見出し画像

ログとアラートの相関を見抜いて自動で対応!「SIEM×SOAR」の名コンビ

はい、こんにちは。松井真也です。『ゼロトラスト用語辞典シリーズ』と題してブログを更新しております

今回のテーマは、「SIEM」(Security Information and Event Management)です!ログ収集、からのといえば、Syslogというプロトコルですね。標準化した形式でサーバやアプリのログを一元的に収集する仕組みです。この仕組みを基盤にして、監視や脅威検知をやろうというのが、SIEMでございます。いったいどのように機能するのでしょうか?

早速見ていきましょう!

SIEMとは?

SIEM(セキュリティ情報イベント管理。シームやシエムと読みます。)の役割は、様々な機器やソフトウェアからのログを一元的に収集・管理し、セキュリティ上の脅威を早期に検知・分析することができます。

箇条書きにしますか。

  • ログとアラートの収集:SIEMは膨大な量のログデータを一括して管理し、教師なしの機械学習を通じて異常な活動を見つけ出します。EDR、NGFWなどからのアラートなども集めます。

  • イベントの相関関係複数のログを参照する(相関分析)ことで、単独では気づけない潜在的な脅威を発見します。

  • インシデントの監視:リアルタイムで監視して、検知した場合は管理者にアラートを出します。

このように、SIEMの大きな利点は、ログ情報をベースにして、機械学習の力を借りつつ、リアルタイムで脅威検知ができるところです。

SOARとの連携

なんだいいことばかりじゃないか!?と思いますよね。確かに、脅威を検知する能力がSyslog単体よりも強力になります。

しかし、たくさん検知できるようになったら管理者はどうしましょうか?全部人力で対応しますか?人間はそう簡単にパワーアップしませんね?これは管理者はハッピーな状態ではありません。

そこで、もう一つ、SOAR(セキュリティオーケストレーション、オートメーション、レスポンス)の登場です。

SOARは、SIEMの機能をさらに強化するためのツールです。SOARとSIEMを連携させることで、イベントに対する対応がより効率的になります。

簡単にいえば、SOARは、SIEMが検知したインシデントを一定の基準(プレイブック)に従い、自動で処理してくれます。これで、対応時間を大幅に短縮できますし、管理者の負担を軽減できます。

このプレイブックですが、こちらはひな形があるとはいえ、企業がきちんと作らなければいけません。なかなか大変ですね。とはいえ、この作業も簡略化が図られていて、コーディングなしで設定できるものもあるようです。

かように、SOARとの連携により、SIEMの効果を最大限に引き出す、というか、管理者がオーバフローしないですむようになります!

soarは、猛禽類などが急上昇することも意味します。中二的で好きです♪

ということで、SIEMとSOARのコンビネーションによって、ゼロトラスト・アーキテクチャは強固になります。

はい、本日はここまで。SIEM(とSOAR)に関するお話でした。

いいなと思ったら応援しよう!