見逃し
見逃し とは何ですか?
見逃し検知が捕捉できなかった悪性活動。脅威が気付かれず進行し、攻撃者は検知されないまま行動を継続できる。
見逃しは検知の静かな失敗です。実際の攻撃が起きてもアラートが上がらず、アナリストは対応の機会を得られません。原因にはログソースの欠落、攻撃者によるシグネチャ回避、範囲が狭すぎる検知、壊れたパイプライン、時間窓のギャップ、Living-off-the-Land や暗号化された C2 などの手法があります。見逃しは定義上見えないため誤検知より計測が難しいのが特徴です。対策には Purple Team 演習、BAS、MITRE ATT&CK によるカバレッジマッピング、検知の単体テスト、テレメトリギャップの継続的な棚卸しがあります。
● 例
- 01
攻撃者が署名済み Windows バイナリ(LOLBins)を悪用し、どのシグネチャにもヒットしないコマンドを実行する。
- 02
新種マルウェアが TLS の C2 通信をプロキシで復号検査されず見逃される。
● よくある質問
見逃し とは何ですか?
検知が捕捉できなかった悪性活動。脅威が気付かれず進行し、攻撃者は検知されないまま行動を継続できる。 サイバーセキュリティの 防御と運用 カテゴリに属します。
見逃し とはどういう意味ですか?
検知が捕捉できなかった悪性活動。脅威が気付かれず進行し、攻撃者は検知されないまま行動を継続できる。
見逃し はどのように機能しますか?
見逃しは検知の静かな失敗です。実際の攻撃が起きてもアラートが上がらず、アナリストは対応の機会を得られません。原因にはログソースの欠落、攻撃者によるシグネチャ回避、範囲が狭すぎる検知、壊れたパイプライン、時間窓のギャップ、Living-off-the-Land や暗号化された C2 などの手法があります。見逃しは定義上見えないため誤検知より計測が難しいのが特徴です。対策には Purple Team 演習、BAS、MITRE ATT&CK によるカバレッジマッピング、検知の単体テスト、テレメトリギャップの継続的な棚卸しがあります。
見逃し からどのように防御しますか?
見逃し に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
見逃し の別名は何ですか?
一般的な別名: FN, 検知漏れ。
● 関連用語
- defense-ops№ 406
誤検知
正常な活動を悪性として検知してしまうセキュリティアラート。アナリストの時間を消費し、検知ルールへの信頼を損なう。
- defense-ops№ 307
ディテクションエンジニアリング
脅威モデルに基づいて検知をコードとして設計・テスト・展開・運用し、攻撃手法に対する網羅性を測定可能にする実践分野。
- compliance№ 687
MITRE ATT&CK
MITRE が維持する、実際の攻撃で観測された攻撃者の戦術・技術に関するグローバルな公開ナレッジベース。
- defense-ops№ 1147
スレットハンティング
既存検知をすり抜けた脅威を見つけ出すため、テレメトリを仮説駆動で能動的に探索する取り組み。
- defense-ops№ 1039
SIEM
企業全体のセキュリティテレメトリを集約・正規化・相関分析し、検知・調査・コンプライアンス・レポートを支援するプラットフォーム。
● 関連項目
- № 041アラート疲れ