見出し画像

SIEM界のリーダーポジション!QRadar SIEM のここがすごい

Keita Fujiwara

皆様こんにちは。日本IBMの藤原です。

今回はIBMセキュリティのエコシステムの中心を担う、SIEM製品のQRadar SIEMについてご紹介いたします。

SIEMってなに?


SIEMは Security Information and Event Management (セキュリティ情報とイベント管理)の略称で、読み方は「シーム」です。
セキュリティ機器、ネットワーク機器などのログを集約し、相関分析を行うことで製品単体だと特定が難しい脅威の検出やログの統合管理をリアルタイムに実現します。

なぜSIEMが必要?


多くのSaaSアプリが使用され働き方が便利になっていますが、セキュリティ管理者は増えた分のアプリも当然監視をする必要があるため負担が増加します。
SaaSアプリだけでなく、既存システム(FW、VPN、認証基盤、プロキシetc..)も含めると、非常に多くのシステムの監視が必要です。
各ログを個別に確認する場合、非常に多くの時間を要す上、ログ間の関連性を踏まえて調査するのは人力だと大変な作業になります。
そんな課題を解決するのがSIEMという製品です。

QRadar SIEM


IBMではSIEM製品としてQRadar SIEMという製品を持っております。
本製品は調査会社Gartnerのマジッククアドラント SIEM部門において12年連続でリーダーの評価をいただいているなど業界内でも歴史が長く、高い評価をいただいています。
QRadar SIEMには様々な特長がありますが、今回は特に有用と思われる機能をピックアップしてご紹介いたします。

QRadar SIEMのここがすごい

迅速な運用開始に貢献!600以上の豊富なデフォルト検知ルール


SIEMは各システムのログを相関分析していますが、その実態としてルールに基づいて正規化したログを参照、マッチした場合にアラートを出します。
 例)5分以内にFirewall拒否のログが400回以上でアラート
このようなルールを1からすべて作りこむのは非常に困難ですが、ご安心ください。
QRadar SIEMには非常に多くのテンプレートが用意されておりますのでルールを一から作りこむ必要はありません。
また、ルールの編集も樹形図のようにブロックを組み合わせるイメージで視覚的に行えますので難しいコマンドを覚える必要もありません。

脅威インテリジェンスの活用!


QRadar SIEMは前回ご紹介したX-Forceが提供している脅威情報(ボットネットやC&C、スパム、危険なIP etc..)を受信しログ解析に活用できます。
X-Forceからの情報だけでなく、外部に公開されているブロックリストなど独自ソースも取り込むことができます。

X-Forceについてはこちらもご参照ください。
IBM Securityの大黒柱!世界最大規模のセキュリティ・エキスパート集団 IBM X-Forceとは?|note

豊富な拡張機能をアプリケーションで提供!


IBM Security App Exchangeというサイトを公開しており、そこからIBMあるいは各ベンダーに保証された機能拡張アプリケーションがダウンロードできます。
よく使われるものを2つ紹介します。

QRadar User Behavior Analytic (UBA)


ユーザ振る舞い分析のアプリケーションです。
各種ログに記録されているユーザ情報から、リスクあるユーザをリスク値ベースで表示、危険な行動や振る舞いをアラートするなど、ログベースで解析するSIEMとは違いユーザ観点での分析を実装することができます。
ベースラインを学習し、そこからの乖離といった情報も分析対象となりますので、よりリアルタイムなふるまいの分析が可能です。
アプリをインストールするだけで取り込まれたログに対しすぐに分析を実行するので導入が非常に簡単です。
SIEMと合わせてUBAを導入することで、内部犯行といったセキュリティリスクに焦点を当てて監視ができます。

QRadar Advisor with Watson (QAW)


SIEMでアラートを受け取った後も影響範囲や原因など調査分析が必要となりますが、QAWはそのような調査分析作業をIBMの強みであるAI【Watson】を活用して効率化します。
アラートの周辺情報を可視化し脅威情報との紐づけ、事後対応、脅威フレームワークとの関連付けなどを自動で分析するため作業効率だけでなく、網羅的に調査を行うことが可能です。

まとめ


今回特徴的な機能に絞ってご紹介させていただきました。
他にもたくさんの機能やメリットがありますので、以下の弊社公式サイトもぜひともご参照ください。
IBM Security QRadar SIEM - 日本 | IBM

本記事および関連ページをお読みになり、もし気になる点などございましたら是非とも下記お問い合わせフォームにてご記載いただければ幸いです。
問い合わせフォームはこちら

お読みいただきありがとうございました。

日本アイ・ビー・エム株式会社
テクノロジー事業本部 デジタルセールス事業部 第二デジタル営業部
藤原 圭汰
Email:Keita.Fujiwara@ibm.com
LinkedIn:https://www.linkedin.com/in/keitafujiwara-2535a1240

この記事が気に入ったらサポートをしてみませんか?