Execution Context
この設計段階では、企業ネットワークの境界における侵入検知システム(IDS)の基盤となるアーキテクチャを確立します。重点は、検知ルール、センサーの配置、およびアラート転送メカニズムを定義し、ネットワーク内での不正な横移動やブルートフォース攻撃に対する包括的な可視性を確保することです。このプロセスは、IDS/IPSの設定機能に直接関連付けることで、その後のコーディング作業が、一般的なセキュリティ概念ではなく、特定の脅威ベクトルに合致するようにします。
重要なインフラ資産を標的とする既知の脆弱性攻撃パターンに対して、検出シグネチャを特定的に定義します。
マップセンサーの設置場所を、最適なカバレッジを確保しつつ、誤検知を避けるために、重要度の高いネットワークセグメントに最適化して配置します。
複数の情報源からのイベントを関連付け、活用可能なインテリジェンスとして統合するためのアラート集約ロジックを確立します。
Operating Checklist
過去のネットワークログを分析し、特定の検出シグネチャを必要とする、繰り返される攻撃パターンを特定する。
ポートスキャン、不正アクセス試行、およびデータ漏洩の兆候に焦点を当てた、初期のルールセットの草案を作成します。
スループット要件とプロトコルサポート機能に基づいて、適切なセンサーハードウェアまたはソフトウェアエージェントを選択してください。
セキュリティオペレーションセンターチーム向けに、アラートの重要度閾値と通知チャネルを定義します。
Integration Surfaces
脅威インテリジェンスフィード
最新のマルウェアシグネチャおよび脆弱性データベースのリアルタイム更新情報を統合し、ルールのメンテナンスを行います。
ネットワークトラフィックアナライザー
戦略的な侵入・退出ポイントにパケットキャプチャエージェントを配置し、プロトコルの異常を監視します。
SIEM連携レイヤー
セキュリティ情報およびイベント管理システム内で、統合されたログ収集のために相関ルールを設定します。
