Five Eyes +α イベントロギングと脅威検知のベストプラクティス
こんにちは、丸山満彦です。
ファイブアイズ+日本+韓国+シンガポール+オランダのセキュリティセンターが協力して「イベントロギングと脅威検知のベストプラクティス」を公表していますね...
参考になることも多いように思います...
・ログについての組織全体の方針を決めなはれ
・ログの収集と相関は一元管理しなはれ
・収集したログは改ざんされんように、漏れんようにしなはれ
・脅威に関連させて検知戦略を立なはれ
ということですかね...
ベストプラクティスの目次...
Best practices | ベストプラクティス |
Enterprise-approved event logging policy | エンタープライズが承認したイベントロギングポリシー |
Event log quality | イベントログの品質 |
Captured event log details | キャプチャされたイベントログの詳細 |
Operational Technology considerations | 運用技術 (OT) に関する考慮事項 |
Additional resources | 追加リソース |
Content and format consistency | コンテンツとフォーマットの一貫性 |
Additional resources | 追加リソース |
Timestamp consistency | タイムスタンプの一貫性 |
Event log retention | イベントログの保持 |
Centralised log collection and correlation | ログの収集と相関の一元化 |
Logging priorities for enterprise networks | エンタープライズ・ネットワークのログの優先順位 |
Logging priorities for operational technology | 運用技術 (OT) のログの優先順位 |
Logging priorities for enterprise mobility using mobile computing devices | モバイルコンピューティングデバイスを使用するエンタープライズモビリティのログの優先順位 |
Logging priorities for cloud computing | クラウドコンピューティングにおけるロギングの優先順位 |
Secure storage and event log integrity | 安全な保存とイベントログの完全性 |
Secure transport and storage of event logs | イベントログの安全な転送と保存 |
Protecting event logs from unauthorised access, modification and deletion | イベントログの不正アクセス、変更、削除からの防御 |
Centralised event logging enables threat detection | イベントログの一元化が脅威検知を可能にする |
Timely ingestion | 適時の取り込み |
Detection strategy for relevant threats | 関連する脅威の検知戦略 |
Detecting living off the land techniques | 現地調達技術の検知 |
Cloud considerations | クラウドに関する考慮事項 |
Operational technology considerations | 運用技術 (OT) に関する考慮事項 |
● U.S. CISA
ASD’s ACSC, CISA, FBI, and NSA, with the support of International Partners Release Best Practices for Event Logging and Threat Detection | ASDのACSC、CISA、FBI、NSA、国際的なパートナーの支援によりイベントログと脅威検知のベストプラクティスをリリース |
Today, the Australian Signals Directorate’s Australian Cyber Security Centre (ASD’s ACSC), CISA, FBI, NSA, and international partners are releasing Best Practices for Event Logging and Threat Detection. This guide will assist organizations in defining a baseline for event logging to mitigate malicious cyber threats. | 本日、オーストラリア信号総局のオーストラリア・サイバーセキュリティセンター(ASD's ACSC)、CISA、FBI、NSA、および国際的なパートナーは、イベントロギングと脅威検知のベストプラクティスをリリースする。このガイドは、悪意のあるサイバー脅威を軽減するために、イベントロギングのベースラインを定義する際に組織を支援するものである。 |
The increased prevalence of malicious actors employing living off the land (LOTL) techniques, such as living off the land binaries (LOLBins) and fileless malware, highlights the importance of implementing and maintaining an effective event logging program. | 現地調達バイナリ(LOLBins)やファイルレスマルウェアのような現地調達(LOTL)テクニックを採用する悪意ある事業者の増加傾向は、効果的なイベントロギングプログラムの実装と維持の重要性を浮き彫りにしている。 |
CISA encourages public and private sector senior information technology (IT) decision makers, operational technology (OT) operators, network administrators, network operators, and critical infrastructure organizations to review the best practices in the guide and implement recommended actions. These actions can help detect malicious activity, behavioral anomalies, and compromised networks, devices, or accounts. | CISAは、公共部門および民間部門の上級情報技術(IT)意思決定者、運用技術(OT)オペレータ、ネットワーク管理者、ネットワークオペレータ、および重要インフラストラクチャ組織に対し、本ガイドのベストプラクティスを検討し、推奨されるアクションを実施するよう奨励している。これらの行動は、悪意のある活動、行動の異常、侵害されたネットワーク、デバイス、またはアカウントの検知に役立つ。 |
For more information on LOTL techniques, see joint guidance Identifying and Mitigating Living Off the Land Techniques and CISA’s Secure by Design Alert Series. | LOTL テクニックの詳細については、共同ガイダンス「現地調達テクニックの識別と低減」および CISA の「Secure by Design Alert Series」を参照のこと。 |
For more information and guidance on event logging and threat detection, see CISA’s Secure Cloud Business Applications (SCuBA) products, network traffic analysis tool Malcom, and Logging Made Easy. | イベント・ロギングと脅威検知に関する詳細な情報とガイダンスについては、CISA の Secure Cloud Business Applications(SCuBA)製品、ネットワーク・トラフィック分析ツール Malcom、Logging Made Easy を参照のこと。 |
・[PDF]
日本...
● 内閣官房サイバーセキュリティセンター (NISC)
・2024.08.22 国際文書「Best practices for event logging and threat detection」に署名しました
・[PDF]
オーストラリア...
● Australian Cyber Security Centre; ASCS
プレス...
・2024.08.22 Best practices for event logging and threat detection
Best practices for event logging and threat detection | イベントロギングと脅威検知のベストプラクティス |
Today we have released new guidance on Best practices for event logging and threat detection. It outlines best practice for event logging and threat detection for cloud services, enterprise information technology (IT) networks, enterprise mobility and operational technology (OT) networks. | 本日、我々はイベントロギングと脅威検知のベストプラクティスに関する新しいガイダンスを発表した。このガイダンスは、クラウドサービス、エンタープライズ情報技術(IT)ネットワーク、エンタープライズモビリティ、運用技術(OT)ネットワークにおけるイベントロギングと脅威検知のベストプラクティスを概説している。 |
The advice assumes a basic understanding of event logging and is intended primarily for cyber security practitioners, IT managers, OT operators, network administrators and network operators within medium to large organisations. | このアドバイスは、イベントロギングの基本的な理解を前提としており、主に中規模から大規模の組織内のサイバーセキュリティ実務者、IT管理者、OTオペレータ、ネットワーク管理者、ネットワークオペレータを対象としている。 |
There are four key factors to consider when pursuing event logging and threat detection best practice: | イベントロギングと脅威検知のベストプラクティスを追求する際に考慮すべき4つの重要な要素がある: |
1. Develop an enterprise-approved logging policy. | 1. エンタープライズで承認されたロギングポリシーを策定する。 |
2. Centralise log collection and correlation. | 2. ログの収集と相関を一元化する。 |
3. Maintain log integrity, including through secure log storage. | 3. 安全なログ保管を含め、ログの完全性を維持する。 |
4. Develop a detection strategy for relevant threats. | 4. 関連する脅威の検知戦略を策定する。 |
This publication has been released in cooperation with the following international partners: | 本書は、以下の国際的なパートナーの協力を得て発行された: |
・United States (US) Cybersecurity and Infrastructure Security Agency (CISA), the Federal Bureau of Investigation (FBI) and the National Security Agency (NSA) | ・米国サイバーセキュリティ・インフラセキュリティ庁(CISA)、連邦捜査局(FBI)、国家安全保障局 (NSA)。 |
・United Kingdom (UK) National Cyber Security Centre (NCSC-UK) | ・英国(UK) ナショナル・サイバー・セキュリティ・センター(NCSC-UK) |
・Canadian Centre for Cyber Security (CCCS) | ・カナダ・サイバーセキュリティセンター(CCCS) |
・New Zealand National Cyber Security Centre (NCSC-NZ) and Computer Emergency Response Team (CERT NZ) | ・ニュージーランド国家サイバーセキュリティセンター(NCSC-NZ)及びコンピュータ緊急対応チーム(CERT NZ) |
・Japan National Center of Incident Readiness and Strategy for Cybersecurity (NISC) and Computer Emergency Response Team Coordination Center (JPCERT/CC) | ・日本内閣サイバーセキュリティセンター(NISC)及びコンピュータ緊急対 応チームコーディネーションセンター(JPCERT/CC) |
・The Republic of Korea National Intelligence Services (NIS) and NIS’s National Cyber Security Center (NCSC-Korea) | ・韓国国家情報院(NIS)及び NIS 国家サイバーセキュリティセンター(NCSC-Korea) |
・Singapore Cyber Security Agency (CSA) | ・シンガポール サイバーセキュリティ庁(CSA) |
・The Netherlands General Intelligence and Security Service (AIVD) and Military Intelligence and Security Service (MIVD). | ・オランダ国家情報安全保障局(AIVD)および軍情報安全保障局(MIVD)。 |
To learn more about these key factors, read the Best practices for event logging and threat detection publication. | これらの重要な要因の詳細については、イベント・ロギングと脅威検知のベスト・プラクティスを参照されたい。 |
ベストプラクティス...
・2024.08.22 Best Practices for Event Logging and Threat Detection
エグゼクティブサマリーと序文...
Best Practices for Event Logging and Threat Detection | イベントロギングと脅威検知のベストプラクティス |
Executive summary | エグゼクティブサマリー |
This publication defines a baseline for event logging best practices to mitigate cyber threats. It was developed by the Australian Signals Directorate’s Australian Cyber Security Centre (ASD’s ACSC) in cooperation with the following international partners: | 本書は、サイバー脅威を軽減するためのイベントロギングのベストプラクティスのベースラインを定義する。本書は、オーストラリア信号局(Australian Signals Directorate)のオーストラリア・サイバー・セキュリティ・センター(Australian Cyber Security Centre: ASD's ACSC)が、以下の国際的なパートナーと協力して作成した: |
・United States (US) Cybersecurity and Infrastructure Security Agency (CISA), the Federal Bureau of Investigation (FBI) and the National Security Agency (NSA) | ・米国サイバーセキュリティ・インフラセキュリティ庁(CISA)、連邦捜査局(FBI)、国家安全保障局 (NSA)。 |
・United Kingdom (UK) National Cyber Security Centre (NCSC-UK) | ・英国(UK) ナショナル・サイバー・セキュリティ・センター(NCSC-UK) |
・Canadian Centre for Cyber Security (CCCS) | ・カナダ・サイバーセキュリティセンター(CCCS) |
・New Zealand National Cyber Security Centre (NCSC-NZ) and Computer Emergency Response Team (CERT NZ) | ・ニュージーランド国家サイバーセキュリティセンター(NCSC-NZ)及びコンピュータ緊急対応チーム(CERT NZ) |
・Japan National Center of Incident Readiness and Strategy for Cybersecurity (NISC) and Computer Emergency Response Team Coordination Center (JPCERT/CC) | ・日本内閣サイバーセキュリティセンター(NISC)及びコンピュータ緊急対 応チームコーディネーションセンター(JPCERT/CC) |
・The Republic of Korea National Intelligence Services (NIS) and NIS’s National Cyber Security Center (NCSC-Korea) | ・韓国国家情報院(NIS)及び NIS 国家サイバーセキュリティセンター(NCSC-Korea) |
・Singapore Cyber Security Agency (CSA) | ・シンガポール サイバーセキュリティ庁(CSA) |
・The Netherlands General Intelligence and Security Service (AIVD) and Military Intelligence and Security Service (MIVD). | ・オランダ国家情報安全保障局(AIVD)および軍情報安全保障局(MIVD)。 |
Event logging supports the continued delivery of operations and improves the security and resilience of critical systems by enabling network visibility. This guidance makes recommendations that improve an organisation’s resilience in the current cyber threat environment, with regard for resourcing constraints. The guidance is of moderate technical complexity and assumes a basic understanding of event logging. | イベント・ロギングは、業務の継続的な提供を支援し、ネットワークの可視化を可能にすることで、 重要なシステムのセキュリティとレジリエンスを改善する。このガイダンスは、レジリエンスの制約を考慮しつつ、現在のサイバー脅威環境における組織のレジリエンスを改善するための勧告を行う。このガイダンスは、技術的に中程度の複雑さを持ち、イベントロギングの基本的な理解を前提としている。 |
An effective event logging solution aims to: | 効果的なイベントロギング・ソリューションの目的は以下のとおりである: |
・send alerts to the network defenders responsible for monitoring when cyber security events such as critical software configuration changes are made or new software solutions are deployed | ・重要なソフトウェア構成の変更や新しいソフトウェアソリューションの導入などのサイバーセキュリティイベントが発生したときに、監視を担当するネットワーク防御担当者にアラートを送信する。 |
・identify cyber security events that may indicate a cyber security incident, such as malicious actors employing living off the land (LOTL) techniques or lateral movement post-compromise | ・意のある行為者が現地調達(LOTL)技術を使用したり、侵害後に横方向に移動したりするなど、サイバーセキュリティインシデントを示す可能性のあるサイバーセキュリティイベントを識別する。 |
・support incident response by revealing the scope and extent of a compromise | ・侵害の範囲と程度を明らかにすることで、インシデント対応を支援する。 |
・monitor account compliance with organisational policies | ・組織のポリシーに対するアカウントのコンプライアンスを監視する。 |
・reduce alert noise, saving on costs associated with storage and query time | ・アラートノイズを低減し、ストレージやクエリにかかるコストを削減する。 |
・enable network defenders to make agile and informed decisions based on prioritisation of alerts and analytics | ・アラートと分析結果の優先順位付けに基づき、ネットワーク防御担当者が情報に基づいた迅速な意思決定を行えるようにする。 |
・ensure logs and the logging platforms are useable and performant for analysts. | ・ログとロギング・プラットフォームが、アナリストにとって使用可能で高性能であることを保証する。 |
There are four key factors to consider when pursuing logging best practices: | ロギングのベストプラクティスを追求する際に考慮すべき4つの重要な要素がある: |
1. enterprise-approved event logging policy | 1. エンタープライズが承認したイベントロギング方針 |
2. centralised event log access and correlation | 2. イベントログへのアクセスと相関の一元化 |
3. secure storage and event log integrity | 3. 安全な保存とイベントログの完全性 |
4. detection strategy for relevant threats. | 4. 関連する脅威の検知戦略 |
Introduction | 序文 |
The increased prevalence of malicious actors employing LOTL techniques, such as LOTL binaries (LOLBins) and fileless malware, highlights the importance of implementing and maintaining an effective event logging solution. As demonstrated in the joint-sealed publication Identifying and Mitigating Living Off the Land Techniques, Advanced Persistent Threats (APTs) are employing LOTL techniques to evade detection. The purpose of this publication is to detail best practice guidance for event logging and threat detection for cloud services, enterprise networks, enterprise mobility, and operational technology (OT) networks. The guidance in this publication focuses on general best practices for event logging and threat detection; however, LOTL techniques feature as they provide a great case study due to the high difficulty in detecting them. | LOTL バイナリ(LOLBin)やファイルレスマルウェアのような LOTL テクニックを採用する悪意ある事業者 の増加傾向は、効果的なイベントロギングソリューションを実装し、維持することの重要性を浮き 彫りにしている。共同発行の『現地調達手法の検知と低減』で示したように、高度な持続的脅威(APT)は検知を回避するために LOTL 手法を採用している。本書の目的は、クラウドサービス、エンタープライズネットワーク、エンタープライズモビリティ、オペレーショナルテクノロジー(OT)ネットワークのイベントロギングと脅威検知に関するベストプラクティスのガイダンスを詳述することである。本書のガイダンスは、イベントロギングと脅威検知のための一般的なベストプラクティスに重点を置いているが、LOTL 技術は検知の難易度が高いため、優れたケーススタディとなる。 |
Audience | 想定読者 |
This guidance is technical in nature and is intended for those within medium to large organisations. As such, it is primarily aimed at: | 本ガイダンスは、本質的に技術的であり、中規模から大規模の組織内の人々を対象としている。そのため、主に以下を対象としている: |
・senior information technology (IT) and OT decision makers | ・上級情報技術(IT)およびOTの意思決定者 |
・IT and OT operators | ・IT および OT オペレーター |
・network administrators | ・ネットワーク管理者 |
・critical infrastructure providers. | ・重要インフラプロバイダー |
ベストプラクティス本文...
↓
Recent Comments