SIEM

提供: セキュリティ
2015年6月10日 (水) 23:09時点におけるDaemon (トーク | 投稿記録)による版

(差分) ←前の版 | 最新版 (差分) | 次の版→ (差分)
移動: 案内検索
スポンサーリンク

SIEM (Security Information and Event Management)とは、サーバー、ネットワーク機器のログを集約し、異常があった場合に管理者に通知したり、対処方法を知らせる仕組みです。SIEMは、分析と可視化をしてくれます。

読み方

SIEM
しーむ
Security Information and Event Management
せきゅりてぃ いんふぉめーしょん あんど いべんと まねーじめんと

概要

SIEM は、以下の目的を果たします。

  • SIM (Security Information Management)
    • いろいろな情報ソースから発生するイベントログを一元管理し、セキュリティポリシー監視とコンプライアンスを支援を行う。
  • SEM (Security Event Management)
    • セキュリティ脅威に対して、リアルタイムに検知を行い、セキュリティインシデントへの対応を行う

多くの企業が

などの製品を導入しています。このようなセキュリティ製品が多いほど、多数のアラートから緊急度の高いイベントを見つけ出して、対応するのは難しいことです。

それを解決するのが SIEM です。

  • Windows イベントログ
  • データベースのログ
  • アプリケーションログ
  • syslog

などのログの管理と分析を行います。

独立しているログのイベントの相関分析を行い、リスク分析と予兆検知ができます。

なぜSIEMが必要なのか

ログはいろいろ

企業や組織には、いろいろな機器があります。

  • ネットワーク機器
  • サーバ

ネットワーク機器には、例えば

などがあります。

サーバには、例えば、

などがあります。

それぞれ機器のOSやアプリケーションが独自のログを吐き出します。

あらゆる機器を監視するには、それぞれの機器が出してくるログを読み込めなければなりません。1つ1つのログに対応したプログラムを作るのには、骨が折れます。

相関分析

1つのログを見て、それが問題かどうかを判断するのは、場合によっては難しいでしょう。 単体の機器のログだけでは、気づけない異常を、複数の機器のログを関連付けて分析することにより、異常を割り出せる場合もあります。

製品

SIEMは、いろいろなセキュリティベンダーが製品として販売しています。

  • McAfee SIEM

McAfee SIEM

フィルター

簡単にイベントのフィルターができます。

  • 時間
  • ソースIPアドレス
  • 宛先IPアドレス

など、いろいろな項目でフィルターできます。

正規化

SIEMは、異なるフォーマットのログを正規化して、取り込みます。

正規化すると例えば、カテゴリごとに分類されていきます。

位置情報から地図に情報をマップできます。

脅威

SOCが利用するインタフェースが用意されています。 重要度の高いイベントが表示されます。

関連項目




スポンサーリンク