スレットハンティング（すれっとはんてぃんぐ）

スレットハンティングとは

スレットハンティングは、セキュリティオペレーションセンター（SOC）やセキュリティ専門家が、ネットワークやシステム内に潜む潜在的な脅威を積極的に探し出すプロセスです。従来のセキュリティ対策（アンチウイルス、IDS/IPSなど）は、既知の脅威シグネチャに基づいて動作するため、未知の脅威や、巧妙に隠蔽された攻撃を検知することが困難です。スレットハンティングは、このような限界を克服するために、脅威インテリジェンス、ログ分析、ヒューリスティック分析などの手法を組み合わせ、未知の脅威を特定することを目的とします。

スレットハンティングの手法

スレットハンティングには、様々な手法が存在します。代表的なものとしては、以下のものが挙げられます。

• 脅威インテリジェンスの活用: 公開されている脅威情報や、自組織で収集した脅威情報を分析し、攻撃者の戦術、技術、手順（TTP）を把握します。
• ログ分析: ネットワークデバイス、サーバー、エンドポイントなどのログを分析し、異常なアクティビティや不審なパターンを検出します。
• ヒューリスティック分析: 既知の脅威シグネチャに依存せず、システムの挙動やファイルの特徴などを分析し、潜在的な脅威を特定します。
• 行動分析: ユーザーやアプリケーションの行動パターンを分析し、異常な行動を検出します。

スレットハンティングのプロセス

スレットハンティングは、一般的に以下のプロセスで実施されます。

1. 仮説の構築: 脅威インテリジェンスやログ分析の結果に基づいて、潜在的な脅威に関する仮説を構築します。
2. データの収集: 仮説を検証するために必要なデータを収集します。
3. データの分析: 収集したデータを分析し、仮説が正しいかどうかを検証します。
4. 対応: 脅威が確認された場合は、適切な対応（封じ込め、駆除、復旧など）を実施します。
5. 改善: スレットハンティングの結果を分析し、セキュリティ対策を改善します。

スレットハンティングと脅威インテリジェンス

スレットハンティングと脅威インテリジェンスは、密接に関連しています。脅威インテリジェンスは、スレットハンティングの出発点となり、仮説の構築に役立ちます。また、スレットハンティングの結果は、脅威インテリジェンスを強化し、より効果的な脅威対策を可能にします。