ログ相関
ログ相関 とは何ですか?
ログ相関共通フィールド・時間窓・順序にもとづいて複数のログソースのイベントを結び付け、単一ログでは分からない多段階の活動を可視化する手法。
ログ相関は SIEM のルールエンジンや検知パイプラインが担い、ホスト・ユーザー・ネットワークセンサーをまたぐ関連イベントを結合します。ルールはユーザー名、送信元 IP、ホスト名、プロセスハッシュなどのキーで結合し、時間制約(例: 10 分以内に 5 回のログイン失敗の後に成功が 1 回)を適用します。ステートフルエンジンはセッションを追跡し、回数をカウントし、パターン一致時にアラートを発します。良い相関は単一イベント検知より誤検知を減らし、キルチェーンの進行を浮かび上がらせます。実務上はスキーマ正規化、時刻のずれ、高カーディナリティのキー、汎用化できるルール設計が課題になります。
● 例
- 01
フィッシングメールのクリックを、同じ端末で 15 分以内に発生した子プロセス異常と相関させる。
- 02
新しい国からの VPN ログインと、クラウドコントロールプレーンでの特権ロール付与を結び付ける。
● よくある質問
ログ相関 とは何ですか?
共通フィールド・時間窓・順序にもとづいて複数のログソースのイベントを結び付け、単一ログでは分からない多段階の活動を可視化する手法。 サイバーセキュリティの 防御と運用 カテゴリに属します。
ログ相関 とはどういう意味ですか?
共通フィールド・時間窓・順序にもとづいて複数のログソースのイベントを結び付け、単一ログでは分からない多段階の活動を可視化する手法。
ログ相関 はどのように機能しますか?
ログ相関は SIEM のルールエンジンや検知パイプラインが担い、ホスト・ユーザー・ネットワークセンサーをまたぐ関連イベントを結合します。ルールはユーザー名、送信元 IP、ホスト名、プロセスハッシュなどのキーで結合し、時間制約(例: 10 分以内に 5 回のログイン失敗の後に成功が 1 回)を適用します。ステートフルエンジンはセッションを追跡し、回数をカウントし、パターン一致時にアラートを発します。良い相関は単一イベント検知より誤検知を減らし、キルチェーンの進行を浮かび上がらせます。実務上はスキーマ正規化、時刻のずれ、高カーディナリティのキー、汎用化できるルール設計が課題になります。
ログ相関 からどのように防御しますか?
ログ相関 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
ログ相関 の別名は何ですか?
一般的な別名: イベント相関, 相関ルール。
● 関連用語
- defense-ops№ 1039
SIEM
企業全体のセキュリティテレメトリを集約・正規化・相関分析し、検知・調査・コンプライアンス・レポートを支援するプラットフォーム。
- defense-ops№ 626
ログ集約
多数のシステムが出力するイベントログを単一のプラットフォームに収集・正規化・集中保存し、検索・分析・保管を可能にする仕組み。
- defense-ops№ 307
ディテクションエンジニアリング
脅威モデルに基づいて検知をコードとして設計・テスト・展開・運用し、攻撃手法に対する網羅性を測定可能にする実践分野。
- defense-ops№ 1147
スレットハンティング
既存検知をすり抜けた脅威を見つけ出すため、テレメトリを仮説駆動で能動的に探索する取り組み。
- defense-ops№ 1062
SOAR
検知・エンリッチメント・対応アクションをプレイブックとして連結し、複数のセキュリティツール上で実行することで SOC のワークフローを自動化・オーケストレーションするプラットフォーム。