「SIEM」の版間の差分

提供: セキュリティ
移動: 案内検索
 
行1: 行1:
[[SIEM]] (Security Information and Event Management)とは、サーバー、ネットワーク機器のログを集約し、異常があった場合に管理者に通知したり、対処方法を知らせる仕組みです。
+
[[SIEM]] (Security Information and Event Management)とは、サーバー、ネットワーク機器のログを集約し、異常があった場合に管理者に通知したり、対処方法を知らせる仕組みです。[[SIEM]]は、分析と可視化をしてくれます。
  
 
'''読み方'''
 
'''読み方'''
行19: 行19:
 
* [[サンドボックス]]型の[[標的型攻撃]]対策
 
* [[サンドボックス]]型の[[標的型攻撃]]対策
 
などの製品を導入しています。このようなセキュリティ製品が多いほど、多数のアラートから緊急度の高いイベントを見つけ出して、対応するのは難しいことです。
 
などの製品を導入しています。このようなセキュリティ製品が多いほど、多数のアラートから緊急度の高いイベントを見つけ出して、対応するのは難しいことです。
== 使い方 ==
 
  
 +
それを解決するのが [[SIEM]] です。
 +
 +
* Windows イベントログ
 +
* データベースのログ
 +
* アプリケーションログ
 +
* [[syslog]]
 +
などのログの管理と分析を行います。
 +
 +
独立しているログのイベントの相関分析を行い、リスク分析と予兆検知ができます。
 +
== なぜSIEMが必要なのか ==
 +
=== ログはいろいろ ===
 +
企業や組織には、いろいろな機器があります。
 +
* ネットワーク機器
 +
* サーバ
 +
 +
ネットワーク機器には、例えば
 +
* ルーター
 +
* スイッチ
 +
* [[ファイアーウォール]]
 +
* ロードバランサー
 +
などがあります。
 +
 +
サーバには、例えば、
 +
* [[Windows]] Server
 +
* [[Linux]]
 +
などがあります。
 +
 +
それぞれ機器のOSやアプリケーションが独自の[[ログ]]を吐き出します。
 +
 +
あらゆる機器を監視するには、それぞれの機器が出してくるログを読み込めなければなりません。1つ1つのログに対応したプログラムを作るのには、骨が折れます。
 +
=== 相関分析 ===
 +
1つのログを見て、それが問題かどうかを判断するのは、場合によっては難しいでしょう。
 +
単体の機器のログだけでは、気づけない異常を、複数の機器の[[ログ]]を関連付けて分析することにより、異常を割り出せる場合もあります。
 +
== 製品 ==
 +
[[SIEM]]は、いろいろなセキュリティベンダーが製品として販売しています。
 +
* McAfee SIEM
 +
== McAfee SIEM ==
 +
=== フィルター ===
 +
簡単にイベントのフィルターができます。
 +
* 時間
 +
* ソースIPアドレス
 +
* 宛先IPアドレス
 +
など、いろいろな項目でフィルターできます。
 +
=== 正規化 ===
 +
[[SIEM]]は、異なるフォーマットのログを正規化して、取り込みます。
 +
 +
正規化すると例えば、カテゴリごとに分類されていきます。
 +
* 認証に属するグループ
 +
** ログイン
 +
** ログアウト
 +
* [[エクスプロイト]]
 +
** [[バッファオーバーフロー]]
 +
 +
位置情報から地図に情報をマップできます。
 +
=== 脅威 ===
 +
[[SOC]]が利用するインタフェースが用意されています。
 +
重要度の高いイベントが表示されます。
 
== 関連項目 ==
 
== 関連項目 ==
 
* [[ログ]]
 
* [[ログ]]

2015年6月10日 (水) 23:09時点における最新版

SIEM (Security Information and Event Management)とは、サーバー、ネットワーク機器のログを集約し、異常があった場合に管理者に通知したり、対処方法を知らせる仕組みです。SIEMは、分析と可視化をしてくれます。

読み方

SIEM
しーむ
Security Information and Event Management
せきゅりてぃ いんふぉめーしょん あんど いべんと まねーじめんと

概要

SIEM は、以下の目的を果たします。

  • SIM (Security Information Management)
    • いろいろな情報ソースから発生するイベントログを一元管理し、セキュリティポリシー監視とコンプライアンスを支援を行う。
  • SEM (Security Event Management)
    • セキュリティ脅威に対して、リアルタイムに検知を行い、セキュリティインシデントへの対応を行う

多くの企業が

などの製品を導入しています。このようなセキュリティ製品が多いほど、多数のアラートから緊急度の高いイベントを見つけ出して、対応するのは難しいことです。

それを解決するのが SIEM です。

  • Windows イベントログ
  • データベースのログ
  • アプリケーションログ
  • syslog

などのログの管理と分析を行います。

独立しているログのイベントの相関分析を行い、リスク分析と予兆検知ができます。

なぜSIEMが必要なのか

ログはいろいろ

企業や組織には、いろいろな機器があります。

  • ネットワーク機器
  • サーバ

ネットワーク機器には、例えば

などがあります。

サーバには、例えば、

などがあります。

それぞれ機器のOSやアプリケーションが独自のログを吐き出します。

あらゆる機器を監視するには、それぞれの機器が出してくるログを読み込めなければなりません。1つ1つのログに対応したプログラムを作るのには、骨が折れます。

相関分析

1つのログを見て、それが問題かどうかを判断するのは、場合によっては難しいでしょう。 単体の機器のログだけでは、気づけない異常を、複数の機器のログを関連付けて分析することにより、異常を割り出せる場合もあります。

製品

SIEMは、いろいろなセキュリティベンダーが製品として販売しています。

  • McAfee SIEM

McAfee SIEM

フィルター

簡単にイベントのフィルターができます。

  • 時間
  • ソースIPアドレス
  • 宛先IPアドレス

など、いろいろな項目でフィルターできます。

正規化

SIEMは、異なるフォーマットのログを正規化して、取り込みます。

正規化すると例えば、カテゴリごとに分類されていきます。

位置情報から地図に情報をマップできます。

脅威

SOCが利用するインタフェースが用意されています。 重要度の高いイベントが表示されます。

関連項目