目次
1. 誤検知とは?
誤検知(False Positive)とは、検知システム(SIEM・EDR・IPSなど)がアラートを発報したものの、実際には攻撃や脅威ではなかったケースを指します。
- 例1: 社内のスクリプトが大量のファイル操作 → 「ランサムウェア疑い」アラート
- 例2: 管理者が海外出張先からVPN接続 → 「Impossible Travel」アラート
誤検知が多いと「アラート疲れ」につながり、本当に重要なインシデントを見逃すリスクが高まります。SOCアナリストにとって「正しく切り分ける力」は必須です。
2. 誤検知を見極める観点
(1) アラート発生の背景を確認
- どのルール/シグネチャがトリガーされたか?
- ルールは「挙動検知型」か「シグネチャ型」か?
(2) ユーザー行動の確認
- アラート対象のユーザーは通常の業務をしていたか?
- 出張・在宅勤務・VPN利用の有無を確認
(3) システム・業務影響の確認
- 対象サーバはメンテナンス中/パッチ適用中ではないか?
- バックアップやバッチ処理など、業務固有の動作か?
(4) 他のログとの相関
- 追加の認証失敗/異常なプロセス起動は見られるか?
- ネットワーク通信に不審な外向きトラフィックはあるか?
3. 実例ログと切り分け
例A:ランサムウェア疑いアラート
EDR: Host=PC-YAMADA Process=backup.exe FileOps=1000 files modified in 10 min
切り分け
- backup.exe は社内バックアップソフトの正規プロセス
- 実際には夜間バックアップ処理 → 誤検知
例B:Impossible Travel
AzureAD: User=k.sato Login=2025-09-12T09:00 IP=Tokyo
AzureAD: User=k.sato Login=2025-09-12T09:15 IP=California
切り分け
- VPNゲートウェイが米国経由でログインを処理
- ユーザー本人確認 → 正常利用 → 誤検知
4. 誤検知対応の手順
- アラート受領
- SIEMやEDRからアラートが届く
- 初期トリアージ
- ルール・シグネチャ内容を確認
- 関連ログを収集(認証・プロセス・通信)
- ユーザー・システム確認
- ユーザーに確認(メール・チャット)
- システム管理者に状況確認(メンテ・ジョブ実行中か)
- 誤検知の確定
- 正常業務と判断できれば「誤検知」と記録
- アラートはクローズ
- ルール改善・ナレッジ化
- アラートルールに例外を追加(特定プロセス/IPを除外)
- 誤検知事例をSOCナレッジベースに登録
5. 誤検知低減の工夫
- ホワイトリスト化:業務で使用する正規アプリやスクリプトを除外
- ルール精緻化:閾値や条件を業務に合わせて調整
- 相関分析の活用:単一ログではなく複数の兆候を組み合わせて検知
- 定期レビュー:検知ルールを月次で見直す(誤検知率・漏検知率を評価)
- SOARの導入:定型的な誤検知は自動クローズ処理
6. まとめ
誤検知はSOC業務で必ず直面する課題です。大切なのは「アラートを鵜呑みにせず、ログ・業務状況・ユーザー行動を突き合わせて判断すること」。誤検知を正しく切り分け、ルール改善につなげることでSOC全体の効率と精度が向上します。
コメント