ログとアラートの相関を見抜いて自動で対応!「SIEM×SOAR」の名コンビ
はい、こんにちは。松井真也です。『ゼロトラスト用語辞典シリーズ』と題してブログを更新しております
今回のテーマは、「SIEM」(Security Information and Event Management)です!ログ収集、からのといえば、Syslogというプロトコルですね。標準化した形式でサーバやアプリのログを一元的に収集する仕組みです。この仕組みを基盤にして、監視や脅威検知をやろうというのが、SIEMでございます。いったいどのように機能するのでしょうか?
早速見ていきましょう!
SIEMとは?
SIEM(セキュリティ情報イベント管理。シームやシエムと読みます。)の役割は、様々な機器やソフトウェアからのログを一元的に収集・管理し、セキュリティ上の脅威を早期に検知・分析することができます。
箇条書きにしますか。
ログとアラートの収集:SIEMは膨大な量のログデータを一括して管理し、教師なしの機械学習を通じて異常な活動を見つけ出します。EDR、NGFWなどからのアラートなども集めます。
イベントの相関関係:複数のログを参照する(相関分析)ことで、単独では気づけない潜在的な脅威を発見します。
インシデントの監視:リアルタイムで監視して、検知した場合は管理者にアラートを出します。
このように、SIEMの大きな利点は、ログ情報をベースにして、機械学習の力を借りつつ、リアルタイムで脅威検知ができるところです。
SOARとの連携
なんだいいことばかりじゃないか!?と思いますよね。確かに、脅威を検知する能力がSyslog単体よりも強力になります。
しかし、たくさん検知できるようになったら管理者はどうしましょうか?全部人力で対応しますか?人間はそう簡単にパワーアップしませんね?これは管理者はハッピーな状態ではありません。
そこで、もう一つ、SOAR(セキュリティオーケストレーション、オートメーション、レスポンス)の登場です。
SOARは、SIEMの機能をさらに強化するためのツールです。SOARとSIEMを連携させることで、イベントに対する対応がより効率的になります。
簡単にいえば、SOARは、SIEMが検知したインシデントを一定の基準(プレイブック)に従い、自動で処理してくれます。これで、対応時間を大幅に短縮できますし、管理者の負担を軽減できます。
このプレイブックですが、こちらはひな形があるとはいえ、企業がきちんと作らなければいけません。なかなか大変ですね。とはいえ、この作業も簡略化が図られていて、コーディングなしで設定できるものもあるようです。
かように、SOARとの連携により、SIEMの効果を最大限に引き出す、というか、管理者がオーバフローしないですむようになります!
ということで、SIEMとSOARのコンビネーションによって、ゼロトラスト・アーキテクチャは強固になります。
はい、本日はここまで。SIEM(とSOAR)に関するお話でした。
この記事が気に入ったらサポートをしてみませんか?