相関分析(コリレーション分析)とは?
一般的なログ分析が、ひとつの端末やアプリケーションが記録したログを掘り下げてログを分析する分析手法であるのに対し、相関分析(コリレーション分析)とは、異なる複数の端末やアプリケーションなどが記録するログの相関(コリレーション)を分析し、ネットワーク上で発生している一連の問題の関連性を把握する分析手法です。
たとえば、あるシステムにおいて不審な操作を行った記録が社内のWebサービスのアプリケーションログに残されている場合、その操作を行ったユーザーがWebサービスにアクセスしたブラウザが存在する端末には、そのユーザーのログイン情報(ユーザー名・日時など)が記録されています。さらにその端末が外部からのログインであれば、外部からログインさせるためのシステム、例えばVPNのサーバーに、セッション確立に関する記録が残されています。このような情報を一連の流れとして把握して分析することを相関分析(コリレーション分析)と呼びます。
相関分析を実施するには通常、ネットワークシステム全体に対する深い理解と、どのようにして関連性をたどればよいかを判断するための豊富な経験が必要となります。
ログの相関分析による脅威検知を実現するツール
ManageEngingeが提供する統合ログ管理ソフト「EventLog Analyzer」はコリレーション機能を標準搭載するパッケージソフトウェアです。異なるデバイス、異なるログ種別から発生したログを相関的に分析して、ネットワーク間で発生している不審な挙動を検知します。 また、定義されているルールに一致した際には、アラートの生成やメール通知により、システム管理者へ即座に通知を行うことが可能です。
無料で使えます[機能制限なし]
相関分析(コリレーション)機能
例) 疑わしいソフトウェアのインストールに対するコリレーションルール
関連ドキュメント
コリレーション機能を活用したサイバー攻撃の検知
EventLog Analyzerにおけるコリレーション機能(相関分析)の仕組み、 そしてデフォルトで用意されている解析ルールとそのユースケースについてご紹介
>>ホワイトペーパーのダウンロード(PDF)
※動画:「再生ボタン」をクリックして再生できます
ネットワーク統合監視ツールのアラート通知ログを収集し相関分析も可能
EventLog Analyzerでは、ネットワーク監視ツール「OpManager」と連携することにより、OpManagerから送信されるアラート通知ログを解析/保管することが可能です。
連携の仕組み
OpManagerが監査対象からアラート情報を受信した際に、OpManagerから当該アラート情報をEventlog AnalyzerにSyslog転送します。その後、Eventlog Analyzerでコリレーション機能を用いて、解析およびレポート化を行ないます。
相関レポートを表示
EventLog Analyzer画面上ではコリレーション機能配下にて、OpManagerの監査対象にて発生したアラート情報をレポートベースで確認することが可能となります。
以下のように、「イベントの種類」、「メッセージ」等に基づいたアラートイベント概要を確認することも可能です。
詳しい連携方法は以下のナレッジベースをご参照ください ▼
OpManagerとの連携方法について