SOCアナリストになるために– category –
-
【インシデント対応編】:【第11回】誤検知(False Positive)の見極め方と対応手順
1. 誤検知とは? 誤検知(False Positive)とは、検知システム(SIEM・EDR・IPSなど)がアラートを発報したものの、実際には攻撃や脅威ではなかったケースを指します。 例1: 社内のスクリプトが大量のファイル操作 → 「ランサムウェア疑い」アラート 例2: ... -
【攻撃手法編】:【第10回】クラウド環境(AWS/Azure)における攻撃シナリオとログの見方
1. 全体の考え方(クラウド特有の観点) クラウドでは「API呼び出し」が多くの操作ログの源泉(例:AWS CloudTrail、Azure Activity Log)。APIログが第一の観測点。 ネットワークは仮想化されているため VPC Flow / NSG Flow / ALBアクセスログ 等がネッ... -
【攻撃手法編】:【第9回】内部不正や情報漏えいの監視手法
1. 内部脅威(Insider Threat)とは? 内部不正や情報漏えいは、組織内の人間(社員・委託先・元従業員など)が関与するセキュリティリスクです。代表的なパターンは以下のとおり: 意図的な不正行為:顧客情報を持ち出す、競合にデータを売却する 偶発的... -
【攻撃手法編】:【第8回】アカウント乗っ取り(Credential Theft / Impossible Travel)の事例と対応
1. アカウント乗っ取りとは? アカウント乗っ取り(Credential Theft)は、攻撃者が正規ユーザーのID/パスワードや認証トークンを不正に取得し、内部ユーザーになりすます攻撃です。典型的な経路は以下のとおりです。 フィッシングメールからの認証情報窃... -
【攻撃手法編】:【第7回】ランサムウェア攻撃のライフサイクルと防御策
ランサムウェア攻撃のライフサイクルと防御策 1. 概要(要点) ランサムウェアの典型的な流れは次の通りです。初期侵入 → 権限昇格 → 横展開 → データ暗号化(破壊)→ 身代金要求/外部流出。SOCは各段階で「兆候」を早期に検出して被害拡大を防ぐ役割を持... -
【攻撃手法編】:【第6回】マルウェア感染の兆候をログから見抜く方法
概要(ざっくり) マルウェア感染の兆候は単一ログだけでは見えません。エンドポイント(EDR / Sysmon)+ネットワーク(プロキシ / FW / DNS)+認証ログ(AD / IdP)+ファイル/プロセスの兆候を横断して相関させることで、初期侵入(Initial Access)... -
【攻撃手法編】:【第5回】「フィッシング攻撃の仕組みとSOCでの検知ポイント
はじめに フィッシング攻撃は依然として最も多い初動攻撃手法の一つで、ユーザーの操作(リンククリック、添付ファイル実行、認証情報入力)を誘発して侵入の入口を作ります。SOCは「検知」「初動対応」「被害拡大防止」を迅速に実行する必要があります。... -
【基礎編】:【第4回】監視・検知・対応フローの基本
はじめに SOCアナリストの仕事は「ただアラートを見ること」ではありません。実際には、監視 → 検知 → 分析 → 対応 → 報告 という一連のフローを繰り返すことで、組織をサイバー攻撃から守っています。この記事では、その基本的な流れを整理して解説します... -
【基礎編】:【第3回】SOCのTier(Tier1〜Tier3)ごとの役割の違い
はじめに SOC(Security Operations Center)は、サイバー攻撃を早期に検知・対応する組織です。その中で働く「SOCアナリスト」には、経験やスキルに応じた役割のレベル分けが存在します。それが Tier(ティア) です。本記事では、Tier1〜Tier3 の違いを... -
【基礎編】:【第2回】SOCで使う主要ツール(SIEM・EDR・SOAR)入門
はじめに SOCアナリストの仕事は「アラートを監視して対応する」ことが中心ですが、その基盤となるのが ツール です。本記事では、SOCで欠かせない3つの主要ツール ― SIEM、EDR、SOAR ― についてわかりやすく解説します。 SIEM(Security Information and ...