「SIEM」の版間の差分
| 行1: | 行1: | ||
| − | [[SIEM]] (Security Information and Event Management)とは、サーバー、ネットワーク機器のログを集約し、異常があった場合に管理者に通知したり、対処方法を知らせる仕組みです。 | + | [[SIEM]] (Security Information and Event Management)とは、サーバー、ネットワーク機器のログを集約し、異常があった場合に管理者に通知したり、対処方法を知らせる仕組みです。[[SIEM]]は、分析と可視化をしてくれます。 |
'''読み方''' | '''読み方''' | ||
| 行19: | 行19: | ||
* [[サンドボックス]]型の[[標的型攻撃]]対策 | * [[サンドボックス]]型の[[標的型攻撃]]対策 | ||
などの製品を導入しています。このようなセキュリティ製品が多いほど、多数のアラートから緊急度の高いイベントを見つけ出して、対応するのは難しいことです。 | などの製品を導入しています。このようなセキュリティ製品が多いほど、多数のアラートから緊急度の高いイベントを見つけ出して、対応するのは難しいことです。 | ||
| − | |||
| + | それを解決するのが [[SIEM]] です。 | ||
| + | |||
| + | * Windows イベントログ | ||
| + | * データベースのログ | ||
| + | * アプリケーションログ | ||
| + | * [[syslog]] | ||
| + | などのログの管理と分析を行います。 | ||
| + | |||
| + | 独立しているログのイベントの相関分析を行い、リスク分析と予兆検知ができます。 | ||
| + | == なぜSIEMが必要なのか == | ||
| + | === ログはいろいろ === | ||
| + | 企業や組織には、いろいろな機器があります。 | ||
| + | * ネットワーク機器 | ||
| + | * サーバ | ||
| + | |||
| + | ネットワーク機器には、例えば | ||
| + | * ルーター | ||
| + | * スイッチ | ||
| + | * [[ファイアーウォール]] | ||
| + | * ロードバランサー | ||
| + | などがあります。 | ||
| + | |||
| + | サーバには、例えば、 | ||
| + | * [[Windows]] Server | ||
| + | * [[Linux]] | ||
| + | などがあります。 | ||
| + | |||
| + | それぞれ機器のOSやアプリケーションが独自の[[ログ]]を吐き出します。 | ||
| + | |||
| + | あらゆる機器を監視するには、それぞれの機器が出してくるログを読み込めなければなりません。1つ1つのログに対応したプログラムを作るのには、骨が折れます。 | ||
| + | === 相関分析 === | ||
| + | 1つのログを見て、それが問題かどうかを判断するのは、場合によっては難しいでしょう。 | ||
| + | 単体の機器のログだけでは、気づけない異常を、複数の機器の[[ログ]]を関連付けて分析することにより、異常を割り出せる場合もあります。 | ||
| + | == 製品 == | ||
| + | [[SIEM]]は、いろいろなセキュリティベンダーが製品として販売しています。 | ||
| + | * McAfee SIEM | ||
| + | == McAfee SIEM == | ||
| + | === フィルター === | ||
| + | 簡単にイベントのフィルターができます。 | ||
| + | * 時間 | ||
| + | * ソースIPアドレス | ||
| + | * 宛先IPアドレス | ||
| + | など、いろいろな項目でフィルターできます。 | ||
| + | === 正規化 === | ||
| + | [[SIEM]]は、異なるフォーマットのログを正規化して、取り込みます。 | ||
| + | |||
| + | 正規化すると例えば、カテゴリごとに分類されていきます。 | ||
| + | * 認証に属するグループ | ||
| + | ** ログイン | ||
| + | ** ログアウト | ||
| + | * [[エクスプロイト]] | ||
| + | ** [[バッファオーバーフロー]] | ||
| + | |||
| + | 位置情報から地図に情報をマップできます。 | ||
| + | === 脅威 === | ||
| + | [[SOC]]が利用するインタフェースが用意されています。 | ||
| + | 重要度の高いイベントが表示されます。 | ||
== 関連項目 == | == 関連項目 == | ||
* [[ログ]] | * [[ログ]] | ||
2015年6月10日 (水) 23:09時点における最新版
SIEM (Security Information and Event Management)とは、サーバー、ネットワーク機器のログを集約し、異常があった場合に管理者に通知したり、対処方法を知らせる仕組みです。SIEMは、分析と可視化をしてくれます。
読み方
- SIEM
- しーむ
- Security Information and Event Management
- せきゅりてぃ いんふぉめーしょん あんど いべんと まねーじめんと
概要
SIEM は、以下の目的を果たします。
- SIM (Security Information Management)
- いろいろな情報ソースから発生するイベントログを一元管理し、セキュリティポリシー監視とコンプライアンスを支援を行う。
- SEM (Security Event Management)
- セキュリティ脅威に対して、リアルタイムに検知を行い、セキュリティインシデントへの対応を行う
多くの企業が
などの製品を導入しています。このようなセキュリティ製品が多いほど、多数のアラートから緊急度の高いイベントを見つけ出して、対応するのは難しいことです。
それを解決するのが SIEM です。
- Windows イベントログ
- データベースのログ
- アプリケーションログ
- syslog
などのログの管理と分析を行います。
独立しているログのイベントの相関分析を行い、リスク分析と予兆検知ができます。
なぜSIEMが必要なのか
ログはいろいろ
企業や組織には、いろいろな機器があります。
- ネットワーク機器
- サーバ
ネットワーク機器には、例えば
- ルーター
- スイッチ
- ファイアーウォール
- ロードバランサー
などがあります。
サーバには、例えば、
などがあります。
それぞれ機器のOSやアプリケーションが独自のログを吐き出します。
あらゆる機器を監視するには、それぞれの機器が出してくるログを読み込めなければなりません。1つ1つのログに対応したプログラムを作るのには、骨が折れます。
相関分析
1つのログを見て、それが問題かどうかを判断するのは、場合によっては難しいでしょう。 単体の機器のログだけでは、気づけない異常を、複数の機器のログを関連付けて分析することにより、異常を割り出せる場合もあります。
製品
SIEMは、いろいろなセキュリティベンダーが製品として販売しています。
- McAfee SIEM
McAfee SIEM
フィルター
簡単にイベントのフィルターができます。
- 時間
- ソースIPアドレス
- 宛先IPアドレス
など、いろいろな項目でフィルターできます。
正規化
SIEMは、異なるフォーマットのログを正規化して、取り込みます。
正規化すると例えば、カテゴリごとに分類されていきます。
- 認証に属するグループ
- ログイン
- ログアウト
- エクスプロイト
位置情報から地図に情報をマップできます。
脅威
SOCが利用するインタフェースが用意されています。 重要度の高いイベントが表示されます。