SIEMにおける相関分析|情報処理安全確保支援士 シラバス準拠予想問題2 問15

出典:3-4:セキュリティ監視並びにログの取得及び分析| SIEMに関する知識 分野:セキュリティ / 情報セキュリティ対策
SIEMにおける相関分析の説明として,最も適切なものはどれか。
  • ア:検知されたアラートに基づき,チケット起票,端末隔離,通信遮断などの対応手順をワークフロー化し,自動又は半自動で実行する仕組みである。
  • イ:ファイアウォール,プロキシ,サーバなど複数の機器から収集したログを,時間軸やルールに基づいて関連付け,単一のログでは把握しにくい攻撃の兆候を検出する分析である。
  • ウ:利用者や端末の通常時の操作傾向を学習し,普段とは異なるログイン時刻,アクセス先,操作量などから異常な振る舞いを検出する分析である。
  • エ:ネットワーク上の通信を監視し,既知の攻撃パターンや不審な通信を検知して,管理者に通知する仕組みである。
解説

SIEMにおける相関分析は、複数の機器やシステムから収集したログを関連付けて、単一のログだけでは分かりにくい攻撃の兆候を検出する分析です。

例えば、ファイアウォール・プロキシ・認証サーバ・業務サーバなどのログを、時間軸・送信元IPアドレス・利用者ID・検知ルールなどに基づいて突き合わせます。これにより、不審なログイン、内部探索、外部通信などを一連の攻撃活動として把握しやすくなります。

したがって、が適切です。

❌他選択肢が誤りの理由
ア:検知されたアラートに基づき,チケット起票,端末隔離,通信遮断などの対応手順をワークフロー化し,自動又は半自動で実行する仕組みである。
⇒SOARの説明です。SOARは、検知されたアラートに基づいて対応手順を自動化又は半自動化する仕組みです。SIEMの相関分析は、複数ログを関連付けて攻撃の兆候を検出する分析であり、対応作業のワークフロー化そのものではありません。
ウ:利用者や端末の通常時の操作傾向を学習し,普段とは異なるログイン時刻,アクセス先,操作量などから異常な振る舞いを検出する分析である。
⇒UEBAの説明です。UEBAは、利用者や端末の通常時の振る舞いを学習し、異常な行動を検出する分析です。SIEMの相関分析は、複数機器のログを時間軸やルールに基づいて関連付ける点に特徴があります。
エ:ネットワーク上の通信を監視し,既知の攻撃パターンや不審な通信を検知して,管理者に通知する仕組みである。
⇒IDSに近い説明です。IDSはネットワーク通信などを監視し、既知の攻撃パターンや不審な通信を検知して通知する仕組みです。SIEMは、複数の機器やシステムからログを集約し、相関分析によって攻撃の兆候を検出する点が異なります。
TSUNAGARU-ADVICE

まず押さえたいこと

SIEMにおける相関分析は、ファイアウォール・プロキシ・サーバ・認証基盤など複数の機器から集めたログを関連付けて分析することです。時間軸やルールに基づいて見ることで、単一のログだけでは分かりにくい攻撃の兆候を検出できます。

迷ったときの判断軸

チケット起票や端末隔離などを自動化するものはSOAR、通常時の操作傾向から異常を見つけるものはUEBA、ネットワーク通信を監視して攻撃を検知するものはIDSやNDRに近い説明です。SIEMの相関分析は、複数ログを組み合わせて攻撃の流れを見つけると判断しましょう。

科目Bにつなげるために

科目Bでは、認証失敗ログ・プロキシログ・FWログ・EDRアラートなどを組み合わせて、侵入・横展開・情報持出しの流れを読み取る場面があります。SIEMの相関分析では、個々のログを点で見るのではなく、時系列と機器間の関係から一連の攻撃として捉える視点を持ちましょう。