![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
#author("2022-08-19T05:41:16+00:00","default:admin","admin") #author("2022-08-19T05:49:19+00:00","default:admin","admin") *概要 [#bd66d674] -[[「SOAR」と「SIEM」の違いとは? セキュリティ業務を効率化する2大手段:https://techtarget.itmedia.co.jp/tt/news/1911/15/news04.html]] -[[SIEMかSOARか【前編】 SIEMとSOAR――何がどう違うのか、何ができるのか:https://techtarget.itmedia.co.jp/tt/news/2110/19/news04.html]] -[[SIEMかSOARか【後編】 導入すべきはSIEMかSOARか――企業の性質によって異なる判断基準:https://techtarget.itmedia.co.jp/tt/news/2110/26/news01.html]] **SIEM(Security Information and Event Management) [#vc4b47d2] -他のセキュリティ製品やサーバ、ネットワーク機器、アプリケーション、データベースなどのデータソースから、ログやイベントに関するデータを一元的に収集する -収集可能なデータソースの一般的な例としては以下がある --ファイアウォール ---侵入防止システム(IPS) ... トラフィックを監視し、不正侵入を検出するシステム --マルウェア対策製品 --データ損失防止(DLP)製品 ... データを解析し、機密情報が流出することを防止する --セキュアWebゲートウェイ(SWG) ... URLフィルタリング、プロキシサーバなどの機能を備えた統合的なWebセキュリティ製品 -収集したデータをSIEM製品でリアルタイムに分析することにより、潜在的なセキュリティ問題の検出が可能 -複数のソースから得たデータを相互に関連付けて脅威を特定し、各SIEM製品に備わるインテリジェンス(情報源)を参照し、その深刻度を基準にイベントをランク付けする -セキュリティ管理者は、さまざまなイベントをふるいに掛けて、そこに潜む脅威の原因を見つけ出し、それを修正しなければならない。あるいは脅威があることを認識した上で、そのイベントに害がないことを明らかにし、分析エンジンを調整することが必要だ。 -これにより、SIEM製品が「真の脅威」と「疑わしいだけのイベント」の違いを学習できるようになる。 **SOAR(Security Orchestration, Automation and Response) [#ya3ade29] -SOAR製品は、世間で新たに登場した脅威に関するインテリジェンス、エンドポイントセキュリティ製品などのソースからデータを収集する。これによって、LAN内外のセキュリティ情勢の全容をより的確に把握することが可能だ。 -SOAR製品は、従うべき調査方針を警告に基づいて作成することで、分析のレベルを高める仕組みを持つ。 **統合ログ管理との違い [#v4f7af86] -[[統合ログ管理とは? SIEMとの違いや機能、製品の選び方について解説:https://www.amiya.co.jp/column/Integrated_log_management_20200928.html]] *製品・サービス [#x2e8f240] **[[Sumo Logic:https://www.sumologic.jp/]] [#p8b97eed] -[[価格:https://www.sumologic.jp/pricing/jp/]] -[[はじめに:https://help.sumologic.jp/01Start-Here]] -[[Sumo Logic vs. Splunk:https://www.sumologic.jp/compare/sumo-logic-vs-splunk/]] -[[Installed Collector の要件:https://help.sumologic.jp/01Start-Here/03About-Sumo-Logic/System-Requirements/Installed-Collector-Requirements]] -[[Sumo Logicの記事一覧 - クラスメソッド:https://dev.classmethod.jp/tags/sumo-logic/]] --[[クラウドネイティブのログ管理分析SaaS「Sumo Logic」:https://classmethod.jp/partner/sumologic/]] --[[Sumo LogicのNew Dashboardでフィルターを作ってみる:https://dev.classmethod.jp/articles/sumo-logic-filter_in_newdashboard/]] --[[[小ネタ] Sumo Logic のデータ収集について 1 枚絵にまとめた #sumologic:https://dev.classmethod.jp/articles/202003-sumologic-data-collection-overview/]] --[[SumoLogicへログを送るパターンをまとめてみた:https://dev.classmethod.jp/articles/to-sumologic-pattern/]] --[[Sumo LogicにVPCフローログのアウトバウンド通信ログだけを取り込んでみた:https://dev.classmethod.jp/articles/sumo-logic_vpc-flow_processing-rules/]] --[[SIEMクエリ変換ツール「Sigma」を使ってみた:https://dev.classmethod.jp/articles/sigma-siem-transition-tool/]] -[[【動画】AWSマルチ環境一元管理〜ログ分析から始める効率化:https://www.youtube.com/watch?v=Sk6Kv0vOU0k]] -[[Sumo Logic、「オブザーバビリティスイート」最新版を発表:https://www.atpress.ne.jp/news/251395]] -[[Slack アプリケーションのログの収集:https://help.sumologic.jp/07Sumo-Logic-Apps/18SAAS_and_Cloud_Apps/Slack/Collect_logs_for_the_Slack_App]] -SaaS型 -海外の会社だが、相撲が好きな社長が設立したそうで、読み方は「すーも」でなく「すもー」らしい ***Collector [#v81d4faf] -[[sumologic-collector-chef-cookbook:https://github.com/SumoLogic/sumologic-collector-chef-cookbook]] -[[Tutorial: Collecting Linux Logs:https://www.youtube.com/watch?v=Au5R_cOKaIU&t=275s]] ***[[Processing Rules:https://help.sumologic.com/Manage/Collection/Processing-Rules]] [#s895b8ed] -[[Sumo LogicにVPCフローログのアウトバウンド通信ログだけを取り込んでみた:https://dev.classmethod.jp/articles/sumo-logic_vpc-flow_processing-rules/]] -特定の条件に合致するログだけを取り込む -セキュリティインサイトを高めるために必要なログを把握した上で、コストを抑えるため不要なログを絞っていくことはSIEM運用にとって重要な課題となってくる ***ビルトインApp [#h672f31a] -[[Sumo Logic セキュリティApp紹介 vol.1:https://dev.classmethod.jp/articles/sumo-logic_security-app-vol-1/]] -[[Sumo Logic セキュリティApp紹介 vol.2:https://dev.classmethod.jp/articles/sumo-logic_security-app-vol-2/]] ***事例:勤怠管理 [#c613d0a3] -[[UEBA行動監視:https://www.pentio.com/sumologic/solutions/ueba/]] -[[Sumo Logic's log visualization and trend analysis helps NTT Data detect signs of accidents and improves security.:https://www.sumologic.com/case-study/ntt-data/]] ***事例:Windowsイベントログ [#haed2dd3] -[[ADサーバのイベントログをSumo Logicで分析してみた:https://tech.bitbank.cc/20201210/]] **[[Splunk:https://www.splunk.com/ja_jp]] [#vda8eb92] -[[SIEMとは? SIEMの意味・メリットをわかりやすく解説:https://www.splunk.com/ja_jp/data-insider/what-is-siem.html]] **Azure Sentinel [#meb345bd] -[[Azure Sentinel の価格:https://azure.microsoft.com/ja-jp/pricing/details/microsoft-sentinel/]] -[[Azure Sentinelとは?企業のセキュリティを総合的に高めるインテリジェントな方法を解説:https://www.rworks.jp/cloud/azure/azure-column/azure-entry/25356/]] **[[LogPoint:https://www.logpoint.com/en/]] [#jd98c344] -[[LogPoint vs. Splunk:https://www.logpoint.com/en/logpoint-vs-splunk/]] -[[LogPoint- ジュピターテクノロジー:https://www.jtc-i.co.jp/product/logpoint/index.html]] ... 日本初認定パートナー -[[ジュピターテクノロジー、次世代SIEMソリューション「LogPoint」最新版を販売:https://cloud.watch.impress.co.jp/docs/news/1417626.html]] -[[ジュピターテクノロジー、業界最高レベルの安全性(EAL3+)認定の 次世代SIEM製品を販売開始 ~オールインワンアプライアンス・ モジュールパッケージ・フラットなライセンスモデルで SIEMソリューションの導入・運用負荷を大幅に削減~:https://www.atpress.ne.jp/news/277831]] -サーバインストール型 **[[Datadog:https://www.datadoghq.com/ja/dg/logs/log-management/?utm_source=advertisement&utm_medium=review-site&utm_campaign=dg-gartnerdigitalmarkets-logs-ww-logmanagement&utm_content=capterra]] [#h6a6122b] **[[LogRythm:https://logrhythm.com/]] [#h0a5cb2b] **AWS S3 Bucket [#e3d76405] **IBM QRadar [#q2f6d399] **Azure Log Analytics [#q1936754] **Syslog Push [#ufcfb42a] *オープンソース [#k8fb2477] -[[7つのオープンソースSIEM:機能と制約:https://mnb.macnica.co.jp/2020/09/7siem.html]]
