BLOGElastic Securityで始める検知エンジニアリングー Timelineで攻撃の全体像を追う(第3回)
アラートは「何かが起きた」という通知にすぎません。「本当に攻撃なのか」「何をされたのか」を判断するには、アラートの前後に何が起きていたかを調査する必要があります。今回はTimelineを使って、ポートスキャンから始まりデータ持ち出しで終わる...
SOC
BLOG
BLOGElastic Securityで始める検知エンジニアリング — KQLでログを読んで最初のルールを作る(第2回)
ログを読まずにルールは作れません。前回に続いて今回はDiscoverでイベントの中身を確認しながら、「ログイン失敗を検知する」最初のルールを正しい条件で作ります。ルール作成前にDiscoverで確認する習慣が、後々の誤検知を防ぐ最大のポイン...
BLOGElastic Securityで始める検知エンジニアリング — 環境構築とログの取り込み(第1回)
これから5回に分けて、Elastic Securityを使ったセキュリティ監視の基礎を、手を動かしながら学んでいきます。第1回はデータの取り込みと、Discover・Securityの両方で見えるようにするまでの環境構築です。今後の予定本シ...
BLOGAIがサイバー攻撃を自動検知!Elastic Attack Discoveryで実現する次世代のセキュリティ運用
アラート疲れに終止符を打つ革新的ソリューション現代のセキュリティ運用では、次のような課題が顕在化しています。毎日大量のセキュリティアラートが発生し、重要な脅威の識別が困難アラートの優先順位付けに膨大な時間がかかり、本当の脅威への対応が遅延複...