防御と運用
SIEM
定義
企業全体のセキュリティテレメトリを集約・正規化・相関分析し、検知・調査・コンプライアンス・レポートを支援するプラットフォーム。
Security Information and Event Management(SIEM)は、SOC の中核となるログ分析基盤です。ファイアウォール、エンドポイント、ID プロバイダ、クラウド API、アプリケーション、ネットワークセンサーからログとテレメトリを取り込み、正規化して保存したうえで、相関ルール、統計的ベースライン、機械学習モデルによって優先度付きアラートを生成します。最新の SIEM(Splunk、Microsoft Sentinel、Elastic、Chronicle、QRadar など)は、Detection as Code、UEBA、脅威インテリジェンスによるエンリッチメント、SOAR との連携による自動対応にも対応します。SIEM はインシデント調査、コンプライアンス報告、長期的なフォレンジック保管における正本となるシステムです。
例
- Microsoft Sentinel が Azure AD のサインイン失敗と EDR アラートを相関させてパスワードスプレーを検出する。
- Splunk の相関サーチが、サービスアカウントが普段使われない国からログインした際にアラートを発火する。
関連用語
セキュリティオペレーションセンター(SOC)
組織の IT 環境全体を 24 時間 365 日体制で監視し、サイバーインシデントの検知・調査・対応を継続的に行う集約型のチームおよび拠点。
SOAR
検知・エンリッチメント・対応アクションをプレイブックとして連結し、複数のセキュリティツール上で実行することで SOC のワークフローを自動化・オーケストレーションするプラットフォーム。
UEBA(ユーザー・エンティティ行動分析)
ユーザーやエンティティの正常な行動をベースライン化し、侵害や内部不正を示唆する統計的な逸脱を検出するセキュリティ分析手法。
Log Analysis
Log Analysis — definition coming soon.
脅威インテリジェンス
脅威と攻撃者に関する、指標・TTP・背景を含むエビデンスベースの知識。セキュリティの意思決定と検知を導くために用いられる。
Indicator of Compromise (IoC)
Indicator of Compromise (IoC) — definition coming soon.