フォレンジックと IR
ネットワークフォレンジック
別称: NetFor, トラフィックフォレンジック
定義
ネットワークトラフィックとメタデータを取得・記録・解析し、セキュリティ事象の調査と攻撃者活動の再構成を行う領域。
ネットワークフォレンジックは、パケットキャプチャ(PCAP)、NetFlow/IPFIX、DNS、プロキシ、ファイアウォール、IDS のログを解析し、侵入経路・流出経路・C2・横展開を特定します。アプローチは継続的なフルパケット取得から、要所での選択的キャプチャまで幅広く、Wireshark、Zeek、Suricata、tcpdump、Arkime/Moloch、商用 NDR などのツールを用います。アナリストはフローをエンドポイントや SIEM のデータと突き合わせ、HTTP、TLS メタデータ、DNS、SMB を読み解き、JA3/JA4 フィンガープリントで不審クライアントを特定します。トラフィックは揮発性のため、保存ポリシー・安全な保管・センサからの証拠保全連鎖が ISO/IEC 27037 上の証拠採用性を左右します。
例
- Zeek の conn.log と PCAP の抜粋から攻撃者の HTTP C2 セッションを再構成。
- NetFlow におけるクエリ長分布の解析で DNS トンネリングによる流出を特定。
関連用語
デジタルフォレンジック
コンピュータ・ネットワーク・端末上のデジタル証拠を法的に有効な形で識別・保全・分析・報告する科学的分野。
DFIR(デジタルフォレンジックとインシデントレスポンス)
デジタル証拠調査とインシデント対応を統合し、サイバー事象の検知・封じ込め・根絶・教訓化を行う複合的な領域。
侵入検知システム(IDS)
ネットワークやホストの活動を監視し、悪意のある挙動を検出してアラートを発する受動的なセキュリティ統制。トラフィックは遮断しない。
ネットワーク型 IDS(NIDS)
ネットワークセグメントから取得したトラフィックを解析し、悪意あるパターンやポリシー違反を検知する侵入検知センサー。
Log Analysis
Log Analysis — definition coming soon.
NDR(ネットワーク検知・対応)
復号トラフィック、メタデータ、フローを含むネットワーク通信を行動分析と機械学習で解析し、脅威の検知と対応のオーケストレーションを行うネットワークセキュリティ技術。