ログ解析
ログ解析 とは何ですか?
ログ解析システム、アプリケーション、セキュリティ機器のログを体系的に精査し、セキュリティ関連事象を検知・調査・再構築するフォレンジック作業。
ログ解析では、OS、ネットワーク機器、アプリケーション、セキュリティ製品が生成するイベント記録(Windows EVTX、Linux の syslog/journald、Web サーバーのアクセスログ、ファイアウォールのフロー、EDR テレメトリ、AWS CloudTrail や Microsoft 365 Unified Audit Log などのクラウド監査証跡)を扱います。アナリストはこれらを SIEM 上で解析・正規化・相関させ、認証異常、コマンド実行、横展開、データ持ち出しを検出します。主要ツールには Splunk、Elastic、Chainsaw、Hayabusa、EvtxECmd、Sigma ルールがあります。効果は時刻同期の精度、十分な保持期間、平常時の挙動の把握に大きく依存します。
● 例
- 01
Splunk で Windows イベント ID 4769 を解析し Kerberoasting をハンティングする。
- 02
AWS CloudTrail の ConsoleLogin 失敗と新しい IP からの成功ログインを相関させる。
● よくある質問
ログ解析 とは何ですか?
システム、アプリケーション、セキュリティ機器のログを体系的に精査し、セキュリティ関連事象を検知・調査・再構築するフォレンジック作業。 サイバーセキュリティの フォレンジックと IR カテゴリに属します。
ログ解析 とはどういう意味ですか?
システム、アプリケーション、セキュリティ機器のログを体系的に精査し、セキュリティ関連事象を検知・調査・再構築するフォレンジック作業。
ログ解析 からどのように防御しますか?
ログ解析 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
ログ解析 の別名は何ですか?
一般的な別名: イベントログ解析, セキュリティログレビュー。