脅威ハンティング
定義
アラートを待つのではなく、仮説に基づいて能動的に侵害の痕跡を探す防御活動。「すでに侵入されているかもしれない」という前提で、ログ・テレメトリーを横断的に調査し、未検知の攻撃や潜伏を発見する。
詳細解説
MITRE ATT&CK の戦術・技術を仮説の出発点にし、EDR・SIEM のデータから異常なプロセス起動、横展開、C2 通信の兆候を探します。シグネチャに依存しないため、未知の手口や Living off the Land(正規ツール悪用)型の攻撃を捉えやすいのが利点です。成熟した SOC で実施され、発見した痕跡は検知ルール(Sigma 等)として再利用し、検知能力を継続的に高めます。
ポイント
- 仮説駆動で能動的に侵害痕跡を探す(アラート待ちではない)
- MITRE ATT&CK を仮説の出発点として活用
- シグネチャ非依存で未知・LotL 型攻撃を捉えやすい
- 発見結果を検知ルール化して検知力を継続改善する
関連用語
関連コンテンツ
よくある質問
脅威ハンティングとは?
アラートを待つのではなく、仮説に基づいて能動的に侵害の痕跡を探す防御活動。「すでに侵入されているかもしれない」という前提で、ログ・テレメトリーを横断的に調査し、未検知の攻撃や潜伏を発見する。
脅威ハンティングについて詳しく知るには?
MITRE ATT&CK の戦術・技術を仮説の出発点にし、EDR・SIEM のデータから異常なプロセス起動、横展開、C2 通信の兆候を探します。シグネチャに依存しないため、未知の手口や Living off the Land(正規ツール悪用)型の攻撃を捉えやすいのが利点です。成熟した SOC で実施され、発見した痕跡は検知ルール(Sigma 等)として再利用し、検知能力を継続的に高めます。
脅威ハンティングのポイントは?
仮説駆動で能動的に侵害痕跡を探す(アラート待ちではない) MITRE ATT&CK を仮説の出発点として活用 シグネチャ非依存で未知・LotL 型攻撃を捉えやすい 発見結果を検知ルール化して検知力を継続改善する
同じカテゴリの用語(防御・対策)
利用者が求めたOAuthアプリ権限を、管理者が審査して承認・却下するための運用フロー。…
管理画面や管理APIがインターネットから到達可能な状態。認証強度や脆弱性次第で重大リスクになる。…
Kubernetesでリソース作成・更新リクエストを受け付ける前に、検証や変更を行う制御ポイント。…
Kubernetesなどでリソース作成前に、署名、権限、ラベル、セキュリティ設定を検査して許可・拒否するポリシー。…
組織で利用しているAIサービス、モデル、エージェント、APIキー、データ連携、責任者を一覧化した台帳。…
大量のアラートや低品質な通知により、担当者が重要な警告を見逃しやすくなる状態。…
関連するレッスン
組織を守る実践的な防御策を学ぶ