相関分析(コリレーション分析)とは?
相関分析(コリレーション分析)とは、ネットワーク上で記録された複数のログやイベントを参照し、関連性を明らかにする分析手法です。
一般的なログ分析は、1つの端末やアプリケーションが出力するログを対象に、収集・可視化を行います。対して相関分析は、複数の端末やサービスから出力されるログを組み合わせることで、単体のログでは見えにくいサイバー攻撃やシステム障害を明らかにします。
例えば、あるユーザーが機密データにアクセスした際、アプリケーションのログのみではこの操作が不審かどうかを判断できないケースがあります。しかし、VPNや端末のログも合わせて確認すれば「アクセス経路がいつもと異なる」「端末でファイルコピーを行っている」などの不審な点が明らかになるかもしれません。このように、全体像や流れを把握して、リスクや問題を検知できる手法が、相関分析です。
しかし、相関分析を手動で行うには、関連性を特定するためのネットワークに関する理解や、複数のシステムからログを抽出・突合するための技術が必要です。
ログの相関分析による脅威検知を実現するツール
ManageEngingeが提供する統合ログ管理ソフト「EventLog Analyzer」はコリレーション機能を標準搭載するパッケージソフトウェアです。異なるデバイス、異なるログ種別から発生したログを相関的に分析して、ネットワーク間で発生している不審な挙動を検知します。 また、定義されているルールに一致した際には、アラートの生成やメール通知により、システム管理者へ即座に通知を行うことが可能です。
相関分析(コリレーション)機能
例) 疑わしいソフトウェアのインストールに対するコリレーションルール
関連ドキュメント
コリレーション機能を活用したサイバー攻撃の検知
EventLog Analyzerにおけるコリレーション機能(相関分析)の仕組み、 そしてデフォルトで用意されている解析ルールとそのユースケースについてご紹介
>>ホワイトペーパーのダウンロード(PDF)
※動画:「再生ボタン」をクリックして再生できます
ネットワーク統合監視ツールのアラート通知ログを収集し相関分析も可能
EventLog Analyzerでは、ネットワーク監視ツール「OpManager」と連携することにより、OpManagerから送信されるアラート通知ログを解析/保管することが可能です。
連携の仕組み
OpManagerが監査対象からアラート情報を受信した際に、OpManagerから当該アラート情報をEventlog AnalyzerにSyslog転送します。その後、Eventlog Analyzerでコリレーション機能を用いて、解析およびレポート化を行ないます。
相関レポートを表示
EventLog Analyzer画面上ではコリレーション機能配下にて、OpManagerの監査対象にて発生したアラート情報をレポートベースで確認することが可能となります。
以下のように、「イベントの種類」、「メッセージ」等に基づいたアラートイベント概要を確認することも可能です。
詳しい連携方法は以下のナレッジベースをご参照ください ▼
OpManagerとの連携方法について