SIEMログ管理: 完全ガイド

イベントログは、最新のセキュリティ監視、調査、フォレンジック、SIEM システムの基盤です。この章では、ログがどのように集計され、処理され、保存され、セキュリティオペレーションセンター（SOC）でどのように使用されるかについて詳しく学びます。

SIEMとログ管理：その違いとは？

SIEMとログ管理は以下の点で似ている：

• どちらのツールも、オペレーティング・システム、セキュリティ・デバイス、ネットワーク・インフラストラクチャ、システム、アプリケーションにまたがるログ・データをリアルタイムで収集、保存、取得する。
• どちらのツールも業務報告やコンプライアンス監査に利用できる。
• どちらのツールも、ITチームとセキュリティ・チームがログを管理・集計し、アラートの基準を定義し、インシデントをさらに調査するために完全なログ・データにアクセスすることを可能にする。

SIEMとログ管理には、次のような主な違いがある：

• SIEMは、イベントログをユーザー、資産、脅威、脆弱性に関するコンテキスト情報と組み合わせ、関連するイベントの関連付けを支援します。ログ管理は通常、コンテキストに基づくログ分析を提供しない。データを解釈し、脅威が実在するかどうかを判断するのは、セキュリティ・アナリスト次第です。
• SIEMは、ログデータに基づくリアルタイムおよび過去の脅威分析を提供します。また、潜在的なセキュリティ脅威が検出されるとアラートを送信し、重大性に基づいて脅威を優先順位付けし、セキュリティ専門家が体系的に問題に対処できるようにします。通常、ログ管理ツールにはこれらの機能がないため、脅威の検知やインシデント対応シナリオには適していません。
• SIEMは、すべてのログデータの一貫性を確保するために、ログを集約し、統一された形式に正規化します。ログ管理は通常、異なるソースからのログデータを変換しないため、収集されたデータに矛盾やばらつきが生じます。

ログ監視とは？

ログファイルには、本番システムの問題やパターンを特定するのに役立つ情報が豊富にある。ログ・モニタリングは、ログ・ファイルをスキャンし、重要なイベントを示すパターン、ルール、または推測される動作を検索し、運用またはセキュリティ・スタッフに送信されるアラートをトリガーする。

ログ監視は、ユーザーが問題を経験する前に問題を特定するのに役立ちます。組織のシステムに対する攻撃を示すかもしれない不審な行動を発見することができる。また、調査が必要な異常を特定するために、デバイス、システム、またはユーザーのベースライン動作を記録するのにも役立ちます。

SIEMロギングの仕組みセキュリティイベントログの基本

ログ収集とログ監視は、セキュリティチームにとって中心的な活動である。重要なシステムやセキュリティ・ツールからログ情報を収集し、それらのログを分析することは、セキュリティ・インシデントを示す可能性のある異常なイベントや疑わしいイベントを特定する最も一般的な方法である。

セキュリティ・ログ管理の2つの基本概念は、イベントとインシデントである。イベントとは、エンドポイント・デバイス上のネットワークで発生する何かである。インシデントとは、攻撃、セキュリティ・ポリシーの違反、不正アクセス、所有者の同意のないデータやシステムへの変更などである。

セキュリティに関連する一般的なログ・イベント

• デバイスがマルウェアに感染しているというウイルス対策ソフトウェアからの報告
• 禁止されたネットワークアドレスのトラフィックに関するファイアウォールからのレポート
• 未知のホストまたは IP アドレスから重要なシステムにアクセスしようとする。
• 重要なシステムへのアクセスに何度も失敗する
• ユーザー権限の変更
• 安全でない、または禁止されているプロトコル/ポートの使用

よくあるセキュリティ・インシデント

• 組織ユーザーが受信し、起動した悪意のある電子メール
• 組織ユーザーがアクセスした悪意のあるウェブサイト（ドライブバイダウンロードなど）
• 承認されたユーザーによる不適切または禁止された使用
• 不正アクセス
• 組織システムへの侵害、アクセス拒否、削除の試み
• 従業員のノートパソコンやサーバーなどの機器の紛失や盗難
• リムーバブルメディア経由でのデータ漏洩やマルウェア感染

SIEMログ分析

セキュリティの世界では、ログを集約し、監視し、セキュリティ・システムの可能性に関するアラートを生成する主要なシステムは、セキュリティ情報およびイベント管理（SIEM）ソリューションである。

SIEMプラットフォームは、セキュリティ・ソリューションや、電子メール・サーバー、ウェブ・サーバー、認証システムなどのITシステムから、過去のログ・データとリアルタイムのアラートを集約する。

SIEMはデータを分析し、異常、脆弱性、インシデントの特定に役立つ関係を確立します。SIEMの主な焦点は、不審なログイン、マルウェア、権限の昇格など、セキュリティ関連のイベントです。

SIEM の目標は、セキュリティ上の重要性があり、人間のアナリストがレビューすべきイベントを特定し、そのイベントに対して通知を送信することです。最新のSIEMは、広範なダッシュボードとデータ可視化ツールも提供し、アナリストがセキュリティ・インシデントを示す可能性のあるデータ・ポイントを積極的に探索できるようにします。

従来のSIEMログ分析

従来、SIEMはログデータからアラートを生成するために、セキュリティ脅威、脆弱性、またはアクティブなセキュリティインシデントを表す可能性のある異常を示す一連のイベントを指定する相関ルールと、既知の攻撃パターンと脆弱性についてネットワークをスキャンする脆弱性とリスク評価の2つの手法を使用していた。

これらの古いテクニックの欠点は、多くの偽陽性を発生させ、新しい予期せぬタイプのイベントを検出することに成功しないことである。

次世代SIEMログ分析

先進的なSIEMは、User and Entity Behavior Analytics（UEBA）と呼ばれるテクノロジーを使用している。UEBA は機械学習を活用して人間の行動パターンを調べ、自動的にベースラインを確立し、疑わしい行動や異常な行動をインテリジェントに特定します。

これにより、内部脅威、標的型攻撃、不正行為、長期間または複数の組織システムにわたる異常など、未知のリスクや相関ルールで定義することが困難なリスクを検出することができる。

エンドポイントログをセキュリティに利用する

従来は、脅威を特定するためにネットワーク・トラフィックに焦点を当てた監視やセキュリティ対策が行われてきた。今日では、デスクトップ・コンピュータ、サーバ、モバイル・デバイスなどのエンドポイントに注目が集まっている。エンドポイントは、従来のセキュリティ対策を迂回する脅威の標的となることが多い。例えば、電車に忘れ去られたノートパソコンが攻撃者に盗まれ、組織システムへの侵入に利用されることがある。ノートパソコンの行動を注意深く監視しなければ、このような攻撃や同様の攻撃は発見されない可能性がある。

Windowsイベントログ

Windowsオペレーティングシステムは、アプリケーションやオペレーティングシステム自体に重要なハードウェアやソフトウェアのイベントをログに記録することを可能にするイベントロギングプロトコルを提供します。イベントは、Windowsイベントビューアーを使って管理者が直接見ることができる。

どのイベントが記録されますか？
Windowsイベントログに記録されるイベントには、アプリケーションのインストール、セキュリティ管理（下記のWindowsセキュリティログを参照）、初期起動操作、問題やエラーが含まれる。これらのイベントタイプはすべてセキュリティ上重要な意味を持つ可能性があり、ログ集計や監視ツールによって監視されるべきである。

Windowsイベントログの例
警告 - 2018年5月11日午前10時29分47秒 Kernel-Event Tracing - 1 ログ記録

Windowsセキュリティログ

Windowsセキュリティログは、Windowsイベントログフレームワークの一部である。システムの監査ポリシーを使用して管理者が指定したセキュリティ関連のイベントが含まれる。マイクロソフトは、Windowsシステム上のセキュリティ侵害を調査する際、セキュリティ・ログを「最善かつ最後の防御」と説明している。

どのイベントがログに記録されるのか？
次のタイプのWindowsログ・イベントは、セキュリティ・イベントとして定義できる： アカウント・ログオン、アカウント管理、ディレクトリ・サービス・アクセス、ログオン、オブジェクト・アクセス（例えば、ファイル・アクセス）、ポリシーの変更、特権の使用、システム・プロセスの追跡、システム・イベント。

iOSログとiOSクラッシュレポート

WindowsやLinuxとは異なり、iOSのオペレーティングシステムは、アプリケーションのクラッシュレポートを除いて、デフォルトではシステムやアプリケーションのイベントをログに記録しません。 iOS 10.0以降では、特定のアプリケーションがアプリケーションのイベントをログに記録し、ディスク上の一元化された場所に保存できるロギングAPIが提供されています。ログメッセージは、ログコマンドラインツールのコンソールアプリを使用して表示することができます。

iOSはログへの便利なリモートアクセスを提供しないため、iOSログのリモート収集と集計を可能にするサードパーティ製ソリューションがいくつか登場している。

Linuxイベントログ

Linuxログは、Linuxオペレーティング・システムとアプリケーションで発生したイベントのタイムラインを記録する。中央のシステム・ログは/var/logディレクトリに保存され、特定のアプリケーションのログはアプリケーション・フォルダに保存される。

どのイベントがログに記録されますか？
Linuxには、システム・イベント、カーネル、パッケージ・マネージャー、ブート・プロセス、Xorg、Apache、MySQL、その他一般的なサービスのログ・ファイルがある。Windowsのように、これらのイベントはすべてセキュリティ上重要な意味を持つ可能性があります。

Linuxのログ監視で最も重要なものは？

• /var/log/syslogまたは/var/log/messages - Linuxシステム全体のすべてのアクティビティ・データを保存する。
• /var/log/auth.log または /var/log/secure - 認証ログを保存します。
• /var/log/boot.log - 起動時に記録されるメッセージ
• /var/log/maillogまたはvar/log/mail.log - 電子メールサーバーに関するイベント
• /var/log/kern - カーネルログ
• /var/log/dmesg - デバイス・ドライバ・ログ
• /var/log/faillog - ログインに失敗しました。
• /var/log/cron - cronジョブまたはcronデーモンに関連するイベント
• /var/log/yum.log - yumパッケージのインストールに関するイベント
• /var/log/httpd/ - HTTPエラーとすべてのHTTPリクエストを含むアクセスログ
• /var/log/mysqld.log または /var/log/mysql.log - MySQLログファイル

エキスパートからのアドバイス

スティーブ・ムーアは、Exabeamのバイスプレジデント兼チーフ・セキュリティ・ストラテジストで、脅威検知のためのソリューションの推進を支援し、セキュリティ・プログラムの推進や侵害対応について顧客にアドバイスを行っています。The New CISO Podcast」のホストであり、Forbes Tech Councilのメンバー、ExabeamのTEN18の共同創設者でもあります。

私の経験から、ログを効果的に管理し、次世代SIEM機能を活用してセキュリティ運用を改善するためのヒントを紹介します：

内部脅威の検知にUEBAを活用
UEBA（User and Entity Behavior Analytics）を使用して、ユーザーとデバイスの行動ベースラインを確立します。異常なファイルアクセス時間や権限の昇格など、アクティビティにおける微妙な逸脱を探します。

運用上の重要度でログを分類
セキュリティとコンプライアンスに対する重要性に基づいてログを階層に分類する。価値の高いログ（特権アクセスログ、ファイアウォール拒否など）を優先的に分析し、ホットティアに保存する。

エンドポイントログとネットワークアクティビティを関連付ける
エンドポイントからのログ（Windowsイベントログ、EDRシステムなど）をネットワークログとリンクさせ、横方向への移動やデータ流出などの潜在的な脅威を包括的に把握します。

強化されたログのメタデータを活用
地理的位置、デバイスの種類、脅威インテリジェンスのコンテキストなどのメタデータで生のログを補強します。これにより、より迅速で情報に基づいた脅威分析が可能になります。

高度なログフィルタリングの導入
動的なフィルタリングルールを導入することで、関連するイベントを失うことなくログのノイズを低減します。例えば、重要なシステムの可視性を維持しながら、低リスクのシステムで繰り返される認証試行をフィルタリングします。

エンドポイント検出と応答（EDR）ログの管理

EDR（Endpoint Detection and Response）テクノロジーは、組織のエンドポイントにおけるセキュリティ・インシデントの検出、調査、緩和を支援します。EDR は、アンチウイルス、データ損失防止（DLP）、SIEM などの従来のエンドポイント・ツールを補完するものです。EDRテクノロジーは、アプリケーションへのアクセスやアクティビティ、オペレーティング・システムの操作、データの作成、変更、コピー、移動、メモリの使用状況、事前定義された機密データへのユーザー・アクセスなど、エンドポイント上で発生するイベントを可視化します。

EDR システムは、セキュリティ・チームが企業のエンドポイント・ポートフォリオ全体からイベントを分析および調査できるように、集約されたログを提供します。

シマンテックエンドポイントプロテクションのログ

Symantec Endpoint Protection は、侵入防御、ファイアウォール、マルウェア対策を含むセキュリティスイートです。Endpoint Protection のログには、設定の変更、ウイルス検出などのセキュリティ関連のアクティビティ、特定のエンドポイント上のエラー、エンドポイントに出入りするトラフィックに関する情報が含まれています。

どのイベントがログに記録されますか?
Symantec Endpoint Protection のログの種類には以下のものがあります：

• ポリシーの変更
• アプリケーションとデバイスの制御 - エンドポイントデバイス上のイベントで、ある動作がブロックされた。
• コンプライアンス・ログ
• コンピュータの状態 - コンピュータ名、IPアドレス、感染状態などの動作状態
• 欺瞞ログ - セキュリティ・ソリューションによって配備された「ハニーポット」と攻撃者とのやり取り。
• ネットワークとホストのエクスプロイト緩和
• ウイルススキャンイベント
• シマンテックが検出したリスクイベント
• システムログ - オペレーティングシステムとサービスに関する情報。

マカフィーエンドポイントセキュリティ

McAfee Endpoint Security は、エンドポイント デバイスの一元管理、マルウェア対策、アプリケーションの封じ込め、Web セキュリティ、脅威フォレンジック、未知の脅威を検出するための機械学習分析を提供します。

このソリューションでは、各エンドポイント デバイスを 3 つのログ レベル (ログなし、イベント ログ、デバッグ ログ) のいずれかに設定できます。ログはエンドポイント上の McAfee フォルダーに保存されます。

どのイベントがログに記録されますか?
McAfee Endpoint Security は、各エンドポイントデバイスに複数のログファイルを保存します：

• myAgent.log - 過去のログを含む集約ログファイル
• myNotices.log - McAfee エージェントによって生成された通知と警告
• myUninstall.log - ソフトウェアのアンインストールイベント
• myUpdate.log - ソフトウェア・アップデート・イベント
• myInstall.log - ソフトウェアのインストールイベント

ファイアウォールのログの管理

ファイアウォールのログには、ネットワークに出入りするほとんどすべてのトラフィックの痕跡が含まれているため、セキュリティ分析には非常に貴重です。悪意のあるアクティビティが発生している場合、既知のマルウェアや攻撃シグネチャで検出できなくても、ファイアウォールによって捕捉され、ファイアウォールのログを分析して異常な挙動を確認することができます。

例えば、ゼロデイウイルスがネットワーク上のコンピュータに感染した場合、ウイルス対策ソフトではまだ検出できなくても、ファイアウォールのログには、疑わしいリモートホストとの接続拒否や許可された接続が異常に多く記録されていることがあります。ファイアウォールのログを日常的に確認することで、ファイアウォール越しにIRC経由でコマンド・アンド・コントロール・システムに接続しようとするトロイの木馬やルートキットを発見することができます。

シスコのシスログとロギングレベル

Ciscoルーターはsyslog形式でログを保存し、管理インターフェイスでログを表示することもできます。メッセージはメッセージコードでタグ付けされます - 例えば、ほとんどの拒否された接続は106001から106023の範囲のメッセージコードを持っています。ほとんどのファイアウォール・デバイスはローカル・ストレージ・スペースを持っていないため、ログを他の場所に送信するように設定する必要があります。Ciscoでは、ログをネットワーク上のsyslogサーバー、SMTP経由、コンソール・ポート経由、telnet経由、または他のいくつかのオプションで保存することができます。

どのようなログエントリーを分析することが重要なのか？

• ファイアウォールのセキュリティ・ポリシーで許可された接続 - セキュリティ・ポリシーの「穴」を見つけるのに役立つ。
• ファイアウォールのセキュリティポリシーによって拒否された接続 - 不審な動作や攻撃動作が含まれている可能性があります。
• 拒否率ロギング機能を使用すると、DoS攻撃やブルートフォース攻撃を示すことができる。
• IDSアクティビティメッセージ - Cisco侵入検知機能によって識別された攻撃を表示します。
• ユーザー認証とコマンドの使用 - ファイアウォール ポリシーの変更を確認および監査できます。
• 帯域幅使用量 - 接続時間とトラフィック量による接続を表示。
• プロトコル使用状況メッセージ - プロトコルとポート番号を表示 - ネットワーク上で使用されている異常なプロトコルや安全でないプロトコルを示すことができる。
• NATまたはPAT接続 - ネットワーク内部から悪意のあるアクティビティが報告されていないか確認する。

チェック・ポイントのロギング

チェック・ポイント・ルータは、ログを syslog 形式で保存できるほか、管理者インタフェースからログを参照することもできます。チェック・ポイント・ルータはセキュリティ・ログを保持し、セキュリティ上重要であると判断されたイベントを保存します。

セキュリティログに保存されるイベントのカテゴリー：

• 接続を承認
• 接続の暗号化解除
• 接続が切断された
• 接続暗号化
• 接続拒否
• 接続が監視された - セキュリティイベントが監視されたが、現在のファイアウォール ポリシーに従ってブロックされなかった。
• 許可されるURL - 内部ユーザーによるアクセスを許可するURL
• URLフィルタリング - 内部ユーザーによるアクセスを許可しないURL
• ウイルスが検出されました - 電子メールでウイルスが検出されました
• 潜在的なスパムのスタンプ - 潜在的なスパムとしてマークされたメール
• スパムの可能性が検出されました - スパムの可能性があるとしてメールが拒否されました。
• 許可されたメール - スパムでないメールが記録された
• VStream Antivirusが接続をブロックしました。

チェック・ポイントのセキュリティ・ログにおける深刻度レベル：

• 赤 - ファイアウォール、サービスセンターからダウンロードしたセキュリティポリシー、またはユーザー定義のルールによってブロックされた接続試行。
• オレンジ色 - 不審なトラフィックとして検出されたが、ファイアウォールによって受け入れられた。
• 緑 - ファイアウォールによって受け入れられたトラフィック

ログ管理と次世代SIEM

ログ管理は常に複雑であり、ネットワークデバイス、エンドポイント、マイクロサービス、クラウドサービスの急増、トラフィックとデータ量の指数関数的な増加により、さらに複雑になっている。

セキュリティ環境では、次世代のセキュリティ情報・イベント管理（SIEM）ソリューションが、セキュリティ関連のログイベントを管理し、その価値を引き出すのに役立ちます：

• 次世代SIEMはデータレイク技術に基づいており、履歴ログのデータ量を無制限に保存できる
• 次世代SIEMは、デバイスとユーザーのベースライン活動を自動的に確立し、異常な行動や疑わしい行動を特定できるユーザーとエンティティの行動分析技術を備えています。
• 次世代SIEMは高度なデータ探索機能を提供し、セキュリティアナリストがログを能動的に検索して脅威を発見するのに役立ちます。

Exabeamは、このような機能を提供する次世代SIEMプラットフォームの一例です。企業システムとセキュリティ・ツールからログを収集し、ログの収集と集約、ログ処理、高度なアナリティクスとUEBAテクノロジーを利用したログ分析、セキュリティ・インシデントに関するアラートなど、完全なログ管理プロセスを実行することができます。

ガートナーのレポートを読む

ガートナー®^{マジック・クアドラント}™（SIEM）｜2024年

無料レポートをダウンロードして、SIEM市場に関するガートナーの洞察をご覧ください。

ホワイトペーパーを読む