脅威ハンティング
定義
アラートを待つのではなく、仮説に基づいて能動的に侵害の痕跡を探す防御活動。「すでに侵入されているかもしれない」という前提で、ログ・テレメトリーを横断的に調査し、未検知の攻撃や潜伏を発見する。
詳細解説
MITRE ATT&CK の戦術・技術を仮説の出発点にし、EDR・SIEM のデータから異常なプロセス起動、横展開、C2 通信の兆候を探します。シグネチャに依存しないため、未知の手口や Living off the Land(正規ツール悪用)型の攻撃を捉えやすいのが利点です。成熟した SOC で実施され、発見した痕跡は検知ルール(Sigma 等)として再利用し、検知能力を継続的に高めます。
ポイント
- 仮説駆動で能動的に侵害痕跡を探す(アラート待ちではない)
- MITRE ATT&CK を仮説の出発点として活用
- シグネチャ非依存で未知・LotL 型攻撃を捉えやすい
- 発見結果を検知ルール化して検知力を継続改善する
関連用語
関連コンテンツ
よくある質問
脅威ハンティングとは?
アラートを待つのではなく、仮説に基づいて能動的に侵害の痕跡を探す防御活動。「すでに侵入されているかもしれない」という前提で、ログ・テレメトリーを横断的に調査し、未検知の攻撃や潜伏を発見する。
脅威ハンティングについて詳しく知るには?
MITRE ATT&CK の戦術・技術を仮説の出発点にし、EDR・SIEM のデータから異常なプロセス起動、横展開、C2 通信の兆候を探します。シグネチャに依存しないため、未知の手口や Living off the Land(正規ツール悪用)型の攻撃を捉えやすいのが利点です。成熟した SOC で実施され、発見した痕跡は検知ルール(Sigma 等)として再利用し、検知能力を継続的に高めます。
脅威ハンティングのポイントは?
仮説駆動で能動的に侵害痕跡を探す(アラート待ちではない) MITRE ATT&CK を仮説の出発点として活用 シグネチャ非依存で未知・LotL 型攻撃を捉えやすい 発見結果を検知ルール化して検知力を継続改善する
同じカテゴリの用語(防御・対策)
利用者が求めたOAuthアプリ権限を、管理者が審査して承認・却下するための運用フロー。…
大量のアラートや低品質な通知により、担当者が重要な警告を見逃しやすくなる状態。…
APIの認証、認可、入力検証、レート制限、監査ログ、機密情報保護を設計・運用するセキュリティ領域。…
コンテナイメージやパッケージなどの成果物に署名し、配布前後で改ざんされていないことを確認する対策。…
外部公開資産、クラウド、SaaS、ドメイン、証明書など、攻撃対象になりうる面を継続的に把握・管理する活動。…
一定期間バックアップを変更・削除できない状態にし、ランサムウェアや誤操作から復旧データを守る考え方。…
関連するレッスン
組織を守る実践的な防御策を学ぶ