SIEM
SIEM (Security Information and Event Management)とは、サーバー、ネットワーク機器のログを集約し、異常があった場合に管理者に通知したり、対処方法を知らせる仕組みです。SIEMは、分析と可視化をしてくれます。
読み方
- SIEM
- しーむ
- Security Information and Event Management
- せきゅりてぃ いんふぉめーしょん あんど いべんと まねーじめんと
概要
SIEM は、以下の目的を果たします。
- SIM (Security Information Management)
- いろいろな情報ソースから発生するイベントログを一元管理し、セキュリティポリシー監視とコンプライアンスを支援を行う。
- SEM (Security Event Management)
- セキュリティ脅威に対して、リアルタイムに検知を行い、セキュリティインシデントへの対応を行う
多くの企業が
などの製品を導入しています。このようなセキュリティ製品が多いほど、多数のアラートから緊急度の高いイベントを見つけ出して、対応するのは難しいことです。
それを解決するのが SIEM です。
- Windows イベントログ
- データベースのログ
- アプリケーションログ
- syslog
などのログの管理と分析を行います。
独立しているログのイベントの相関分析を行い、リスク分析と予兆検知ができます。
なぜSIEMが必要なのか
ログはいろいろ
企業や組織には、いろいろな機器があります。
- ネットワーク機器
- サーバ
ネットワーク機器には、例えば
- ルーター
- スイッチ
- ファイアーウォール
- ロードバランサー
などがあります。
サーバには、例えば、
などがあります。
それぞれ機器のOSやアプリケーションが独自のログを吐き出します。
あらゆる機器を監視するには、それぞれの機器が出してくるログを読み込めなければなりません。1つ1つのログに対応したプログラムを作るのには、骨が折れます。
相関分析
1つのログを見て、それが問題かどうかを判断するのは、場合によっては難しいでしょう。 単体の機器のログだけでは、気づけない異常を、複数の機器のログを関連付けて分析することにより、異常を割り出せる場合もあります。
製品
SIEMは、いろいろなセキュリティベンダーが製品として販売しています。
- McAfee SIEM
McAfee SIEM
フィルター
簡単にイベントのフィルターができます。
- 時間
- ソースIPアドレス
- 宛先IPアドレス
など、いろいろな項目でフィルターできます。
正規化
SIEMは、異なるフォーマットのログを正規化して、取り込みます。
正規化すると例えば、カテゴリごとに分類されていきます。
- 認証に属するグループ
- ログイン
- ログアウト
- エクスプロイト
位置情報から地図に情報をマップできます。
脅威
SOCが利用するインタフェースが用意されています。 重要度の高いイベントが表示されます。
関連項目
ツイート