相関について
相関は、連続して発生する異なる種類のイベント(Windowsログ、Syslog、アプリケーションログなど)を分析およびそれらの関係を特定するプロセスです。ネットワークで発生しているイベントの相関をみることで、個別のログを確認しているときには見逃す可能性があるインシデントを把握できます。
例えば、単一のログオン失敗(パスワードが誤っている)は日常的に起こりうるイベントです。しかし、100回のログオン失敗が発生後すぐにログオン成功が生じるのは異常です。
Log360 Cloudの相関ルール
Log360 Cloudの相関ルールは、ユーザーが異常またはセキュリティ・ループホールを示す可能性があるイベントのシーケンスを定義できる規定です。
以下の画像は、相関ルールの中のパラメーターを示します。
アクション(操作) - ネットワークで発生するイベント。例)ログイン失敗
アクション間の時刻ウインドウ - 指定した異なるイベント間の時間差を示します。
しきい値 - 指定時刻ウインドウ内でアクション(操作)が発生する最小回数。
フィルター - ユーザーが各アクション(操作)の条件を指定できます。例えば、ネットワーク内で監視が必要なIPアドレスの範囲を含めることができます。
最適化した相関ルール構成に対する推奨事項
- 相関はメモリを多く消費するプロセスのため、重要なユースケースについてのみ、ルールを作成/有効にしてください。
- ルールで誤検出が多数作成される場合、回避するようにルールパラメーターを修正してください。
注記: 1つのルールには、最大3つのアクションまたはフィルターを含めることができ、それぞれにつき1時間に10,000回評価できます。Log360 Cloudは、合計で最大10のアクティブルールを処理できます。各ルールは1日最大5,000回トリガーできます。