製品資料

ゾーホージャパン株式会社

ゾーホージャパン株式会社

脅威の封じ込めと防止に不可欠、サイバー攻撃が残す“2つの痕跡”の活用法とは

サイバー攻撃の継続性の有無を判断したり、発見プロセスを迅速化したりするためには、攻撃が残す“痕跡”の検出/分析が欠かせない。そこで重要な指標となる「IoC」と「IoA」の2つについて解説するとともに、有効な活用法を探る。

要約

 ビジネス運用の中断や機密情報の窃取を目的としたサイバー攻撃に対し、セキュリティ担当者が継続性の有無を判断したり、発見プロセスを迅速化したりするためには、攻撃が残す“痕跡”の検出/分析が欠かせない。このプロセスにおいて重要な指標となるのが、Indicators of Compromise(IoC)と、Indicators of Attack(IoA)の2つだ。

 IoCは、いつ/誰に/何が起こったかという3つの情報を提供し、攻撃への対応や影響の評価を実施するために必要となる。一方、不審なイベントを表すIoAは、早期に攻撃を特定し、防止するのに役立つ。攻撃発見プロセスの成功は、各IoCをユーザー情報にひもづけて検証し、他の関連イベントと相関付けて情報を補足できるかどうかにかかっている。

 本コンテンツでは、実際の攻撃シナリオを用いて、IoC/IoAの収集、アラートプロファイルの設定、コリレーションルールの定義など、痕跡を特定するプロセスを詳しく解説する。あわせて、IoCを検出するリアルタイムのイベントレスポンスシステムと、IoAの情報を補足するコリレーションエンジンを備えたSIEMツールを紹介しているので、参考にしてほしい。

アンケート