みなさま
こんにちは。テックセールスの瀧石です。
今回は「QRadar SIEM 入門編」のPart5をお届けします。
本連載はSIEM 入門編として5回に渡り投稿してまいりましたが、本連載も今回で最後となります。
これまでの連載もご活用いただきつつ、読んでいただければと思います。
【連載】「QRadar SIEM 入門編」一覧
Part1「SIEMってなに?」
Part2「QRadar SIEMとリアルタイム分析」
Part3「フロー」
Part4 「ログの正規化と分析」
Part5 「幅広い情報源と拡張機能」
では、【QRadar SIEM 入門編:Part5 「幅広い情報源と拡張機能」】始めていきましょう!
幅広い情報源
QRadar SIEMでは、セキュリティ研究機関と連携した情報のアップデートがなされています。
QRadar SIEMの情報源として、IBMのセキュリティ研究機関であるX-Forceから、日々アップロードされていく脅威情報が連携されます。
また、X-Force以外の脅威情報を取り込みたいというご要望もあるかと思います。
そうした場合には、STIXやTAXIIを使用して、お客様独自の脅威情報をQRadar SIEMに取り込むことができます。
拡張機能
では、次に拡張機能についてみていきましょう。
QRadar SIEMはアプリケーションで拡張機能をご利用いただけます。
App ExchangeはQRadar SIEMに導入可能なアプリケーションのダウンロードサイトです。
App Exchangeに登録されたアプリケーションはIBMの事前検証済のもので、各アプリケーションオーナー(IBMあるいはベンダー)の保証のもとお使いいただけるものです。
多くのアプリケーションをご用意しておりますが、QRadar SIEMに追加できるアプリケーションの中でも特におすすめのを二つご紹介いたします。
一つ目は、ユーザーの振る舞い検知をするQRadar User Behavior Analytics(UBA)。
もう一つは、AI技術を使用してIOC(攻撃者の痕跡)を分析するQRadar Advisor with Watson (QAW)です。
まずはUBAからです。
User Behavior Analytics (UBA)
UBAはルールベースの検知ロジックでは識別が難しい「ユーザーの振る舞い」という観点からセキュリティ脅威を分析するアプリケーションです。
下図が実際のUBAの分析画面です。
それぞれのユーザーのリスク値が表示され、リスクのあるユーザーを特定するのに役立ちます。
また、高リスクユーザーはオフェンスとして通知することも可能ですので、ただちにインシデント調査に移行できます。
このユーザーのリスク分析にはテンプレートを用いて行えるので、導入が速やかに行えます。
では、これまでご説明してきたSIEMと何が違うのかという点です。
SIEMは明白な違反行為や攻撃が記録されたイベントを相関分析し、リアルタイムに脅威を見つけ出すことができます。
しかし、例えば正しいアクセス権を使った正規ユーザーのログには目立った違反がないため、ルールベースでの検知が困難な場合があります。
こうした場合に、UBAは、明白な違反行為がなくても、普段との行動の違いや低リスク・イベントの累積からリスクを評価し、しきい値を超えた場合にアラートすることができます。
SIEMでは見つけられなかったユーザーの振る舞いから脅威を見つけ出すことができる点大きな違いです。
UBA では、QRadar システム内の既存のイベント・データとフロー・データを使用して必要な洞察が生成され、ユーザーのリスク・プロファイルが作成されます。
QRadar Advisor with Watson(QAW)
次はQRadar Advisor with Watson(QAW)についてご説明します。
QAWはお客様がサイバー攻撃の痕跡(IOC)を調べる際に役立つものです。
SIEMからアラートを受けとったアナリストの方々は、限られた時間の中でより精緻な分析を行って、エスカレーションの要否を判断することになります。
そのためにはアラートを理解し、関連する外部脅威情報を確認することが必要です。
これは非常に時間とスキルを必要とする作業です。
また、これらの調査に加えてメンバーとの情報共有やお客様対応を行わなければなりませんし、
自らの分析スキル向上のために、最新の脅威情報や脆弱性情報もフォローし続けていくことが求められます。
QRadar Advisor with Watsonはこうしたセキュリティー・アナリストの日常業務における課題の解決を支援します。
QAWはQRadarによって検知されたオフェンス(≒アラート)の初期段階の分析と情報収集作業をアナリストに代わって実施します。
アナリストは、自らの環境で検知されたIOCが具体的にはどのような攻撃者や手法、マルウェアと関連しているかを調査して記録し、アラートの影響度について判断を行いますが、QAWはこうした手間の掛かる作業をアナリストに代わって行います。
また、QRadarによって検知されたオフェンスには、マグニチュードという独自の優先順位付けがされていますが、QAWは過去のオフェンス処理状況を学習して、その結果に基づき処理の優先度を提案します。
この機能を使うことで、限られた時間や工数という制約の中で、自社にとって影響が大きそうなアラートを優先して処理するように業務フローを変えていくことができます。
上の図はQAWの画面例です。
これまではアナリストがIOCごとに調査して記録していた内容が、QAWを使うと自動で収集・記録され、利用中の環境で検出された情報と関連づけられます。
これにより、どういったマルウェアと関連しているのか、あるいは、どういった悪意あるIPアドレスと関連しているのかといった情報をビジュアルに把握して、
エスカレーションへの判断材料とすることができます。
以上が、QAWのご説明でございました。
まとめ
今回は幅広い情報源とおすすめの拡張機能についてご紹介しました。
QRadar SIEMは、お客様が必要な情報源との連携が可能であり、また、アプリケーションが多数用意されていること、アプリケーションによる拡張でユーザーの振る舞い分析や、運用負荷の軽減を図ることができることをおさえていただければと思います。
これまで5回に渡りQRadar SIEM入門編を連載してまいりました。SIEMとは何か、どういったことができるのか、導入するとどうなるかといったことを、お客様それぞれの環境でご想像いただきつつ、お客様のセキュリティを高めるきっかけにしていただければ幸いです。
最後までご覧いただきありがとうございました。
【連載】「QRadar SIEM 入門編」一覧
Part1「SIEMってなに?」
Part2「QRadar SIEMとリアルタイム分析」
Part3「フロー」
Part4 「ログの正規化と分析」
Part5 「幅広い情報源と拡張機能」
#QRadar