みなさま
こんにちは、テクニカル・セールスの清水です。
今回はQRadar SIEM 入門編のPart2をお届けします。
前回の
QRadar SIEM 入門編:Part1「SIEMってなに?」では、SIEMが求められている背景、そして一般的なSIEMの機能について解説しました。
SIEMについてまだ知らないという方は、ぜひPart1をチェックしてみてください。
SIEMそのものについては知っているよという方は今Partからご覧ください。
Part2ではQRadar SIEM の概要と、大きな特徴であるリアルタイム分析についてご紹介します。
それでは
【QRadar SIEM 入門編:Part2「QRadar SIEMとリアルタイム分析」】スタートです!
【連載】「QRadar SIEM 入門編」一覧
Part1「SIEMってなに?」
Part2「QRadar SIEMとリアルタイム分析」
Part3「フロー」
Part4 「ログの正規化と分析」
Part5 「幅広い情報源と拡張機能」
QRadar SIEM
早速IBMが持つSIEMソリューションであるQRadar SIEMについて見ていきましょう。
QRadar SIEMは、さまざまなログ・ソースから出力されるログを集約し、リアルタイム分析を活用することで素早い脅威検知を可能にします。
※QRadar SIEMのログ収集イメージ
Part1で、アナリストの方がインシデント調査をする際には、複数に渡るログ・ソースを何度も確認しないといけなかったり、例えばファイアーウォール一つにしてもログの量は非常に多くログの読み方にもスキルが必要、といった課題があることをお話しました。
QRadar SIEMでは、複数のログ・ソースを集約し1つの画面で確認することができるため、いくつものセキュリティー機器・ネットワーク機器を何度も行き来する必要がなくなります。
また、QRadar SIEMがログを自動で相関分析し脅威を検知するので、アナリスト自身で膨大にあるログの相関性を確認したり、侵入の痕跡を見つけ出す必要がなくなります。
QRadar SIEMの特徴
QRadar SIEMの特徴をいくつかご紹介します。
QRadar SIEMは、さまざまなログ・ソースから集めたログをリアルタイムに相関分析することができ、分析のためのルールのテンプレートも豊富に提供しています。
製品の一部として、X-Forceから提供されるIPなどのレピュテーション情報を配信しているため、脅威情報とのマッチングルールも使用できます。また、App Exchangeを通じて利用できるアプリを使って、3rd Party製品との統合も可能です。
さらに、UBA(User Behavior Analytics)機能やWatsonによるインシデント分析支援機能なども提供しており、お客様のニーズに合わせて機能拡張をおこなっております。
さてさて、先程から何度も「リアルタイム」だったり「リアルタイム分析」といった言葉が登場しています。これは一体どんな機能を指すのでしょう?
詳しく見ていきます。
リアルタイム分析
QRadar SIEMはリアルタイム分析を行えることが大きな特徴となっています。
前回、SIEMを使った脅威検知の方法には「収集したログに対する検索」と「ルールに基づく自動分析」があるとお伝えしました。
収集・保管したログに対する検索によって脅威を検出するヒストリカル分析では、どうしても脅威検知に遅延が発生します。これを埋め合わせるために検索頻度を高くすることには限界がありますし、リソース消費も大きくなります。
一方リアルタイム分析では、ログを収集すると同時に、有効化されているルールを使用して自動で分析を行うため、ヒストリカル分析に比べて素早い脅威検知を実現します。
SIEM製品全体としてヒストリカル分析が主流な中、QRadar SIEMはリアルタイム分析も行える数少ないSIEMソリューションです。
※QRadar SIEMのログ分析イメージ
脅威検知の仕組み
QRdar SIEMはリアルタイム分析ができるんだよ、ということを簡単にお伝えしましたが、これだけだとなかなかイメージが湧きづらいかと思います。
ここでは、QRadar SIEMがリアルタイム分析によってログから脅威を検知する仕組みについて、例を用いてご紹介します。
QRadar SIEMでは、複数のイベント(ログ)を相関させることで、一つのインシデントとして脅威を検知します。
最初に、ファイアーウォールからログを収集するイメージについてご紹介します。
まず攻撃者が社内サーバーへのアクセスを試み、それに対してファイアーウォールがアクセスの拒否をします。
それによって、拒否をしたというログがファイアーウォールからQRadar SIEMに送られます。
QRadar SIEMは、受信したログを次々と処理しイベント内容、時間、送信元・宛先IPなどのフィールドを認識します。
QRadar SIEM上では有効化されたルールが、入ってくるログを常に監視しています。
今回ですと、
・5分以内に400件以上のファイアーウォール拒否
・同一の送信元IP、宛先IP
というルールが有効化されており、ファイアーウォールから入ってくる1つ1つのログがルールのテストに合致するかどうかが常にチェックされています。
ログが条件に該当した場合は、テスト内部の管理情報に反映されます。
そして、全てのテストの条件が成立したタイミングで、インシデントとしてアラートが上がります。
「テスト」と言う言葉は、ここではルールを構成する定義と捉えてください。詳しくは次回以降で解説します。
さて、もうひとつ例を見てみましょう。
次は認証ログからSIEMで脅威検知をする仕組みです。
攻撃者が社内アカウントへのログインを複数回試み、5回失敗した後にログインに成功します。
ファイアーウォールのケースと同じように、ユーザー名や送信元IPをもとに各イベントが相関され、ルールのふるいにかけられます。
今回の場合は、
・1分以内に同じユーザーへ4回以上のログイン失敗
・4回以上のログイン失敗後に、ログイン成功
というルールが有効化されており、各ログがルールのテストに合致するかチェックされ、アラートが上がります。
この作業がログ収集の過程で自動で行われるため、インシデント発生から検知までの時差を最大限抑えることができるというわけです。
まとめ
今Partでは、QRadar SIEMの概要とリアルタイム分析について解説しました。
ログを使ったQRadar SIEMでの脅威検知については、ご理解いただけましたでしょうか?
しかし、世の中にはログだけでは検知が難しい脅威というのも存在します。
それはいったいどんな脅威なのか?ログで検知できないのならどうすれば良いのか?
こちらはまた次のPartでお話します。
次回もお楽しみに!
【連載】「QRadar SIEM 入門編」一覧
Part1「SIEMってなに?」
Part2「QRadar SIEMとリアルタイム分析」
Part3「フロー」
Part4 「ログの正規化と分析」
Part5 「幅広い情報源と拡張機能」
#QRadar