目次
1. なぜログ分析が重要なのか?
SOC業務の大半は「ログを読み解くこと」にあります。
- 正常な挙動と異常な挙動の違いを見抜く
- 攻撃の兆候(IOC)を発見する
- インシデントの範囲や影響を特定する
つまり、ログは攻撃者との唯一の対話手段であり、分析力がSOCアナリストの価値を決めます。
2. ログ分析を鍛えるステップ
(1) 基本フォーマットに慣れる
まずはよく使うログ形式を読み慣れることが大事です。
- 認証ログ(Windows Event ID 4624/4625、Linux auth.log)
- Webサーバーログ(Apache/Nginx access.log)
- ネットワークログ(Firewall, Proxy, IDS/IPS)
- クラウドログ(AWS CloudTrail、Azure Activity Log、Microsoft 365 サインインログ)
👉 最初は 「どのフィールドが何を意味するか」 を説明できるようにするのが第一歩です。
(2) 正常系を知る
誤検知を減らすためには「正常なログのパターン」を理解することが重要です。
- 日常的なログイン時間帯・IP範囲
- バッチ処理やバックアップによる大量アクセス
- 業務システムの定期的なAPI呼び出し
👉 正常を知ることで、異常が浮き上がって見えるようになります。
(3) 小さな演習を繰り返す
実際にログを見て「これは不審か?正常か?」を判断するトレーニングが効果的です。
- 自分のPCの Windows Event Viewer でログオン/ログオフを確認
- Apacheのaccess.log をgrepして「特定IPからの異常リクエスト」を探す
- AWS無料枠でCloudTrailを有効化し、誰がどのAPIを叩いたか分析
👉 日常的に「ログを読む習慣」を作るのが上達の近道です。
(4) SIEM/EDRのルールを読み解く
可能であればOSSや学習用SIEMを触ってみましょう。
- ELK(Elasticsearch, Logstash, Kibana)
- Wazuh(OSS SIEM/EDR)
- Splunk Free版
👉 「ルールがどう定義されているか」を読むと、どんなパターンが攻撃と見なされるのか理解できます。
3. 日常的な勉強法の具体例
- 毎日5分「今日のログ」:OSやWebサーバーのログを1つ見て気づきをメモ
- 週1回ミニ演習:不審なログ(失敗ログイン連続、海外IPアクセス)を再現して調べる
- MITRE ATT&CKに紐付ける:見つけた挙動をTactic/Techniqueに分類する
- 仲間とログクイズ:例題を出し合い「このログは攻撃?正常?」を議論
4. 学習リソース
- HackTheBox / TryHackMe:SOC向けラボ環境あり
- Blue Team Labs Online:ログ分析演習サイト
- MITRE ATT&CK Navigator:観測したログをTTPにマッピングして学習
- 実案件の公開レポート(FireEye, CISA, JPCERT/CCのインシデントレポート)を読み、ログ痕跡を追体験
5. まとめ
- ログ分析は「知識」よりも「経験量」で上達する
- 正常なパターンを理解する → 異常に気づく → TTPに当てはめる の流れを習慣化する
- 日々のログ観察と演習を通じて「目」を鍛えることがSOCアナリスト成長の近道
コメント