の自動検知パックシリーズ
データセキュリティ ALog シリーズ
-
どんなレポートが
有効なのかわからない
-
ログからサイバー攻撃を
検知したい
-
せっかくログをとってるんだから、
とりあえず何かを始めたい
-
一から始める
リソースが足りない
そんな声から生まれた『自動化パック』
「サイバー攻撃自動検知パック」とは
IPAやJPCERT/CCなど国内の情報セキュリティ機関が
提供するセキュリティガイドラインをベースに
攻撃検知手法をテンプレート化したもの。
これをALogにインストールするだけで、
サイバー攻撃を自動で検知出来るようになります。
※ IPA: 独立行政法人 情報処理推進機構
※JPCERT :Japan Computer Emergency Response Team
-
最も効果のある
監視項目を分析典型的な攻撃パターンの証跡内容と最も
効果的な監視項目を分析してパック化。 -
要件定義不要
機器ごとの取り込み/アラート/レポート、
すべてのテンプレートが事前定義済み。
難しい要件定義と設定は不要。 -
IPAやJPCERT
ガイドラインに対応サイバーセキュリティに特化した
ガイドラインに沿った定義と対処を実施。※IPA:独立行政法人 情報処理機構
※JPCERT:Japan Computer Emergency Response Team
自動検知パック
レポートサンプルイメージ
侵入フェーズ
攻撃者が企業の内部ネットワークに侵入を試みるフェーズで、認証サーバへ必要な権限取得を試みることから、以下の様な不審なログオンチャレンジを検知するレポート設定が盛り込まれています。
ログオン失敗
(架空アカウントでの侵入行為)を監視
(架空アカウントでの侵入行為)を監視
いつもと違うログオンをAIで検出
ログオンに成功しない限り、
まだドメインへの侵入は成功していません。
レポートを元に該当端末のネットワーク分離と
調査を速やかに行う必要があります。
まだドメインへの侵入は成功していません。
レポートを元に該当端末のネットワーク分離と
調査を速やかに行う必要があります。
情報取得フェーズ
侵入に成功し無事に権限を取得した攻撃者は、目的とする情報の捜索や身代金要求に向けてファイルの暗号化などを行うため、以下の様なレポート設定が盛り込まれています。
ランサムウェア感染時に特徴的な
大量のファイルの暗号化を監視
大量のファイルの暗号化を監視
規定外ツールによるDB操作を監視
不正な挙動をしている端末を速やかに
調査するとともに、暗号化されたデータなどは、
このログの時刻を参考にして直前の
バックアップデータへ復旧させる必要があります。
調査するとともに、暗号化されたデータなどは、
このログの時刻を参考にして直前の
バックアップデータへ復旧させる必要があります。
情報持ち出しフェーズ
目的の情報を取得した攻撃者は、外部へデータを持ち出すためにインターネット上のサーバへデータを送信したり、事件の発覚を遅らせるために証拠隠滅の為ログなどの痕跡を消すことがあるため、以下の様なレポート設定が盛り込まれています。
IP別の大量アップロードを監視
イベントログの削除(証拠隠滅)を監視
外部からの報告でインシデントが
発覚するような事のないように、
速やかに被害範囲を特定し報告や事情説明に
必要なデータを取りまとめる必要があります。
発覚するような事のないように、
速やかに被害範囲を特定し報告や事情説明に
必要なデータを取りまとめる必要があります。
検知の必要性
巧妙化するサイバー攻撃。
もはや侵入の完全制御は不可能です。
しかし例え侵入を許してしまったからといって、
即座に実害が発生するわけではありません。
最善対策は侵入されることを前提に
「侵入のスピード察知」と「感染源のスピード隔離」
できる体制までを整えておく事。
ALogのサイバー攻撃自動検知パックを活用すれば、
攻撃ステップ毎にサイバー攻撃の兆候を
捉えることができます。
自動化までの3STEP
-
1
適用したいパックを選ぶ
-
2
インポートする
-
3
機器名を登録したら完了
各種レポートテンプレートパックで、
導入したその日からログ活用
