Pleasanter の SysLogs を用いてランサムウェア等の異常兆候を「人が早期判断できる形」で可視化すること
・なぜ「ユーザー判断型」なのか
- ランサムウェア挙動は 通常操作と完全には切り分けられない
- 自動アラートは誤検知・過検知のリスクが高い
- 現場管理者が
- 時間帯
- 操作種別
- ユーザー
- 端末 を文脈で判断できることが最も実用的
① 時間軸の異常
- 深夜・夜間・休日 × 更新/削除/一括処理
- 特に以下は強い警戒対象
- 深夜 × 削除
- 深夜 × 一括更新
- 休日 × API実行
② 操作内容の異常
- カテゴリ別
- フォルダ配下:危険操作
- 削除
- 一括処理
- 通常業務では発生頻度が低い操作が急増していないか
③ ユーザー視点の異常
- 特定ユーザーに操作が集中
- 失敗ログイン数の増加
- 通常担当外テーブルへのアクセス
④ 端末(UserHostName)視点の異常
- 同一ユーザー × 複数端末
- 夜間に初出の端末名
👉 なりすまし・侵害端末の兆候を人が見て気づける形にする
⑤ 性能・挙動の異常
- 最大処理時間の急増
- API経由での高負荷処理