はじめに SOC アナリストにとって,監視対象のログをどこまで保全できるかというのは,インシデント調査を行う上で重要な要素になります.特にトラフィックのフルキャプチャデータは,検出されたサイバー攻撃の詳細調査やサイバー攻撃の影響範囲を特定する上で重要なデータです.NICT の解析チームでは,フルパケットキャプチャおよびパケット分析ツールの一つとしてオープンソースの Arkime を利用しています.セキュリティオペレーションにおいて Arkime は非常に強力なツールですが,日本語で紹介している情報があまり多くないため,今回は NICT のライブネット観測システムにおける運用方法や実際に Arkime を活用した事例をご紹介します. Arkime とは Arkime はオープンソースのパケットキャプチャ&パケット検索ツールです.以前は Moloch という名称でした.シンプルな Web イン