SOCアナリストになるために– category –
-
【インシデント対応編】:【第14回】MITRE ATT&CKを使った攻撃分析の実践
はじめに(要点まとめ) MITRE ATT&CK は攻撃者の戦術(Tactics)と技術(Techniques)を体系化したフレームワークです。SOCではこれを「検知ギャップの発見」「検知ルールの構築」「調査・レポートの共通言語」として使います。実務では「ログ→ATT&am... -
【インシデント対応編】:【第13回】脆弱性対応:スキャン結果から優先度を判断する方法
1. 背景 脆弱性スキャン(Nessus, Qualys, OpenVAS, Azure Defender, AWS Inspectorなど)は毎回数百〜数千件の検知を出します。そのすべてに即対応するのは現実的ではありません。SOCやセキュリティチームは「どの脆弱性から対応するか」を リスクベース... -
【インシデント対応編】:【第12回】不審メールを検知したときのSOC対応フロー
1. 背景 不審メールは、ランサムウェア・マルウェア・アカウント乗っ取りの入口となる典型的な攻撃ベクトルです。SOCでは「ユーザーからの報告」「メールセキュリティ製品の検知」「SIEM相関」で最初に気づくことが多く、その後の初動対応スピードが被害最... -
【インシデント対応編】:【第11回】誤検知(False Positive)の見極め方と対応手順
1. 誤検知とは? 誤検知(False Positive)とは、検知システム(SIEM・EDR・IPSなど)がアラートを発報したものの、実際には攻撃や脅威ではなかったケースを指します。 例1: 社内のスクリプトが大量のファイル操作 → 「ランサムウェア疑い」アラート 例2: ... -
【攻撃手法編】:【第10回】クラウド環境(AWS/Azure)における攻撃シナリオとログの見方
1. 全体の考え方(クラウド特有の観点) クラウドでは「API呼び出し」が多くの操作ログの源泉(例:AWS CloudTrail、Azure Activity Log)。APIログが第一の観測点。 ネットワークは仮想化されているため VPC Flow / NSG Flow / ALBアクセスログ 等がネッ... -
【攻撃手法編】:【第9回】内部不正や情報漏えいの監視手法
1. 内部脅威(Insider Threat)とは? 内部不正や情報漏えいは、組織内の人間(社員・委託先・元従業員など)が関与するセキュリティリスクです。代表的なパターンは以下のとおり: 意図的な不正行為:顧客情報を持ち出す、競合にデータを売却する 偶発的... -
【攻撃手法編】:【第8回】アカウント乗っ取り(Credential Theft / Impossible Travel)の事例と対応
1. アカウント乗っ取りとは? アカウント乗っ取り(Credential Theft)は、攻撃者が正規ユーザーのID/パスワードや認証トークンを不正に取得し、内部ユーザーになりすます攻撃です。典型的な経路は以下のとおりです。 フィッシングメールからの認証情報窃... -
【攻撃手法編】:【第7回】ランサムウェア攻撃のライフサイクルと防御策
ランサムウェア攻撃のライフサイクルと防御策 1. 概要(要点) ランサムウェアの典型的な流れは次の通りです。初期侵入 → 権限昇格 → 横展開 → データ暗号化(破壊)→ 身代金要求/外部流出。SOCは各段階で「兆候」を早期に検出して被害拡大を防ぐ役割を持... -
【攻撃手法編】:【第6回】マルウェア感染の兆候をログから見抜く方法
概要(ざっくり) マルウェア感染の兆候は単一ログだけでは見えません。エンドポイント(EDR / Sysmon)+ネットワーク(プロキシ / FW / DNS)+認証ログ(AD / IdP)+ファイル/プロセスの兆候を横断して相関させることで、初期侵入(Initial Access)... -
【攻撃手法編】:【第5回】「フィッシング攻撃の仕組みとSOCでの検知ポイント
はじめに フィッシング攻撃は依然として最も多い初動攻撃手法の一つで、ユーザーの操作(リンククリック、添付ファイル実行、認証情報入力)を誘発して侵入の入口を作ります。SOCは「検知」「初動対応」「被害拡大防止」を迅速に実行する必要があります。...