「SIEM」の版間の差分

提供: セキュリティ
移動: 案内検索
(ページの作成:「<!-- vim: filetype=mediawiki --> McAfeeSIEM (Security Information and Event Management)とは、サーバー、ネットワーク機器のログを集約...」)
 
 
(同じ利用者による、間の1版が非表示)
行1: 行1:
<!--
+
[[SIEM]] (Security Information and Event Management)とは、サーバー、ネットワーク機器のログを集約し、異常があった場合に管理者に通知したり、対処方法を知らせる仕組みです。[[SIEM]]は、分析と可視化をしてくれます。
vim: filetype=mediawiki
+
-->
+
[[McAfee]] の [[SIEM]] (Security Information and Event Management)とは、サーバー、ネットワーク機器のログを集約し、異常があった場合に管理者に通知したり、対処方法を知らせる仕組みです。
+
  
 
'''読み方'''
 
'''読み方'''
行11: 行8:
  
 
== 概要 ==
 
== 概要 ==
 
 
[[SIEM]] は、以下の目的を果たします。
 
[[SIEM]] は、以下の目的を果たします。
 
 
* SIM (Security Information Management)
 
* SIM (Security Information Management)
 
** いろいろな情報ソースから発生するイベントログを一元管理し、セキュリティポリシー監視とコンプライアンスを支援を行う。
 
** いろいろな情報ソースから発生するイベントログを一元管理し、セキュリティポリシー監視とコンプライアンスを支援を行う。
行19: 行14:
 
** セキュリティ脅威に対して、リアルタイムに検知を行い、セキュリティインシデントへの対応を行う
 
** セキュリティ脅威に対して、リアルタイムに検知を行い、セキュリティインシデントへの対応を行う
  
== 使い方 ==
+
多くの企業が
 +
* [[ファイアーウォール]]
 +
* IPS/IDS
 +
* [[サンドボックス]]型の[[標的型攻撃]]対策
 +
などの製品を導入しています。このようなセキュリティ製品が多いほど、多数のアラートから緊急度の高いイベントを見つけ出して、対応するのは難しいことです。
  
== 関連項目 ==
+
それを解決するのが [[SIEM]] です。
  
 +
* Windows イベントログ
 +
* データベースのログ
 +
* アプリケーションログ
 +
* [[syslog]]
 +
などのログの管理と分析を行います。
 +
 +
独立しているログのイベントの相関分析を行い、リスク分析と予兆検知ができます。
 +
== なぜSIEMが必要なのか ==
 +
=== ログはいろいろ ===
 +
企業や組織には、いろいろな機器があります。
 +
* ネットワーク機器
 +
* サーバ
 +
 +
ネットワーク機器には、例えば
 +
* ルーター
 +
* スイッチ
 +
* [[ファイアーウォール]]
 +
* ロードバランサー
 +
などがあります。
 +
 +
サーバには、例えば、
 +
* [[Windows]] Server
 +
* [[Linux]]
 +
などがあります。
 +
 +
それぞれ機器のOSやアプリケーションが独自の[[ログ]]を吐き出します。
 +
 +
あらゆる機器を監視するには、それぞれの機器が出してくるログを読み込めなければなりません。1つ1つのログに対応したプログラムを作るのには、骨が折れます。
 +
=== 相関分析 ===
 +
1つのログを見て、それが問題かどうかを判断するのは、場合によっては難しいでしょう。
 +
単体の機器のログだけでは、気づけない異常を、複数の機器の[[ログ]]を関連付けて分析することにより、異常を割り出せる場合もあります。
 +
== 製品 ==
 +
[[SIEM]]は、いろいろなセキュリティベンダーが製品として販売しています。
 +
* McAfee SIEM
 +
== McAfee SIEM ==
 +
=== フィルター ===
 +
簡単にイベントのフィルターができます。
 +
* 時間
 +
* ソースIPアドレス
 +
* 宛先IPアドレス
 +
など、いろいろな項目でフィルターできます。
 +
=== 正規化 ===
 +
[[SIEM]]は、異なるフォーマットのログを正規化して、取り込みます。
 +
 +
正規化すると例えば、カテゴリごとに分類されていきます。
 +
* 認証に属するグループ
 +
** ログイン
 +
** ログアウト
 +
* [[エクスプロイト]]
 +
** [[バッファオーバーフロー]]
 +
 +
位置情報から地図に情報をマップできます。
 +
=== 脅威 ===
 +
[[SOC]]が利用するインタフェースが用意されています。
 +
重要度の高いイベントが表示されます。
 +
== 関連項目 ==
 
* [[ログ]]
 
* [[ログ]]
 +
<!--
 +
vim: filetype=mediawiki
 +
-->

2015年6月10日 (水) 23:09時点における最新版

SIEM (Security Information and Event Management)とは、サーバー、ネットワーク機器のログを集約し、異常があった場合に管理者に通知したり、対処方法を知らせる仕組みです。SIEMは、分析と可視化をしてくれます。

読み方

SIEM
しーむ
Security Information and Event Management
せきゅりてぃ いんふぉめーしょん あんど いべんと まねーじめんと

概要

SIEM は、以下の目的を果たします。

  • SIM (Security Information Management)
    • いろいろな情報ソースから発生するイベントログを一元管理し、セキュリティポリシー監視とコンプライアンスを支援を行う。
  • SEM (Security Event Management)
    • セキュリティ脅威に対して、リアルタイムに検知を行い、セキュリティインシデントへの対応を行う

多くの企業が

などの製品を導入しています。このようなセキュリティ製品が多いほど、多数のアラートから緊急度の高いイベントを見つけ出して、対応するのは難しいことです。

それを解決するのが SIEM です。

  • Windows イベントログ
  • データベースのログ
  • アプリケーションログ
  • syslog

などのログの管理と分析を行います。

独立しているログのイベントの相関分析を行い、リスク分析と予兆検知ができます。

なぜSIEMが必要なのか

ログはいろいろ

企業や組織には、いろいろな機器があります。

  • ネットワーク機器
  • サーバ

ネットワーク機器には、例えば

などがあります。

サーバには、例えば、

などがあります。

それぞれ機器のOSやアプリケーションが独自のログを吐き出します。

あらゆる機器を監視するには、それぞれの機器が出してくるログを読み込めなければなりません。1つ1つのログに対応したプログラムを作るのには、骨が折れます。

相関分析

1つのログを見て、それが問題かどうかを判断するのは、場合によっては難しいでしょう。 単体の機器のログだけでは、気づけない異常を、複数の機器のログを関連付けて分析することにより、異常を割り出せる場合もあります。

製品

SIEMは、いろいろなセキュリティベンダーが製品として販売しています。

  • McAfee SIEM

McAfee SIEM

フィルター

簡単にイベントのフィルターができます。

  • 時間
  • ソースIPアドレス
  • 宛先IPアドレス

など、いろいろな項目でフィルターできます。

正規化

SIEMは、異なるフォーマットのログを正規化して、取り込みます。

正規化すると例えば、カテゴリごとに分類されていきます。

位置情報から地図に情報をマップできます。

脅威

SOCが利用するインタフェースが用意されています。 重要度の高いイベントが表示されます。

関連項目