サイバー攻撃だけでなく、防ぎにくい内部犯行に対して検知ができるソリューション、SIEM/UEBAについて初心者向けにまとめました。
2~3言+絵で解説
・SIEMは各種システム(AD,DNS,NW機器,社内アプリケーション,端末,SaaSなど)からログを収集し、相関分析することで不正を検知する。
・SIEMはルールベースでの検知だが、UEBAは日常のふるまいから外れたことを検知してアラートを出す。
ちょっと詳しく解説
■コネクター
各種システムからログを取得して分析しやすい形に変換して保存する。
オンプレやクラウドそれぞれに構築が可能となる。
■相関分析
複数のデータソースから収集したログの相関関係を分析して、単一のデータソースからではわからない異変を突き止める。
SIEM/UEBAの大きなメリットは、特にユーザやシステムに大きな影響なくログの設定変更だけでサイバー攻撃や内部不正の対策が可能な点となる。
特に内部不正は中々気づきにくく対策が難しい脅威だが振る舞い検知や退職予定者を重点的に監視することで早期検知ができる。
主な製品
| 会社名 | 製品名 | 提供形態 |
| インフォサイエンス | Logstorage-X/SIEM | オンプレミス |
| Google(米) | Chronicle Security Analytics Platform | クラウド |
| Splunk(米) | Enterprise Security | オンプレミスとクラウド |
| Sumo Logic(米) | Sumo Logic | クラウド |
| Microsoft(米) | Azure Sentinel | クラウド |
| McAfee(米) | Enterprise Security Manager | オンプレミスとクラウド |
まとめ
導入も既存に影響なく、効果は絶大のSIEM/UEBAの製品だが、全般的に高額となる傾向もある。
セキュリティ製品全般に言えることだが、リスクと比較して導入効果があるかの検討が必要だ。
以上、少しでも皆様のお役に立てれば幸いです。有難うございました。
コメント