【要約】【QRadar × Kali Linux】サイバー攻撃の検知方法 [Qiita_Trend] | Summary by TechDistill
> Source: Qiita_Trend
Execute Primary Source
// Problem
セキュリティ運用担当者が、攻撃者の具体的な挙動とSIEMに記録されるログの相関関係を、実体験として理解できていないという課題がある。具体的には以下の点が問題となる。
- ・攻撃フェーズごとのログの差異が不明確である。
- ・ツールによる大量のリクエストが、どのように検知対象となるかイメージしにくい。
- ・デフォルトの検知ルールでは、特定の攻撃(Webスキャン等)がオフェンスとして上がらないリスクがある。
// Approach
攻撃者と防御者の両方の視点を持つため、Kali LinuxとQRadarを用いた検証環境を構築し、攻撃の各段階をシミュレートした。以下のステップで検証を行っている。
- ・Proxmox上に、Apache/PHP/UFWを搭載したターゲットVMを構築。
- ・rsyslogを用いて、ターゲットのシステムログやWebログをQRadarへ転送。
- ・nmapによるポートスキャン、HydraによるSSH総当たり、NiktoによるWeb脆弱性調査を実行。
- ・最終的に、RCE(リモートコード実行)による情報奪取までをシミュレートし、QRadarでの検知を確認。
// Result
攻撃の各フェーズにおけるログの挙動と、QRadarでの検知可否を明確に示した。得られた成果は以下の通りである。
- ・nmap: UFWの拒否ログ(UFW BLOCK)として検知可能。
- ・Hydra: 認証失敗ログ(failed password)の急増として検知、およびオフェンスとして検知可能。
- ・Nikto: Apacheのアクセスログとして記録されるが、オフェンス化にはチューニングが必要。
- ・RCE: ペイロード(/etc/passwd等)を含むログとして検知可能。
Senior Engineer Insight
> 攻撃のライフサイクルに沿った検証は、SOCの検知精度向上に直結する。特にNiktoのスキャンがデフォルトでオフェンスにならない点は、実運用における「検知の隙」であり、相関分析ルールの設計において重要な示唆を与える。単なるログ収集ではなく、攻撃の文脈を捉えるチューニングの重要性を再認識させる内容である。現場では、こうした攻撃シナリオに基づいた定期的な検知テストが不可欠だ。