インシデント対応_②検知・分析編
インシデントを検知するには、IDS/IPS導入や、ログの取得が必要です。
ただ、導入しただけでは異常を検知できないので、事前設定として基準値や定常時の状態を把握する必要があります。そして、収集したログは取得するだけではなく、相関分析できたほうがより効率的にインシデントの検知分析ができます。相関分析は複数のログを取り扱うため各製品ログは時刻同期しておくべきです。ログの保管ポリシーを定め、適切にログ収集、保管する必要もあります。
インシデントを検知するには、IDS/IPS導入や、ログの取得が必要です。
ただ、導入しただけでは異常を検知できないので、事前設定として基準値や定常時の状態を把握する必要があります。そして、収集したログは取得するだけではなく、相関分析できたほうがより効率的にインシデントの検知分析ができます。相関分析は複数のログを取り扱うため各製品ログは時刻同期しておくべきです。ログの保管ポリシーを定め、適切にログ収集、保管する必要もあります。