執筆者:Rami Altalhi、David Roman
ログは組織のデジタル防御を強化するための基礎です。組織には多くのログがあり、コンピュータセキュリティに関連する記録が含まれています。
これらのコンピュータ セキュリティ ログは、セキュリティソフトウェア、ワークステーション、サーバー、ウイルス対策ソフトウェア、EDR、ファイアウォール、侵入検知と防御 、ネットワーク機器など、さまざまなソースによって生成されます。
多くの組織は、ログの収集、レビュー、管理においてさまざまな課題に直面しています。デジタルテクノロジーの導入が進むにつれてログデータの量が増加しているため、サイバーセキュリティチームは脅威を調査および分析する際にどれが最も重要なログなのかを特定することに頭を悩ませています。
企業が抱えるロギングの課題をシンプルにしてインシデント対応計画を強化するために、Talos IR チームは、Talos インシデント対応リテーナーサービスで利用可能なサービスの一環として、ログ アーキテクチャ アセスメントを間もなく提供する予定です。ログ アーキテクチャ アセスメントは、企業が潜在的な脅威に備えてログを分析、収集、準備するのに役立ちます。インシデント対応計画などに加えて強力なログポリシーを設定し、それらのポリシーを理解することにより、企業のインシデント対応データポイントおよびリファレンスが強化され、将来のインシデントに対してより適切な情報に基づいた意思決定ができるようになります。
ログ アーキテクチャ アセスメントをご利用いただくと、その間 Talos IR がお客様の環境を調査し、もしログがあれば、収集、処理、相関されているログ、また悪意のある可能性があるイベントを特定するためにログをより適切に識別および分類する方法を判断します。これにより企業は、将来インシデントが発生した場合に、イベントのタイムラインを簡単に作成できるようになります。
お客様は、ログ アーキテクチャ アセスメントのために事前に何かを準備する必要はありません。Talos IR はお客様と協力して次のことを行います。
- お客様の環境でログに記録されているメタデータと基本的な設定を確認します。
- いくつかのスクリプトを実行して現在の環境で生成されたログから重要なメタデータを取得し、次のような関連する質問に答えます。
-
- ログはどのくらいの期間保管されていますか?
- ログはデフォルト設定のままですか?
- ログは一定期間後にロールオーバーされますか?
- ワークステーション、サーバー、ネットワーク機器を含む組織のロギングインフラについて、分析後に詳細なレポートを提供し、徹底的かつ効率的な分析を実現します。
目標は、お客様の環境を詳細に可視化することです。たとえばログを MITRE ATT&CK フレームワークにマッピングし、インシデントが発生した場合に攻撃や侵害のライフサイクルを簡単に特定できるようにします。
何度もお伝えしてきたとおり、ログはインシデント対応と適切なネットワーク対策にとって不可欠です。それには次のようなさまざまな理由があります。
- インシデントの検出と対応:セキュリティインシデントは避けられないものです。インシデントが発生した場合、ログは非常に重宝します。ログはインシデントの前後に発生したイベントの詳細な履歴を提供します。このデータがあれば、インシデントをより迅速に検出し、効果的に封じ込めることができます。
- フォレンジック分析: インシデント発生後のログは、サイバーセキュリティ侵害の性質と影響を理解する上で重要な役割を果たします。攻撃された脆弱性を特定し、データ漏洩の範囲を特定し、将来の攻撃を防ぐための洞察を提供します。
- コンプライアンスと監査: GDPR、HIPAA、PCI-DSS などの各種規制により、ログの記録と定期的なレビューが義務付けられています。ログはコンプライアンスを証明し、起こり得る法的な影響から組織を保護し、監査人に必要なデータを提供するのに役立ちます。
- 運用上のインサイト:ログが提供するシステムの正常性とパフォーマンスに関するインサイトによってシステムの動作を明確に把握できるため、IT チームはパフォーマンスとスケーラビリティを最適化できます。
Talos インシデント対応リテーナーサービスまたはログ アーキテクチャ アセスメント サービス コンポーネントのご利用に関心や質問がございましたら、シスコのアカウントチームの担当者にご連絡いただくか、Talos IR に直接電子メールでお問い合わせください。
本稿は 2023 年 10 月 17 日に Talos Group のブログに投稿された「Why logging is one of the most overlooked aspects of incident response, and how Cisco Talos IR can help」の抄訳です。