CEF（Common Event Format）：ログ標準化の戦略的選択 かつてSIEM市場を牽引したArcSightが提唱した**CEF（Common Event Format）**は、ベンダー間のログフォーマットの不整合という大きな課題に対する有力な解となりました。標準RFCで定義されるSyslogフォーマットだけでは、複雑なセキュリティイベントのコンテキストを完全に構造化することは困難だからです。 一般的なWebサーバーログはフォ …...

専任のセキュリティ部署があろうとなかろうと、最新のIT環境でログ収集の必要性を議論すること自体、もはや生産的ではありません。ログ収集はすでにセキュリティシステム構築のデファクトスタンダードとなり、インフラの基本的な柱になっています。 しかし、現場で多くのSecOpsアナリストと協業してきた中で、共通するギャップに気づきました。それは、ログが実際に我々の手元に届く仕組み、すなわちLog Ingestionの深い理解が意外にも不足しているこ …...

Azure Sentinel に Palo Alto Prisma Cloud（以下 Prisma）ログを統合するプロセスは、技術的に大きく変化してきました。本記事では、Prismaの構造的理解と、最近導入された**Codeless Connector Framework（CCF）**を活用した実務的なログ統合の経験を共有します。 1. Prisma Cloud モジュールの理解（CSPM vs CWPP） ログ連携を始める前に …...

システム監視の世界では、主に2つの柱があります。システムログの分析と、**SNMP（Simple Network Management Protocol）**を利用したシステム状態と構成の確認です。 セキュリティ運用の初期には、リソース使用率の監視が重要な焦点でした。特定のコマンド実行後のCPU使用率の急上昇や、ルーターやファイアウォールの送信トラフィックの予期しない急増は、侵害の兆候として重要です。これらの指標を複数のデバイスで相関さ …...

[イントロ] ギャップを埋める：なぜ基本と実体験を記録するのか 私のキャリアにおいて、最も重視してきたのは常に実行の正確さとスピードです。計画、実装、厳密な検証に多くを投資し、タイムラインに余裕があるときは必ずドキュメント化してきました。すべてのプロジェクトが包括的なドキュメントで裏付けられているため、追加の説明は不要だと考えていた時期もありました。成果物がすべてを語ると。 しかし、複数の組織を渡り歩き、変化するテクノロジーの潮流を追う …...