セキュリティニュース: イベントログGINGと脅威検出の重要性

悪意的な動作の検出を回避する「Living Off the Land（LOTL）」テクニック

最近、システムでの悪意的な動作の検出においてイベントログGINGと脅威検出の重要性が強調されています。レポートでは、サイバー攻撃者が検出を回避するために使用される「Living Off the Land（LOTL）」テクニックに焦点を当てています。

LOTLテクニックは、既存のシステムツールとリソースを使用して悪意的な活動を行い、セキュリティーシステムがこれらの活動を検出することを困難にします。例えば、中国系ハッキンググループ「Volt Typhoon」は、アクティブディレクトリーのデータベースファイルを抽出し、ローカルセキュリティーオーサブシステムサービス（LSASS）プロセスメモリスペースからハッシュされた資格情報にアクセスするなどの戦術を使用しています。

イベントログGINGと脅威検出の重要性

レポートでは、企業承認のイベントログGINGポリシーが必要であることを強調しています。組織とサービスプロバイダー間での共有責任を考慮したイベントログGINGポリシーは、悪意的な攻撃者が検出を回避するためのLOTLテクニックに対抗するために重要です。

また、セキュアードデータレイクのような中央イベントログGING施設を実装し、ログを集約して分析ツールに転送することも提案しています。さらに、組織ではネットワーク、デバイス、アカウントでの異常な動作を自動的に検出するためのユーザーとエンティティーのビヘイビオリックアナリティクスツールが必要かもしれません。