SIEM検知ルールと相関分析の設計
この記事の位置づけ
この記事では、SIEMに投入したログをどう相関させ、検知ルールへ落とすかを扱います。ログ収集の優先順位は SIEMログ設計とSOC運用の入口 を参照してください。
相関分析とは何か
相関分析は、単発ログを組み合わせて攻撃仮説を検証する作業です。
たとえば、ログイン失敗が5回あっただけでは、単なる入力ミスかもしれません。しかし、同一IPから多数ユーザーへ失敗し、その後に成功ログインがあり、直後にMFA設定変更や大量ダウンロードがあれば、アカウント侵害の疑いが強まります。
単発ログ
ログイン失敗
↓
相関
同一IPから複数ユーザーに失敗
↓
攻撃仮説
パスワードスプレー
↓
追加確認
成功ログイン、MFA、送信元評価
↓
判断
監視継続、誤検知、侵害疑い
MITRE ATT&CKのData SourcesとData Componentsは、攻撃技術ごとに必要なデータを逆算する参照として使えます。12
検知ルールの基本形
検知ルールは、条件だけでなく、初動と証跡保全まで含めて設計します。
| 項目 | 内容 |
|---|---|
| 攻撃仮説 | 何が起きていると考えるか |
| 必要ログ | どのログが必要か |
| 相関条件 | どのイベントを組み合わせるか |
| 閾値 | どの頻度、件数、時間幅で検知するか |
| 除外条件 | 正規運用、監視元、社内Proxyなど |
| 重大度 | Low、Medium、High、Criticalの基準 |
| 初動 | 誰が何を確認するか |
| 証跡 | どのログを保存するか |
| チューニング | 誤検知、見逃し、業務影響の見直し |
例1: パスワードスプレー
| 項目 | 内容 |
|---|---|
| 攻撃仮説 | 攻撃者が少数のパスワードを多数ユーザーへ試している |
| 必要ログ | IdP、AD/Entra ID、VPN、MFA |
| 相関条件 | 同一送信元IPから短時間に複数ユーザーへログイン失敗 |
| 閾値例 | 10分間で20ユーザー以上、1時間で50ユーザー以上 |
| 除外条件 | 社内Proxy、既知の監視元、認証連携基盤 |
| 重大度 | 通常Medium、失敗後の成功があればHigh |
| 初動 | 送信元評価、対象ユーザー一覧、成功ログイン有無を確認 |
| 証跡 | 対象ログインイベント、MFA結果、成功後操作ログ |
固定閾値は環境差を受けます。大企業では閾値を高くしないとノイズが増え、小規模環境では低い閾値でも異常になり得ます。
例2: MFA疲労攻撃
| 項目 | 内容 |
|---|---|
| 攻撃仮説 | 攻撃者がMFA通知を連続送信し、誤承認を誘っている |
| 必要ログ | IdP、MFA、セッションログ |
| 相関条件 | 同一ユーザーに短時間でMFA要求が連続し、拒否または未応答後に成功 |
| 閾値例 | 10分間でMFA要求5回以上、30分間で拒否3回以上 |
| 重大度 | 拒否後または未応答後の成功はHigh以上 |
| 初動 | 本人確認、ログイン元IP確認、成功セッション確認 |
| 証跡 | MFA要求履歴、成功セッション、端末情報 |
MFA疲労攻撃では、単に要求回数だけを見ると誤検知が増えます。拒否、未応答、成功の順序を見る必要があります。
例3: Webスキャン
| 項目 | 内容 |
|---|---|
| 攻撃仮説 | 公開Webに対して管理画面、設定ファイル、既知脆弱性が探索されている |
| 必要ログ | WAF、CDN、Webサーバ、アプリケーションログ |
| 相関条件 | 存在しないパスへの連続アクセス、複数攻撃シグネチャ一致 |
| 閾値例 | 5分間で404が50件以上、管理系パス10種類以上 |
| 除外条件 | 正規脆弱性診断、監視サービス、検索エンジンクローラ |
| 初動 | 送信元確認、対象パス確認、WAFブロック状況確認 |
| 証跡 | アクセスログ、WAF判定、リクエストパス、User-Agent |
Webスキャンは検知しやすい一方、すべてを重大インシデントとして扱うとSOCが疲弊します。公開面の重要度、脆弱性有無、ブロック結果で重大度を調整します。
閾値設計
閾値は固定値だけで決めない方が運用しやすいです。
| 閾値種類 | 例 | 注意点 |
|---|---|---|
| 固定閾値 | 10分で20回失敗 | 単純だが環境差に弱い |
| ベースライン閾値 | 通常平均の5倍 | 低頻度攻撃を見逃すことがある |
| 文脈閾値 | 特権ID、重要資産、退職予定者 | 資産台帳や人事情報との連携が必要 |
文脈による重大度変更の例は次の通りです。
| イベント | 重大度 |
|---|---|
| 通常ユーザーの深夜ログイン | Medium |
| 特権IDの深夜ログイン | High |
| 特権IDの深夜ログイン後にアクセスキー作成 | Critical |
| 特権IDの深夜ログイン後に監査ログ無効化 | Critical、即時封じ込め候補 |
チューニングで見る指標
| 指標 | 見ること |
|---|---|
| 誤検知率 | アラートのうち対応不要だった割合 |
| 見逃し | 後から判明した未検知イベント |
| 確認時間 | SOCが判断にかけた時間 |
| 証跡充足率 | 判断に必要なログが揃っていた割合 |
| 除外条件の妥当性 | 正規送信元を除外しすぎていないか |
チューニングは、単にアラート数を減らす作業ではありません。重大なイベントを残し、判断に不要なノイズを減らす作業です。