SOCアナリストになるために– category –
-
Kusto Query Language(KQL)
Kusto クエリ言語 (KQL) は、データの分析を行って Analytics、Workbooks を作成し、Microsoft Sentinel と Microsoft Defender XDR でハンティング(アラートに頼らず、自分からログを調べて“潜んでいる脅威”を見つけに行く活動。目的:アラートになって... -
Microsoft Sentinel(センチネル、旧Azure Sentinel)
「Microsoft Sentinel」とはマイクロソフトが提供する、インテリジェントなクラウドネイティブなSIEMソリューション 複数のサービスや製品のログを「Microsoft Sentinel」で統合管理することによりログから相関関係を分析し、高度なセキュリティ分析と脅威... -
Pass‑the‑Ticket攻撃
概要「パス・ザ・チケット (Pass-the-Ticket, PtT)」攻撃は、ネットワーク(特に Windows ドメイン/Active Directory 環境)で使われる Kerberos 認証プロトコル を悪用する攻撃手法の一種です。正規ユーザーが持っている認証用の「チケット (ticket)」を... -
【第31回】SOCがやる不審メール対応の実務イメージ
求人票でいう「不審メール対応を含む実務経験」とは、ただ「怪しいメールを見たことがある」ではなく、SOCでインシデント対応プロセスに基づいて実際に調査・処置を行った経験を指します。 📧 SOCがやる不審メール対応の実務 1. 不審メールの受付・... -
【第30回】SOCにおける脆弱性対応の実務イメージ
「SOC(Security Operation Center)がやる脆弱性対応を含む実務対応」というのは、単に「脆弱性診断をやったことがある」ではなく、実際の企業ネットワークやシステム運用の中で、発見された脆弱性に対してどう対応したかを含む仕事のことを指します。 &#... -
【第29回】DMARCの仕組み
1. はじめに これまで SPF や DKIM について解説してきました。しかし、実際の攻撃メールを見てみると「SPF は PASS だけど From アドレスが違う」「DKIM は通っているけど別ドメイン」など、単独の仕組みだけではなりすましを完全に防ぐことはできません... -
【第28回】SPF(Sender Policy Framework)の仕組み
🔐 SPF(Sender Policy Framework)の仕組み 1. SPFとは? メールのなりすましを防ぐための送信ドメイン認証技術。 「そのドメインのメールを送る権限を持つサーバ(IPアドレス)はどこか?」を DNS に登録しておき、受信サーバがチェックします。 ... -
【第27回】DKIM(DomainKeys Identified Mail)のチェックフロー解説
1. DKIMとは? DKIM(DomainKeys Identified Mail)は、メール送信者のドメイン認証技術の一つです。送信側メールサーバが「電子署名」をメールに付与し、受信側がその署名を公開鍵で検証することで「改ざんがない」ことを確認できます。 2. チェックフロ... -
【実務編:第26回】なりすましメール分析 SPF/DKIM/DMARC
今回は実際に メールヘッダーで送信元を見分ける手順 を、今回の事例(SPF PASS, DKIM PASS, DMARC FAIL)を踏まえて解説します。 以下はFrom(送信者):JAネットバンク d-family@daiwahouse.jpから届いたメールの事例です メールヘッダー詳細例: X-Appare... -
【比較編:第25回】SIEM / XDR / SOAR の違いとは?
1. 共通点と違いをざっくり整理 共通点:すべて「セキュリティ運用を支援するプラットフォーム」 違い: SIEM:ログを集めて「可視化・相関分析」する XDR:エンドポイント・ネットワーク・クラウドなど複数領域を統合的に「検知・防御」する SOAR:検知後...