「標的型攻撃対策サービス」は、企業環境の各種機器のログを収集し、SIEM(Security Information and Event Management)を用いたログ分析により標的型攻撃を検知する。SIEMでは、独自のログ分析ルールを用いて攻撃の痕跡となるログの発生を監視するが、正規ユーザーのパスワード誤入力などを攻撃として誤検知する場合があったという。
今回、従来のログ分析ルールによる検知手法に加え、新たに「攻撃シナリオを活用したログ分析手法」を導入することで、攻撃と正規ユーザーの活動を高精度で判別することが可能になる。これにより、誤検知の発生を低減させ、誤検知に伴う運用負荷を軽減するとともに、多様な攻撃・脅威に対する監視が可能になるという。
■サービスの特徴
1. 攻撃に対する網羅的な監視を実現
- 標的型攻撃で用いられるマルウェアの活動を分析し、数十種類の攻撃手口に分類。
- 分類した攻撃手口を検知するログ分析ルールを導入することで、網羅的な監視を実現。
2. 攻撃シナリオにより攻撃検知の精度向上
- 実際の攻撃で発生するいくつかの連続した攻撃手口の組み合わせを攻撃シナリオとして定義。
- 検知した攻撃手口が、攻撃シナリオに沿って実行されているかを確認。
- 攻撃シナリオに沿った活動のみを検知対象とすることで、誤検知を低減し精度の向上を実現。
