相関分析とは?ログのコリレーション分析を簡単にする方法

Windowsイベントログ・Syslog対応 ログ管理ソフト

相関分析(コリレーション分析)とは?

一般的なログ分析が、ひとつの端末やアプリケーションが記録したログを掘り下げてログを分析する分析手法であるのに対し、相関分析(コリレーション分析)とは、異なる複数の端末やアプリケーションなどが記録するログの相関(コリレーション)を分析し、ネットワーク上で発生している一連の問題の関連性を把握する分析手法です。

たとえば、あるシステムにおいて不審な操作を行った記録が社内のWebサービスのアプリケーションログに残されている場合、その操作を行ったユーザーがWebサービスにアクセスしたブラウザが存在する端末には、そのユーザーのログイン情報(ユーザー名・日時など)が記録されています。さらにその端末が外部からのログインであれば、外部からログインさせるためのシステム、例えばVPNのサーバーに、セッション確立に関する記録が残されています。このような情報を一連の流れとして把握して分析することを相関分析(コリレーション分析)と呼びます。

相関分析を実施するには通常、ネットワークシステム全体に対する深い理解と、どのようにして関連性をたどればよいかを判断するための豊富な経験が必要となります。

ログの相関分析による脅威検知を実現するツール

ManageEngingeが提供する統合ログ管理ソフト「EventLog Analyzer」はコリレーション機能を標準搭載するパッケージソフトウェアです。異なるデバイス、異なるログ種別から発生したログを相関的に分析して、ネットワーク間で発生している不審な挙動を検知します。 また、定義されているルールに一致した際には、アラートの生成やメール通知により、システム管理者へ即座に通知を行うことが可能です。

相関分析(コリレーション)機能

例) 疑わしいソフトウェアのインストールに対するコリレーションルール

相関分析(コリレーション)機能

統合ログ管理/簡易SIEMソフト EventLog Analyzerのコリレーション機能

関連ドキュメント

コリレーション機能を活用したサイバー攻撃の検知

EventLog Analyzerにおけるコリレーション機能(相関分析)の仕組み、 そしてデフォルトで用意されている解析ルールとそのユースケースについてご紹介

>>ホワイトペーパーのダウンロード(PDF)

▼コリレーション機能の紹介動画 (音声:英語)

※動画:「再生ボタン」をクリックして再生できます

 

ネットワーク統合監視ツールのアラート通知ログを収集し相関分析も可能

EventLog Analyzerでは、ネットワーク監視ツール「OpManager」と連携することにより、OpManagerから送信されるアラート通知ログを解析/保管することが可能です。

連携の仕組み

OpManagerが監査対象からアラート情報を受信した際に、OpManagerから当該アラート情報をEventlog AnalyzerにSyslog転送します。その後、Eventlog Analyzerでコリレーション機能を用いて、解析およびレポート化を行ないます。

OpManagerとEventlog Analyzerの連携の仕組み

相関レポートを表示

EventLog Analyzer画面上ではコリレーション機能配下にて、OpManagerの監査対象にて発生したアラート情報をレポートベースで確認することが可能となります。

以下のように、「イベントの種類」、「メッセージ」等に基づいたアラートイベント概要を確認することも可能です。

詳しい連携方法は以下のナレッジベースをご参照ください ▼
OpManagerとの連携方法について