Japan QRadar User Group

 View Only

【連載】QRadar SIEM 入門編:Part1「SIEMってなに?」

By SOTA SHIMIZU posted Fri August 12, 2022 03:58 AM

  

コミュニティの皆様

こんにちは、テクニカル・セールスの清水です。
こちらでは初めましてになりますね。どうぞよろしくお願いします。

さて、これから数回にわたって【QRadar SIEM 入門編】についての記事を投稿していきます。
この【QRadar SIEM 入門編】では、一般的なSIEMについての説明から、QRadar SIEMの概要と代表的な機能の詳細までをご紹介していく予定です。
QRadar SIEMについては知っているまたは利用中で、より理解を深めたいという方向けのコンテンツとして、またSIEMについてよく知らないという方に最初に触れていただく参考記事として、幅広くご活用いただければと思います。

それでは【QRadar SIEM 入門編:Part1「SIEMってなに?」】スタートです!


【連載】「QRadar SIEM 入門編」一覧
Part1「SIEMってなに?」
Part2「QRadar SIEMとリアルタイム分析」
Part3「フロー」


SIEMってなに?

まずは「そもそもSIEMってなんだっけ??」といったところから始めていきます。
SIEMについて理解するには、まずSIEMが求められている背景を押さえる必要があります。

元々サイバーセキュリティーの世界において、多くの組織は「防御」を強化するために投資をしてきました。
しかし、これは攻撃手法がそれほど多様化していなかった時代のお話です。
昨今ますます高度化・複雑化するサイバー攻撃に対しては、その全てを防御で対処しようとするととんでもない量のセキュリティー機器を導入する必要があり(それでも全てを防ぐのは困難)、それらを運用する人員や必要なスキル、オペレーションなどを考慮するととても一つの企業で賄えるものとは言えません。

中途半端な状態で境界型防御(ファイアウォールやIPSなど)だけを導入していると、防御の隙をついてランサムウェアなどに侵入されても、境界内部に監視の目がないため潜伏に気づかないままインシデントが発生するケースがあり、ユーザーに被害が出てからSOCやCSIRTに報告が上がってくることが見られます。
対応は後手後手になり被害は拡大する一方です。



たとえ侵入検知装置でアラートが上がったとしても、アラートが上がった時点では、それらが本当のインシデントなのか、誤検知なのかも不明であり、アナリストの方はまずそこから調査を始める必要があります。

調査対象はアラートを出した侵入検知装置だけでなく、その経路にあるファイアウォールや認証情報などにも及び、複数のセキュリティー機器・ネットワーク機器を行き来しながら、それぞれのログを確認する必要があります。

さらに、ファイアウォールひとつにしてもそのログの量は非常に多く、ログの読み方にもスキルを要します。
そういった膨大な量のログの中から攻撃者の足跡を辿っていくのは非常に困難です。



このような状況の中、攻撃者の侵入を完璧に防ぐのは不可能に近く、インシデント発生後も様々なログ・ソースに跨る膨大なログを確認する必要があり、対応までに多くの時間を要してしまいます。

それよりも、侵入されることはもはや前提として、より素早く検知・対応を行う方が効果的だよね、こういった考えのもとSIEMというソリューションが脚光を浴びることとなります。

最近では、コロナ禍でニューノーマルな働き方が進んだことに後押しを受け、急速に普及した「ゼロトラスト」の概念を実現するために必要なコンポーネントとしても、SIEMの必要性が叫ばれています。




SIEM…Security Information and Event Management

SIEMは各種セキュリティー機器・ネットワーク機器からログ(イベント)を収集・蓄積し、相関分析を行うことで、外部からの攻撃やマルウェア感染などの検知を行うことを目的としたソリューションのことを指します。
ログをSIEM上に集約し分析を行うので、アナリストの方は多種多様な機器を一つ一つチェックせずとも、SIEMの画面一つから様々なログを見ることができるようになります。 



ふむふむ、SIEMの言葉の説明としてはなんとなくわかりそうな気がしますが、では実際どのように脅威を検知するのでしょう?


脅威検知の仕方

一つは、集めたログに検索をかけることでの脅威検知です。
SIEMに集約されたログは、共通する任意のパラメーターでマッチングが可能となっています。
たとえば宛先IPアドレスが「123.45.xx.xx」に該当するログだけを確認したい場合は、検索パラメーターの「宛先IPアドレス」で条件「123.45.xx.xx」を入力し検索することで、条件に一致したログだけを抽出してくれます。 



もう一つが、セキュリティー管理者が設定したルールに基づく自動分析での脅威検知です。
例えば、
・ファイアウォールが拒否をした後に許可をした
・かつ、認証失敗がいくつか起きた後に認証に成功した
・かつ、不審な通信が侵入検知装置で働いている
という条件の時にアラートを上げるようにルールを設定することで、SIEMが収集したログに対して、上記ルールの条件に該当するかどうか自動で分析を行います。


これにより、単一機器のアラートだけをみるよりも誤検知を減らすことができ、実際にログを見なければならないアナリストの方がアラートを確認する際のワークロードを軽減することもできます。


まとめ

なんとなくSIEMについてはご理解いただけましたでしょうか?

大事なポイントとしては、
・SIEM は集約したログを分析して脅威を検知してくれるもの
・脅威検知の方法として、ログの検索とルールによる自動分析がある
この辺りを抑えていただければOKです。

今回はここまで!
Part2からはQRadar SIEMの説明に入っていきます。

次回もお楽しみに!


【連載】「QRadar SIEM 入門編」一覧
Part1「SIEMってなに?」
Part2「QRadar SIEMとリアルタイム分析」
Part3「フロー」



#QRadar
0 comments
33 views

Permalink