イベント・ログのベスト・プラクティスと脅威検出

サイバー脅威軽減のためのイベントログ記録のベストプラクティス このガイダンスは、悪意のあるアクターが使用するランドリーブテクニックに対処するために、サイバーセキュリティとネットワークの可視性を向上させるためのイベントログ記録のベストプラクティスを定義します。 効果的なログ記録のための4つの鍵となる要素 - 企業が承認するイベントログ記録ポリシー：環境全体で一貫したログ記録アプローチを確立します。 - 中央集権的なイベントログアクセスと相関関係：効率的な監視と分析を可能にします。 - 安全なストレージとイベントログの完全性：イベントログの完全性とアクセシビリティを維持します。 - 関係する脅威に対する検出戦略：悪意のある活動と脅威の兆候を特定するためのログ記録に焦点を当てる。 イベントログの品質 - 高品質のログは、セキュリティイベントに関する詳細な情報を提供し、インシデントの特定と脅威の検出を支援します。 - LOTL検出のための関連する考慮事項には、悪意のあるアクターが使用する特定のコマンドとツールに関するログのキャプチャーが含まれます。 キャプチャーされたイベントログの詳細 - ログは、ネットワークディフェンダーがインシデントを捜査し、対応するために必要な情報を含むべきです。この情報には、タイムスタンプ、イベントタイプ、システム識別子が含まれます。 - キー-バリューペアを使用したデータフォーマットは、ログ解析を簡単化します。 運用技術に関する考慮事項 - OTデバイスは、ログ記録能力が限られていることが多く、補助的なソリューションやバンドアウトのログ通信が必要です。 一貫性と同期 - システム全体で一貫したログフォーマットとタイムスタンプは、ログ検索と相関関係を容易にします。 - 正確なタイムソースは、イベント間の関係を特定するのに役立ちます。 追加リソース - ASDの情報セキュリティマニュアル：イベントログの記録に関するガイドラインを提供します。 - CISAのM-21-31ガイダンス：ログ収集の優先順位を定めます。 - NISTのOTセキュリティーガイド：OT固有のイベントログ記録に関する考慮事項をアドレスします。