SIEM

概要 †

↑

SIEM（Security Information and Event Management） †

他のセキュリティ製品やサーバ、ネットワーク機器、アプリケーション、データベースなどのデータソースから、ログやイベントに関するデータを一元的に収集する
収集可能なデータソースの一般的な例としては以下がある
- ファイアウォール
  - 侵入防止システム（IPS） ... トラフィックを監視し、不正侵入を検出するシステム
- マルウェア対策製品
- データ損失防止（DLP）製品 ... データを解析し、機密情報が流出することを防止する
- セキュアWebゲートウェイ（SWG) ... URLフィルタリング、プロキシサーバなどの機能を備えた統合的なWebセキュリティ製品
収集したデータをSIEM製品でリアルタイムに分析することにより、潜在的なセキュリティ問題の検出が可能
複数のソースから得たデータを相互に関連付けて脅威を特定し、各SIEM製品に備わるインテリジェンス（情報源）を参照し、その深刻度を基準にイベントをランク付けする
セキュリティ管理者は、さまざまなイベントをふるいに掛けて、そこに潜む脅威の原因を見つけ出し、それを修正しなければならない。あるいは脅威があることを認識した上で、そのイベントに害がないことを明らかにし、分析エンジンを調整することが必要だ。
これにより、SIEM製品が「真の脅威」と「疑わしいだけのイベント」の違いを学習できるようになる。

↑

SOAR(Security Orchestration, Automation and Response) †

SOAR製品は、世間で新たに登場した脅威に関するインテリジェンス、エンドポイントセキュリティ製品などのソースからデータを収集する。これによって、LAN内外のセキュリティ情勢の全容をより的確に把握することが可能だ。
SOAR製品は、従うべき調査方針を警告に基づいて作成することで、分析のレベルを高める仕組みを持つ。

↑