Entry № 703
ログ相関
ログ相関 とは何ですか?
ログ相関共通フィールド・時間窓・順序にもとづいて複数のログソースのイベントを結び付け、単一ログでは分からない多段階の活動を可視化する手法。
ログ相関は SIEM のルールエンジンや検知パイプラインが担い、ホスト・ユーザー・ネットワークセンサーをまたぐ関連イベントを結合します。ルールはユーザー名、送信元 IP、ホスト名、プロセスハッシュなどのキーで結合し、時間制約(例: 10 分以内に 5 回のログイン失敗の後に成功が 1 回)を適用します。ステートフルエンジンはセッションを追跡し、回数をカウントし、パターン一致時にアラートを発します。良い相関は単一イベント検知より誤検知を減らし、キルチェーンの進行を浮かび上がらせます。実務上はスキーマ正規化、時刻のずれ、高カーディナリティのキー、汎用化できるルール設計が課題になります。
● 例
- 01
フィッシングメールのクリックを、同じ端末で 15 分以内に発生した子プロセス異常と相関させる。
- 02
新しい国からの VPN ログインと、クラウドコントロールプレーンでの特権ロール付与を結び付ける。
● よくある質問
ログ相関 とは何ですか?
共通フィールド・時間窓・順序にもとづいて複数のログソースのイベントを結び付け、単一ログでは分からない多段階の活動を可視化する手法。 サイバーセキュリティの 防御と運用 カテゴリに属します。
ログ相関 とはどういう意味ですか?
共通フィールド・時間窓・順序にもとづいて複数のログソースのイベントを結び付け、単一ログでは分からない多段階の活動を可視化する手法。
ログ相関 からどのように防御しますか?
ログ相関 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
ログ相関 の別名は何ですか?
一般的な別名: イベント相関, 相関ルール。