SIEM (セキュリティ情報およびイベント管理) とは何ですか?
SIEM(セキュリティ情報およびイベント管理)とは、さまざまなデバイスやソフトウェアによって生成されるログを一元的に収集、保管、管理し、リアルタイムに分析してセキュリティ上の脅威を検知し、異常なイベントが発生した際にアラートを発するシステムです。 SIEM という用語は、この目的で使用されるソフトウェアを指すこともあります。
SIEM の主な機能は次のとおりです。
イベントログの収集と保存:
SIEM システムは、ファイアウォール、WAF、ウイルス対策ソフトウェア、プロキシ サーバー、オペレーティング システム、applicationsなどのさまざまなソースからセキュリティ関連のイベント ログを収集して保存します。 ただし、ログを収集しすぎると、運用負荷が増加し、正規化などのプロセスが複雑になる可能性があります。 したがって、ログ ソースを慎重に優先順位付けして選択することが重要です。
ログデータの正規化:
収集されたデータは、冗長性を排除しながら、形式と解釈を統一する必要があります。 このプロセスは正規化と呼ばれます。
ログデータ間の相関分析:
特定のセキュリティ脅威は、単一のログ エントリだけでは検出できません。 SIEM システムは複数のログ エントリをまとめて分析し、個々のログでは表示できないパターンや脅威を識別します。 たとえば、パスワード リスト攻撃では、ブルート フォース攻撃に比べてログイン試行回数がはるかに少ないため、一般的なユーザー入力エラーと区別がつきません。 SIEM は、送信元 IP アドレスに基づいてログを集約し、同じ IP からの異なる ID を使用した複数のログイン試行を検出することで、パスワード リスト攻撃を識別できます。
アラートとレポート:
SIEM はセキュリティの脅威を示すイベントを識別すると、管理者にアラートを送信します。 さらに、これらのイベントを視覚的に表示するレポートを生成するため、セキュリティ防御の管理と最適化が向上します。
F5 の BIG-IP は、セキュリティ関連の広範なデータを記録し、さまざまな SIEM ツールと統合できるため、包括的なデータ分析と脅威検出を通じてセキュリティ対策をさらに強化できます。