インシデント検知
インシデント検知とは、ひとことで言えば、セキュリティ事象を早期に発見するプロセスです。NIST SP 800-61のインシデント対応ライフサイクルでは「Detection & Analysis」フェーズに位置づけられ、SIEMのアラート、IDS/IPS、ユーザー通報、脅威ハンティングなど多様な情報源から異常を識別します。検知が遅れるほど被害は拡大するため、平均検知時間(MTTD)の短縮が運用品質の重要指標となります。
インシデント検知とは、ひとことで言えば、セキュリティ事象を早期に発見するプロセスです。NIST SP 800-61のインシデント対応ライフサイクルでは「Detection & Analysis」フェーズに位置づけられ、SIEMのアラート、IDS/IPS、ユーザー通報、脅威ハンティングなど多様な情報源から異常を識別します。検知が遅れるほど被害は拡大するため、平均検知時間(MTTD)の短縮が運用品質の重要指標となります。