概要

SIEM(Security Information and Event Management)

  • 他のセキュリティ製品やサーバ、ネットワーク機器、アプリケーション、データベースなどのデータソースから、ログやイベントに関するデータを一元的に収集する
  • 収集可能なデータソースの一般的な例としては以下がある
    • ファイアウォール
      • 侵入防止システム(IPS) ... トラフィックを監視し、不正侵入を検出するシステム
    • マルウェア対策製品
    • データ損失防止(DLP)製品 ... データを解析し、機密情報が流出することを防止する
    • セキュアWebゲートウェイ(SWG) ... URLフィルタリング、プロキシサーバなどの機能を備えた統合的なWebセキュリティ製品
  • 収集したデータをSIEM製品でリアルタイムに分析することにより、潜在的なセキュリティ問題の検出が可能
  • 複数のソースから得たデータを相互に関連付けて脅威を特定し、各SIEM製品に備わるインテリジェンス(情報源)を参照し、その深刻度を基準にイベントをランク付けする
  • セキュリティ管理者は、さまざまなイベントをふるいに掛けて、そこに潜む脅威の原因を見つけ出し、それを修正しなければならない。あるいは脅威があることを認識した上で、そのイベントに害がないことを明らかにし、分析エンジンを調整することが必要だ。
  • これにより、SIEM製品が「真の脅威」と「疑わしいだけのイベント」の違いを学習できるようになる。

SOAR(Security Orchestration, Automation and Response)

  • SOAR製品は、世間で新たに登場した脅威に関するインテリジェンス、エンドポイントセキュリティ製品などのソースからデータを収集する。これによって、LAN内外のセキュリティ情勢の全容をより的確に把握することが可能だ。
  • SOAR製品は、従うべき調査方針を警告に基づいて作成することで、分析のレベルを高める仕組みを持つ。

統合ログ管理との違い

製品・サービス

Sumo Logic

  • SaaS型
  • 海外の会社だが、相撲が好きな社長が設立したそうで、読み方は「すーも」でなく「すもー」らしい

Collector

Processing Rules

  • 特定の条件に合致するログだけを取り込む
  • セキュリティインサイトを高めるために必要なログを把握した上で、コストを抑えるため不要なログを絞っていくことはSIEM運用にとって重要な課題となってくる

ビルトインApp

事例:勤怠管理

事例:Windowsイベントログ

Splunk

Azure Sentinel

LogPoint

  • サーバインストール型

Datadog

LogRythm

AWS S3 Bucket

IBM QRadar

Azure Log Analytics

Syslog Push

オープンソース


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2022-08-19 (金) 14:49:19 (41d)