SOCアナリストになるために– category –
-
【実務編:第24回】ヘッダ分析 と IOC抽出
要点サマリ(先に結論) ヘッダ分析:Authentication-Results と Received ヘッダを最初に見る。SPF/DKIM/DMARC の結果は Authentication-Results に出る。送信元IPは外側(下側)の Received をたどる。 IOC抽出:IoC(Indicator of Compromise)とは、サ... -
【実務編:第23回】不審メールや脆弱性への対応・調査・分析業務
1. 不審メール対応の基本フロー (1) 初動(検知と報告) メールゲートウェイやEDRが 添付ファイル付きメール や 不審リンク を検知 SOCアナリストは検知ログを確認し、該当ユーザーや受信範囲を把握 (2) 調査 ヘッダ分析:送信元ドメイン、SPF/DKIM/DMARC... -
【特別編:第22回】MITRE ATT&CKを徹底理解:SOCアナリストが使うべき攻撃フレームワーク
1. MITRE ATT&CKとは? MITRE ATT&CK(Adversarial Tactics, Techniques & Common Knowledge)は、攻撃者が実際に使う 戦術(Tactics) と 技術(Techniques) を体系的にまとめた知識ベースです。 誰が作ったのか:米MITRE社(非営利研究機関... -
【キャリア・学習編】:【第21回】SOCアナリスト向けのおすすめ演習環境(TryHackMe, Blue Team Labs, ELKなど)
1. なぜ演習環境が必要か? SOCの仕事は「ログを見て攻撃を見抜く」ことが中心ですが、知識だけでは身につきません。 実際に手を動かしてログを分析する 攻撃と防御の両方を体験する 現場のツール(SIEM/EDR/SOAR)に触れる これらを通じて初めて「実務で... -
【キャリア・学習編】:【第20回】SOC業務で役立つクエリ言語(Splunk SPL, KQL, SQLなど)
1. なぜクエリ言語が必要なのか? SOCアナリストは「大量のログ」から攻撃の痕跡を見つけ出す仕事です。そのために必須となるのが ログ検索・分析用のクエリ言語。 SIEM(Splunk, Microsoft Sentinel, QRadarなど) クラウド(AWS, Azure, GCP) データベ... -
【キャリア・学習編】:【第19回】SOCアナリストの1日の業務スケジュール
1. SOCアナリストの業務の特徴 SOC(Security Operations Center)の業務は、常に変化する攻撃に対応するため 「ルーティン作業+突発対応」 の組み合わせで成り立っています。普段は監視やレポート作成といった定常業務を行いつつ、アラートが発生した場... -
【キャリア・学習編】:【第18回】SOCアナリストのキャリアパス(Tier1からCSIRT・Threat Hunterへ)
1. SOCアナリストの出発点 SOCアナリストは、サイバー攻撃の最前線で活動する「サイバー防衛のオペレーター」です。最初に配属されるのは Tier1 で、主にアラート対応や初動調査を担当します。ここで経験を積むことで、徐々に高度な分析やインシデント対応... -
【キャリア・学習編】:【第17回】日々の勉強法:ログ分析を鍛えるには?
1. なぜログ分析が重要なのか? SOC業務の大半は「ログを読み解くこと」にあります。 正常な挙動と異常な挙動の違いを見抜く 攻撃の兆候(IOC)を発見する インシデントの範囲や影響を特定する つまり、ログは攻撃者との唯一の対話手段であり、分析力がSOC... -
【キャリア・学習編】:【第16回】SOCアナリストに必要なセキュリティ資格(Security+, SSCP, CEH など)
1. なぜ資格が重要なのか? SOCアナリストにとって資格は「知識の証明」と「キャリアの切符」の両方の意味を持ちます。 採用・案件応募での基準:求人票に「Security+必須」「CISSP歓迎」と記載されることが多い 学習ロードマップとして活用:基礎から実務... -
【インシデント対応編】:【第15回】初動対応から報告書作成まで:インシデントレスポンスの流れ
1. インシデントレスポンスとは? インシデントレスポンス(IR)は、サイバー攻撃やセキュリティインシデント発生時に 検知 → 封じ込め → 根本原因の特定 → 復旧 → 報告 までを体系的に行うプロセスです。目的は「被害の最小化」と「再発防止の仕組み化」...