポイントセキュリティ技術。
- Elastic Stack(ELK)Elastic N.V. が提供するオープンソースプラットフォームで、Elasticsearch・Logstash・Kibana・Beats を組み合わせ、大規模なセキュリティ/運用ログの取り込み、インデックス化、検索、可視化を行う。
- EPP(エンドポイント保護プラットフォーム)アンチウイルス、アンチマルウェア、ホストファイアウォール、エクスプロイト対策などを統合し、デバイス上での脅威実行前にブロックする予防型エンドポイントセキュリティ製品群。
- Falcoシステムコールや監査イベントをルールエンジンに流し込み、コンテナ・ホスト・Kubernetes の異常を検出するクラウドネイティブなオープンソースのランタイムセキュリティエンジン。
- FIN 脅威グループMandiant 流の命名で、決済システム・小売・宿泊・金融機関などを狙う金銭目的の脅威グループ。
- Google Chronicle SecOpsGoogle Cloud のクラウドネイティブ SIEM/SOAR(旧 Backstory)。従業員数ベースの固定料金でペタバイト級テレメトリを保存し、YARA-L 検出言語でクエリする。
- HashcatGPU 加速に対応したオープンソースのパスワード回復ツールで、辞書、ルール、マスク、ハイブリッド攻撃により数百種のハッシュ・認証アルゴリズムを解析する。
- Kali LinuxOffSec が維持する Debian ベースの Linux ディストリビューションで、ペネトレーション テスト、レッド チーム、デジタル フォレンジックの数百種のツールを標準搭載する。
- LockBitロシア語圏のランサムウェア・アズ・ア・サービス運営で、2022—2024 年に世界で最も活発なランサムウェアブランドとなり、Operation Cronos によって大きく無力化された。
- MDR(マネージド検知・対応)外部プロバイダーが EDR/XDR や SIEM のテレメトリを用いて、顧客に代わって検知・脅威ハンティング・インシデント対応を運用するマネージドサービス。
- Metasploitエクスプロイト、ペイロード、ポストエクスプロイト モジュールを単一のプラットフォームに統合した、ペネトレーションテスト担当者と研究者向けのオープンソース攻撃フレームワーク。
- Microsoft SentinelMicrosoft が Azure 上で提供するクラウドネイティブ SIEM/SOAR サービス。Kusto Query Language(KQL)でログを検索し、Microsoft 365 Defender や Azure データソースとネイティブに連携する。
- Mimikatzメモリーや LSASS から平文パスワード、ハッシュ、Kerberos チケットなどの認証情報を抽出する、オープンソースの Windows 用ポストエクスプロイト ツール。
- MISPMISP は、信頼できるコミュニティ間で構造化された指標とアナリストの文脈を収集・保管・相関分析・共有するためのオープンソース脅威インテリジェンスプラットフォームです。
- mitmproxyTLS にも対応するオープンソースの対話型プロキシ。セキュリティや QA エンジニアが HTTP/HTTPS 通信を傍受・確認・改変・再送するために用いる。
- MITRE Engage防御側の欺瞞・拒否・対敵交戦活動を体系化した MITRE のアドバーサリーエンゲージメントフレームワークで、旧 MITRE Shield ナレッジベースを置き換える。
- MTTC(平均封じ込め時間)セキュリティインシデントの検知から、脅威が拡散・情報窃取・追加被害を生じさせない状態に到達するまでの平均時間。
- MTTD(平均検知時間)セキュリティインシデントの発生から防御側がそれを認識するまでに要する平均時間。
- MTTR(平均応答時間)セキュリティインシデントの検知から、有効な対応行動を開始するまでに要する平均時間。
- MTTR(平均復旧時間)セキュリティインシデントや停止後に、影響を受けたシステムやサービスを通常運用へ復旧させるまでに要する平均時間。
- NDR(ネットワーク検知・対応)復号トラフィック、メタデータ、フローを含むネットワーク通信を行動分析と機械学習で解析し、脅威の検知と対応のオーケストレーションを行うネットワークセキュリティ技術。
- NessusTenable が提供する商用脆弱性スキャナー。ネットワーク、エンドポイント、クラウド ワークロード上の未適用パッチ、設定不備、公開サービスを検出する。
- NetFlowCisco 発のフローレコードプロトコル、および後継の sFlow・IPFIX。ネットワーク機器を通過する各会話の要約メタデータを外部にエクスポートする。
- NmapIP ネットワーク上でホストを把握し、開放ポートやサービスを列挙し、OS をフィンガープリントするオープンソースのネットワーク スキャナー。
- OSSECLinux・Windows・macOS・Solaris に対応し、ログ解析、ファイル完全性監視、ルートキット検出、アクティブレスポンスを備える無償オープンソースのホスト型侵入検知システム。
- OTXOTX は当初 AlienVault が立ち上げ、現在は LevelBlue が運営する、オープンでコミュニティ主導の脅威インテリジェンス交換プラットフォームで、研究者は Pulse として指標を公開します。
- PCAPlibpcap、tcpdump、Wireshark などが生成するパケットキャプチャ用バイナリ形式。ネットワークパケットを線上で観測された通りに保存する。
- Pyramid of Pain(痛みのピラミッド)David Bianco が提唱したモデルで、IoC を「攻撃者が変更する際の痛み」の大きさで階層化したもの。
- REvil / Sodinokibi2019—2021 年に活動したロシア語圏のランサムウェア・アズ・ア・サービスで、二重恐喝と Kaseya VSA を悪用したサプライチェーン攻撃で知られる。
- RPO(目標復旧時点)中断発生後に企業が許容できるデータ損失量の上限を、時間幅で表したもの。
- RTO(目標復旧時間)中断発生後に業務プロセスやシステムが許容範囲を超える影響を受けるまで停止していてよい最大時間。
- Security OnionDoug Burks 氏が作成し、Security Onion Solutions が保守する、脅威ハンティング・ネットワークセキュリティ監視・ログ管理向けの無償オープンソース Linux ディストリビューション。
- Shodanインターネットを継続的にスキャンしサービスバナーをインデックス化する検索エンジン。露出した機器、ポート、ソフトウェアバージョン、証明書を検索できる。
- SIEM企業全体のセキュリティテレメトリを集約・正規化・相関分析し、検知・調査・コンプライアンス・レポートを支援するプラットフォーム。
- SIEM ルールチューニング誤検知を減らし、盲点を埋め、組織の脅威モデルに合わせるために、SIEM の検知ルールを継続的に調整する運用プロセス。
- Sigma ルールベンダー非依存の YAML 形式ログ検知シグネチャで、SIEM、EDR、XDR のバックエンド クエリーに変換できる。
- SLA(サービスレベル合意)提供者と顧客の間で期待されるサービス水準と、測定可能な性能・セキュリティの確約を定める正式な契約。
- Snort ルールSnort 侵入検知ルール言語で記述されたシグネチャで、IDS/IPS モードでアラートやブロックの対象となるネットワーク トラフィック パターンを表す。
- SOAR検知・エンリッチメント・対応アクションをプレイブックとして連結し、複数のセキュリティツール上で実行することで SOC のワークフローを自動化・オーケストレーションするプラットフォーム。
- SOC 成熟度モデルセキュリティオペレーションセンターを人材・プロセス・技術・サービスの観点で採点し、複数年の改善ロードマップを描くためのフレームワーク。
- Splunk Enterprise SecuritySplunk Inc.(2024 年に Cisco が買収)による商用 SIEM ソリューション。Splunk Processing Language(SPL)でマシンデータを取り込み、インデックス化し、相関分析することでセキュリティ監視と調査を行う。
- Splunk SPL クエリSplunk の Search Processing Language で記述するサーチ。マシンデータの絞り込み、変換、相関、可視化を行い、検知・ハンティング・レポートに用いる。
- STIXSTIX は OASIS が策定したオープン標準で、サイバー脅威インテリジェンスを構造化された機械可読な形式で表現・交換するための言語です。
- SuricataOpen Information Security Foundation (OISF) が維持する、高性能なオープンソース ネットワーク IDS / IPS / セキュリティ モニタリング エンジン。
- SysmonMicrosoft Sysinternals が提供する Windows サービスで、プロセス・ネットワーク・ファイル・レジストリ・イメージ ロードに関する詳細なテレメトリーをイベント ログに記録する。
- TAXII ProtocolTAXII は HTTPS 上で動作する OASIS のアプリケーション層プロトコルで、組織間でサイバー脅威インテリジェンス(主に STIX)を公開・発見・取得するために使われます。
- TLPTLP は FIRST が維持するシンプルなラベリング方式で、共有するサイバー情報の機微度と再配布できる範囲を示します。
- TrivyAqua Security が提供する単一バイナリのオープンソーススキャナで、コンテナイメージ・ファイルシステム・Git リポジトリ・Kubernetes クラスタの CVE、設定ミス、シークレット、SBOM、ライセンス問題を検出する。
- UBA(ユーザー行動分析)ユーザーの通常活動のベースラインを構築し、その逸脱を検知することで、アカウント不正利用、内部脅威、認証情報の窃取を見つけ出す分析技術。
- UEBA(ユーザー・エンティティ行動分析)ユーザーやエンティティの通常の振る舞いをモデル化し、統計や機械学習によって侵害や内部脅威の兆候となる異常を検出する技術。
- UNC クラスタ(未分類)アクターや動機、後援者が APT・FIN へ昇格させるほど確証されていない一連の関連侵害に対して Mandiant が与える追跡ラベル。
- UTM(統合脅威管理)ファイアウォール、IPS、Web フィルタリング、アンチウイルス、VPN などを 1 台にまとめたオールインワン型のネットワークセキュリティ機器で、主に中小企業や拠点向けに用いられる。
- VERIS フレームワークセキュリティインシデントを構造化・比較可能な形で記述するために Verizon が公開しているオープンスキーマ。
- WazuhOSSEC を 2015 年にフォークして生まれたオープンソースの XDR/SIEM。エンドポイント、クラウド、コンテナのテレメトリを Wazuh Indexer と Dashboard で統合する。
- WHOIS 検索ドメインや IP の登録情報(レジストラ、登録者、日付、ネームサーバーなど)を返す WHOIS / RDAP データベースへのクエリ。
- Wiresharkオープンソースのネットワーク プロトコル アナライザーで、トラブルシュート、セキュリティ分析、教育のためにパケットをリアルタイムでキャプチャ・解析する。
- XDR(拡張検知・対応)エンドポイント、ネットワーク、ID、メール、クラウドのテレメトリを統合し、複数レイヤを横断する相関検知と一元的なレスポンスを提供するセキュリティプラットフォーム。
- YARA ルールYARA 言語で記述されたテキスト シグネチャで、バイト・文字列・挙動のパターンによりマルウェア サンプルやファイルを分類・検出する。
- Zeekネットワーク トラフィックをプロトコル対応の構造化ログとスクリプトに変換し、脅威検知を行うオープンソースのネットワーク セキュリティ モニター (旧 Bro)。
- アクティブディフェンス受動的な監視にとどまらず、防御者自身のネットワークと資産の範囲内で敵対者に積極的に関与し、誤誘導し、妨害する防御戦略。
- アタックサーフェスマネジメント(ASM)組織をサイバー攻撃にさらすあらゆる資産を継続的に発見・棚卸し・分類・監視する取り組み。
- アプリケーション許可リスト (ホワイトリスト)明示的に承認された実行ファイル、スクリプト、ライブラリのみをエンドポイントで実行させ、それ以外を既定で拒否する防御策。
- アラート疲れ過剰・低価値・重複したセキュリティアラートによってアナリストが感覚を失い、本来の対応が遅れる状態。
- アンチウイルス (AV)シグネチャ DB、ファイルスキャン、簡易ヒューリスティックを使って不正ファイルを検知・除去するエンドポイントソフトで、エンドポイントセキュリティの歴史的基盤。
- イエローチーム開発者・アーキテクト・DevOps エンジニアといった、レッドとブルーが攻防する対象システムを設計・提供する「作る側」のチーム。
- イニシャルアクセスブローカー(IAB)企業ネットワークへの不正アクセス手段を入手し、ランサムウェアアフィリエイトなど他の犯罪者へ売却することに特化したサイバー犯罪の専門家。
- インパクト(MITRE 戦術)システム・データ・業務プロセスの可用性や完全性を毀損することを目的とした手法をまとめた MITRE ATT&CK 戦術(TA0040)。
- エクスフィルトレーション(情報持ち出し)盗み出したデータを被害ネットワークから攻撃者の管理下へ転送する手法をまとめた MITRE ATT&CK 戦術(TA0010)。
- エシカル ハッカーシステムに対して攻撃的な技術を使用する許可を得て、攻撃者に悪用される前に弱点を特定し所有者の修正を支援するセキュリティ専門家。
- エンドポイント隔離侵害された端末のネットワーク接続をセキュリティ管理面以外すべて遮断し、対応中に攻撃者が横方向に移動できないようにする EDR の対処アクション。
- グレー ハット ハッカー倫理的・非倫理的の両極の中間で活動し、明示的許可なしにシステムを調査するが、通常は加害ではなく開示を意図するハッカー。
- クレデンシャルアクセスアカウント名・パスワード・トークン等の機密情報を窃取する手法をまとめた MITRE ATT&CK 戦術(TA0006)。
- コンテナイメージスキャンOCI/Docker イメージをコンテナランタイムへデプロイする前に、既知の脆弱性・シークレット・マルウェア・ポリシー違反を解析するセキュリティ実践。
- サイバーキルチェーン標的型侵入が偵察から目的達成までどのように進行するかを 7 段階で示した、ロッキード・マーティン社のモデル。
- サイバー脅威インテリジェンス(CTI)攻撃者・その動機・手口に関する証拠に基づく知見を体系化し、防御判断や統制の優先順位付けに活用する取り組み。
- サンドボックス / エミュレータ検知実行環境が解析サンドボックスやエミュレータ、仮想マシンであることを検知し、ペイロードを発火させずに解析を回避するためのマルウェアの反解析技術。
- サンドボックスエスケープブラウザ、VM、ハイパーバイザなどの隔離サンドボックスからコードが抜け出し、外側のホスト環境でコード実行を得るための脆弱性または攻撃チェーン。
- システムハードニング不要な機能の削除、設定の引き締め、安全な既定値の強制によりシステムのアタックサーフェスを縮小する取り組み。
- スクリプトキディ他人が作った既製のツール・スクリプト・サービスを利用するだけで、内部の仕組みを理解せずに攻撃を行う未熟な攻撃者。
- スレットハンティング既存検知をすり抜けた脅威を見つけ出すため、テレメトリを仮説駆動で能動的に探索する取り組み。
- セキュリティオペレーションセンター(SOC)組織の IT 環境全体を 24 時間 365 日体制で監視し、サイバーインシデントの検知・調査・対応を継続的に行う集約型のチームおよび拠点。
- セキュリティプレイブック特定のアラートや事案について、対応者が何をどの順序で行うかを定めた、文書化された再現可能な手順。
- セキュリティベースラインあるシステム種別を本番投入する前に必ず満たすべき、文書化された最低限のセキュリティ設定。
- セキュリティポスチャー脅威を予測・防止・検知・対応・回復する能力として表される、組織のサイバーセキュリティ防御全体の強度。
- セキュリティ統制情報資産への脅威を予防・検知・対応するために用いられる、技術的・管理的・物理的な対策。
- ダイヤモンドモデル(侵入分析)悪意ある各イベントを「敵対者・能力・インフラ・被害者」の 4 つの頂点で結びつける侵入分析フレームワーク。
- ディテクションエンジニアリング脅威モデルに基づいて検知をコードとして設計・テスト・展開・運用し、攻撃手法に対する網羅性を測定可能にする実践分野。
- データベースアクティビティ監視(DAM)データベースのクエリ、特権ユーザー操作、スキーマ変更を継続的に監視し、ポリシーを適用しつつデータ濫用をリアルタイムに検出するセキュリティ統制。
- データベースファイアウォールアプリケーションと DB エンジンの間に置かれ、SQL 文を許可リストポリシーに照らして検査し、注入攻撃や権限悪用、不正な文を到達前に遮断するインライン制御。
- デセプション技術ネットワーク、エンドポイント、AD、クラウド全体におとり・パンくず・偽資産を配置し、高精度に攻撃者を検知・誘導・観察する防御手法。
- パープルチームレッドとブルーが公開協力する演習形式で、検知と対応をほぼリアルタイムに改善することを目的とする。
- ハクティビスト金銭目的や国家情報目的ではなく、政治・社会・思想的な主張のためにサイバー攻撃を行う脅威アクター。
- ハッカー強い技術的好奇心を持ち、創造的な問題解決によりシステム、ソフトウェア、ネットワーク、ハードウェアを理解・改変・突破する人。
- ハックバック民間の被害者が攻撃者のインフラに対して行う報復的な攻撃行為。多くの国の不正アクセス禁止法の下では原則として違法とされる。
- パッシブ DNS観測された DNS 応答を蓄積する履歴データベース。どのドメインが過去どの IP を指していたか、同じ IP を共有したドメインなどを追跡できる。
- パッチ管理脆弱性や不具合を修正するソフトウェア更新を、識別・検証・適用・確認するエンドツーエンドのプロセス。
- ハニーアカウント完全な人物像までは作り込まないことが多い、認証情報中心のおとりアカウント。攻撃者が使用を試みた瞬間にアラートを発生させる。
- ハニーファイルストレージに配置するおとり文書で、攻撃者や内部不正者が読み取り、コピー、外部送信した時点でアラートを発生させる。
- ハニーユーザーディレクトリサービスや人事システムに用意した架空のID。サインインや列挙の試みがあれば即座に攻撃者を露呈させる。
- ヒューリスティック検知怪しいコードパターン、パッカー、異常文字列、API 呼び出しの組み合わせなど経験則の指標で、シグネチャに一致しなくても悪性らしいファイルを検知する手法。
- ファイル整合性監視 (FIM)重要な OS、アプリ、設定ファイルを既知の安全な暗号ベースラインと比較し、予期しない変更を検知するセキュリティ対策。
- ブラック ハット ハッカー個人の利益、思想、加害を目的として無許可でシステムに侵入し、コンピューター犯罪関連法に違反する悪意ある脅威アクター。
- ブルーチーム攻撃の監視・検知・対応を担い、防御を継続的に強化する守備側のセキュリティチーム。
- ペネトレーションテストシステム・アプリケーション・人を対象に、実際の攻撃者より先に悪用可能な弱点を発見するために行う、認可された模擬サイバー攻撃。
- ポストモーテム事案後に開催する非難なしのふり返り。時系列・寄与要因を整理し、再発防止や早期検知につながる具体的アクションを決める。
- ホワイト ハット ハッカー明示的な許可のもとでのみ攻撃技術を使用し、防御者が修正できるよう脆弱性を発見・報告するセキュリティ専門家。
- ホワイトチーム演習や競技を安全・公正に運営し、目的との整合を保つために設計・監督・裁定を担う中立的なファシリテーター。
- ランサムウェアギャング金銭目的のサイバー犯罪グループで、ランサムウェアを開発・運用・配布し、ファイル暗号化とデータ漏洩の脅迫によって組織を恐喝する。
- レッドチーム実際の攻撃者をエンドツーエンドで模倣し、組織がどれだけ攻撃を検知・封じ込め・対応できるかを評価する攻撃側セキュリティチーム。
- ログ集約多数のシステムが出力するイベントログを単一のプラットフォームに収集・正規化・集中保存し、検索・分析・保管を可能にする仕組み。
- ログ相関共通フィールド・時間窓・順序にもとづいて複数のログソースのイベントを結び付け、単一ログでは分からない多段階の活動を可視化する手法。
- 運用的脅威インテリジェンス特定のキャンペーン・脅威アクター・TTP に関する中期的なインテリジェンスで、防御者の準備・脅威ハンティング・統制の優先順位付けに活用する。
- 永続化(Persistence)再起動・資格情報変更・インシデント対応を経てもシステムへのアクセスを維持する手法を扱う MITRE ATT&CK 戦術(TA0003)。
- 横展開(Lateral Movement)侵害したホストから環境内の他システムへと攻撃者が横移動するための手法をまとめた MITRE ATT&CK 戦術(TA0008)。
- 外部アタックサーフェスマネジメント(EASM)組織が保有するインターネット公開資産を、外部の攻撃者視点で継続的に発見・監視する取り組み。
- 脅威アクターサイバー活動を通じて情報システム、組織、または人々に意図的に被害を与え、あるいは与えようとする個人または集団。
- 脅威インテリジェンス脅威と攻撃者に関する、指標・TTP・背景を含むエビデンスベースの知識。セキュリティの意思決定と検知を導くために用いられる。
- 検疫 (エンドポイント)AV や EDR が疑わしいファイルを元の場所から取り出し、制御された無害化された領域へ移動し、実行不可だが分析や復元は可能な状態にする対応アクション。
- 見逃し検知が捕捉できなかった悪性活動。脅威が気付かれず進行し、攻撃者は検知されないまま行動を継続できる。
- 誤検知正常な活動を悪性として検知してしまうセキュリティアラート。アナリストの時間を消費し、検知ルールへの信頼を損なう。
- 攻撃パターンあるクラスの弱点を攻撃者がどう利用するかを再利用可能な形で記述したもの。技術のマッピング、検知ロジック構築、システム強化に用いる。
- 攻撃指標(IoA)攻撃者が現在進行形で侵入を試みていることを示す行動的証拠で、事後アーティファクトではなく意図と手口に焦点を当てる。
- 構成管理システムやアプリケーションのあるべき状態を定義・記録・強制し、構成を既知・一貫・安全に保つための運用規律。
- 国家支援アクター戦略・情報・軍事・経済目的のためにサイバー活動を行う、政府支援または政府関連の脅威アクター。
- 資産管理セキュリティ計画で守るべきすべてのハードウェア・ソフトウェア・クラウド・データ資産を、継続的に発見・棚卸し・分類し、ライフサイクルにわたって追跡する取り組み。
- 次世代アンチウイルス (NGAV)シグネチャ検査に加え、機械学習モデル、振る舞い分析、エクスプロイト防止を組み合わせ、未知やファイルレス脅威を阻止するエンドポイント保護。
- 実行(MITRE 戦術)ローカルまたはリモートのシステム上で攻撃者が制御するコードを動作させる手法を扱う MITRE ATT&CK の戦術(TA0002)。
- 収集(Collection・MITRE 戦術)外部送信(エクスフィルトレーション)前に関心ある情報を収集・整理する手法を扱う MITRE ATT&CK 戦術(TA0009)。
- 初期アクセス標的環境への最初の足場を確立するために攻撃者が用いる手法をまとめた MITRE ATT&CK の戦術(TA0001)。
- 証明書透明性RFC 6962 と 9162 で定義された、TLS 証明書の追記専用公開ログのエコシステム。誰でも任意のドメインに存在する証明書を監査できる。
- 侵害指標(IoC)ファイルハッシュ・IP・ドメイン・URL・レジストリキーなど、システムが侵害された、あるいは侵害されつつあることを示す観測可能なアーティファクト。
- 振る舞い検知プロセス、ユーザー、ネットワークフローの実行時の振る舞いから不正な動作を識別する検知手法で、静的ファイルシグネチャに依存しない。
- 是正的統制インシデント発生後に被害を最小化し、脅威を排除し、システムを正常状態へ復旧させるために発動されるセキュリティ対策。
- 脆弱性スキャン既知の脆弱性シグネチャに照らしてシステム・アプリケーション・コンテナを自動的に検査し、潜在的な弱点の一覧を生成するプロセス。
- 脆弱性評価通常は実際の悪用を伴わずに、環境内のセキュリティ上の弱点を体系的に特定・分類・優先順位付けする調査。
- 戦術・技術・手順(TTPs)脅威アクターの活動を「戦術(なぜ)・技術(どう)・手順(具体的な実装)」の階層で表現したもの。
- 戦術的脅威インテリジェンス攻撃者のツール・指標・シグネチャに関する短命で技術的なインテリジェンス。SOC アナリストやセキュリティ製品が攻撃の検知と遮断に利用する。
- 戦略的脅威インテリジェンス脅威環境・攻撃者の意図・地政学的文脈に関する長期的かつハイレベルなインテリジェンスで、経営層や取締役会の意思決定を支援する。
- 代替的統制本来求められる統制を実装できない場合に、同等水準の保護を提供する代替的な対策。
- 探索(MITRE 戦術)アクセスを得た後に侵害環境を把握するために攻撃者が使う手法をまとめた MITRE ATT&CK 戦術(TA0007)。
- 偵察(リコネサンス)攻撃の最初のフェーズで、攻撃者が侵入を試みる前に標的の人員・技術・露出に関する情報を収集する活動。
- 内部脅威現職または元従業員、契約業者、パートナーなど正当なアクセスを持つ者が、故意または過失でその権限を悪用するリスク。
- 発見的統制環境内で発生した悪意ある活動、ポリシー違反、または異常を識別しアラートを発するために設計されたセキュリティ対策。
- 変更管理IT システムへの変更を、リスクを管理しつつ追跡可能な形で提案・審査・承認・計画・実施・事後レビューする体系的なプロセス。
- 防御回避(Defense Evasion)検知を回避し、セキュリティ製品を無効化し、活動を隠すために攻撃者が用いる手法をまとめた MITRE ATT&CK 戦術(TA0005)。
- 予防的統制脅威行為の機会や能力を取り除き、セキュリティ事象の発生そのものを防ぐことを目的とした統制。