このブログでは、2021年11月より販売を開始したSolarWinds社のSIEMソリューションSecurity Event Manager(SEM)をご紹介します。
はじめに
当社はこれまで複数のログサーバー、ログ管理製品の販売とサポートを行ってきました。もちろん、ログの保存や管理が重要であることは間違いありませんし、これからも変わらないでしょう。しかし、集めて保存するだけではもったいないと思いませんか。
そこで、もっと積極的に活用する方法のひとつとしてSIEM製品によるリルタイムのログ監視を提案します。
今回ご紹介するSolarWinds社のSecurity Event Manager(SEM)は、直感的なインターフェースとすぐに使えるテンプレートにより、セキュリティやコンプライアンスの専門家でなくても、インシデント検知と対応、コンプライアンスレポートの作成を始められるオールインワンのSIEMソリューションです。
SEMの特長
●ダッシュボードによる可視化とドリルダウン
SEMには、レイアウトや表示項目を柔軟にカスタマイズできるダッシュボードが用意されています。
- イベント数の時間推移
- イベントの種類別発生件数
- ユーザー別のログオン件数や失敗件数
- 宛先/発信元別の通信件数
など、ログから抽出したイベント情報を多角的に可視化することによって、「いつもと違う」や「不審なパターン」をひとつの画面ですばやく特定し、関連ログとイベントの詳細にドリルダウンすることができます。
●付属コネクタで簡単導入
SIEM製品では、さまざまなネットワークデバイスやサーバーのログを横断的に分析するため、収集したログを共通の形式に変換(正規化)することが重要です。SEMでは正規化をするプログラムを「コネクタ」と呼び、監視したい機器や内容ごとにコネクタが用意されています。
たとえば、
- Cisco・Juniper・Fortinetのスイッチやルーター、ファイヤーウォール用のコネクタ
- LinuxサーバーのApache、Postfix、Squidのログ用コネクタ
- Windowsのアプリケーションログ、システムログ用のコネクタ
という具合です。
SEMにはこういった何百ものコネクタが最初から付属しています。必要なコネクタをリストから選択するだけですぐにログの監視が始められます。
●テンプレート化された相関ルール
ログの収集と同時に正規化されたイベント情報は、あらかじめ設定した相関ルールに基づいてリアルタイムに分析されます。相関ルールの作成にはイベント情報とインシデントの関連を知る必要がありますが、SEMには
- ポートスキャンやサーバー攻撃
- 不審サイト接続、マルウェア活動
- ファイルの不正操作
など、インシデントを特定するための相関ルールが豊富にテンプレート化されています。
これらのテンプレートを利用することで、セキュリティやコンプライアンスの専門家でなくても簡単に、セキュリティ侵害の可能性や攻撃を特定し、自動的に警告を発信することが可能となります。
●アクティブレスポンスで一次対応
SEMはインシデントを検知すると、あらかじめ設定しておいたアクションを実行します。メール通知やSNMPトラップの送信はもちろんですが、
- ファイヤーウォール機器と連携した通信ブロック
- ユーザーアカウントの無効化
- プロセスの停止
- USBデバイスのデタッチ
といった積極的なレスポンスが可能です。緊急を要するセキュリティイベントに対して、メール等のアラート通知だけでない、一次対応の自動化が実現できます。
さいごに
SEMは、従来のログサーバーが提供する「ログの受信と保存」機能に加え「セキュリティインシデントを検知するログ監視」を手軽に実現する最適な製品といえます。
製品の詳細やシステム要件については製品紹介ページをご確認ください。
また、お問い合わせは下記リンクよりお願いいたします。
