SIEMの事例を探る：サイバーセキュリティのための最新機能とトップソリューション

セキュリティ情報・イベント管理（SIEM）は、セキュリティ情報管理とセキュリティ・イベント管理という2つの機能を併せ持つ、セキュリティ・ツールボックスの基本コンポーネントとなっている。SIEMは、ルールと統計的相関関係を使用して、セキュリティ・ツールからのログ・エントリやイベントを実用的な情報に変えるように設計されています。この情報は、セキュリティ・チームが脅威をリアルタイムで検出し、インシデント対応を管理し、過去のセキュリティ・インシデントのフォレンジック調査を実施し、コンプライアンス目的の監査を準備するのに役立ちます。

組織の規模や業種によって具体的な要件は異なりますが、SIEM システムは、IT 環境全体を包括的に調査して、業務に支障をきたしたり、ブランドや評判に永続的な損害を与えたりする前に、真のセキュリティ脅威を特定できる総合的なセキュリティ・ソリューションを提供します。

---

SIEMはどのように機能するのか？

かつてのSIEMソリューションでは、データの取り込み、ポリシー、アラートの確認、異常の分析など、データパイプラインのあらゆる段階で綿密な管理が必要だった。しかし、SIEM ソリューションは、はるかに多くの IT およびセキュリティ・ソースからデータを収集できるようになり、よりスマートになってきている。

データ収集

ほとんどの SIEM ソリューションは、エンドユーザーデバイス、サーバー、ネットワーク機器、またはファイアウォールやアンチウイルスなどの他のセキュリティシステムに収集エージェントを配置するか、syslog 転送、SNMP (Simple Network Management Protocol)、または WMI (Windows Management Instrumentation) プロトコルを介してデータを収集します。より最新のSIEMシステムは、クラウドサービス、ネットワークデータ、オンプレミスのログデータ、バッジシステム、OTコントローラ、複数の脅威インテリジェンスフィードなどの非標準的なデータソースなど、幅広いデータソースと統合することができます。

データストレージ

従来、SIEMソリューションはデータセンターに配置されたストレージに依存していたため、大容量のデータを保管・管理することが困難だった。その結果、一部のログデータしか保持できませんでした。最新のSIEMシステムは、Amazon Simple Storage Service（S3）やHadoopといった最新のデータレイクテクノロジーの上に構築されており、低コストでほぼ無制限にストレージを拡張できる。これにより、さらに多くのプラットフォームやシステムにわたって100％のログデータを保持し、分析することが可能になる。

方針と規則

SIEMでは、セキュリティ担当者がプロファイルを定義し、企業システムが通常の状況でどのように動作するかを指定できます。その後、ルールとしきい値を設定して、どのような種類の異常がセキュリティ・インシデントと見なされるかを定義できます。SIEMソリューションでは、機械学習（ML）と自動化された動作プロファイリングを使用して、自動的に異常を検出し、データに対して動的にルールを定義して、調査が必要なセキュリティ・イベントを発見するケースが増えています。

データの統合と相関

SIEMソリューションの中心的な目的は、すべてのデータをまとめ、すべての組織システムにわたるログとイベントの相関を可能にすることである。サーバー上のエラーメッセージは、ファイアウォールでブロックされた接続や、企業ポータルで試行された間違ったパスワードと相関させることができます。複数のデータポイントは、意味のあるセキュリティ・イベントにまとめられ、通知やダッシュボードによってアナリストに配信されます。最新の SIEM ソリューションは、注意が必要な「本物の」セキュリティ・イベントを学習する能力がますます向上しています。

---

今日のサイバーセキュリティの課題に対応する最新のSIEM機能

SIEMソリューションは年々進化しており、現在ではルールや相関関係だけでなく、脅威の検知、調査、対応（TDIR）のワークフロー全体に高度な機能を追加しています。これにより、より複雑な脅威の特定が可能になり、セキュリティ・チームが行動異常を可視化できるようになりました。高度な自動化は、インシデント対応を含む多くの手作業に取って代わりました。

ユーザーとエンティティの行動分析（UEBA）

UEBAは、SIEMソリューションがシグネチャやルール、相関関係を超えて、人工知能（AI）やディープラーニング（深層学習）技術を使って人間の行動パターンを調べることを可能にします。これによって、ゼロデイ攻撃や、不正侵入を効果的に検知することができます。内部脅威これは既知の攻撃シグネチャと一致しない可能性がある。

セキュリティ・オーケストレーション、自動化、レスポンス（SOAR）

最新のSIEMシステムは、企業システムと統合し、単に監視やアラートを出すだけでなく、インシデント対応を自動化する。例えば、SIEM ソリューションはランサムウェアのアラートを検出し、攻撃者がデータを暗号化する前に、感染したシステム上で封じ込めステップを自動的に実行し、同時に通信やその他の通知を作成することができます。

その他の高度な機能

• 複雑な脅威の特定 -相関ルールでは、コンテキストが欠けていたり、新しいタイプのインシデントに対応できなかったりするため、多くの複雑な攻撃を捕捉できない。自動行動プロファイリングにより、SIEM は脅威を示唆する行動を検出できる。
• ルールやシグネチャなしで検知 -ネットワークが直面する脅威の多くは、手動で定義したルールや既知の攻撃シグネチャでは捕捉できません。SIEMシステムはMLを使用して、既存の定義なしでインシデントを検出できます。
• 攻撃のタイムラインの自動化 -従来のSIEMソリューションでは、攻撃のタイムラインを理解するために、アナリストがさまざまなソースからデータを照合する必要がありました。これには時間がかかり、特別な専門知識が必要です。最新のSIEMは、攻撃のタイムラインを自動的に構築し、専門知識の少ないアナリストでも理解できるように視覚的に表示することができます。これにより、調査とインシデントのトリアージがより迅速になります。
• クラウドデリバリー-クラウドネイティブ​SIEMソリューションは、弾力性のあるクラウドストレージとデータレイクを活用する。このため、大企業が生成する大量のデータを処理できない機器に依存する従来のオンプレミス型SIEMシステムよりも、はるかに拡張性に優れている。

---

SIEMソリューションの選択

さまざまな選択肢がある中で、SIEM ソリューションを選択するのは難しい作業です。上記のSIEMの例は、いずれも幅広いユーザーベースを持つ堅牢なソリューションです。機能だけでなく、ベンダーの実績や市場での地位も評価することが重要です。現在必要なもの、そして将来必要になりそうなものを検討しましょう。

現在市場に出回っているSIEMソリューションは、いずれもさまざまな機能と特徴を提供している。

Exabeam Fusion

Exabeam Fusionは、TDIR にビヘイビアベースのアプローチを採用したクラウドネイティブなソリューションです。すべての関連イベントを集約し、不正なイベントを排除することで、 、アナリストの生産性を高め、他のツールで見逃された脅威を検出します。これにより、検知率と応答時間が改善され、すべてのアラート（多くのアラートを生成する「ノイズの多い」システムからのものであっても）が考慮されるようになります。 、SIEMのロギングと相関をUEBAと組み合わせることで、シグネチャベースのイベント、相関イベント、ビヘイビア・アノマリーを単一のタイムラインでまとめて確認することができます。Exabeam Fusion Exabeam Fusion

さらに、Exabeam Fusion、SOARcapabilityとネイティブに統合され、100以上のベンダー製品への容易な拡張を提供し、設定された（そしてカスタマイズ可能な）シナリオに自動化されたインシデント対応オペレーションを提供する。これにより、ほぼすべての脅威をリアルタイムで自動的またはトリガーによって対処することができます。規定ワークフローとあらかじめパッケージ化されたユースケース・コンテンツ（外部脅威、侵害された内部関係者、悪意のある内部関係者）により、セキュリティ・オペレーション・センター（SOC）の成果と対応の自動化を成功に導きます。Exabeam Fusion、最新のSIEMソリューションに期待されるクラウドベースのログ・ストレージ、迅速かつガイド付きの検索、包括的なコンプライアンス・レポートも提供します。

スプランク

Splunk の SIEM ソリューションは、セキュリティだけでなく、アプリケーションやネットワーク監視のユースケースにも対応できることを基本としている。そのため、セキュリティチームと IT オペレーションの両方に人気がある。他のトップ SIEM ソリューションと同様に、Splunk の SIEM はリアルタイムで情報を提供し、ユーザーインターフェースは比較的使いやすい。価格は、保護するワークロードに基づいている。

Splunk Enterprise Security は、統合された行動分析と自動化機能が限られているため、高度な脅威や横の動きなどの戦術を検出する上で課題があります。このソリューションは、ほとんどの組織で効果を発揮するには大幅なカスタマイズが必要であり、組み込まれていません。横の動きを検出するためには、多くのカスタムクエリを専門のユーザが実行する必要があり、その結果、良性の活動に関する大量のアラートが発生する可能性があります。ユーザーが報告するもう1つの課題は、製品機能全体がきれいに統合されていないことです：SIEM、SOAR、UEBAです。

マイクロソフトセンチネル

Microsoft SentinelはクラウドベースのSIEMで、マイクロソフトクラウドのセキュリティログとイベントの収集と統合に主眼を置いているが、マイクロソフト以外のソリューションからのログも限定的にサポートしている。マイクロソフト環境で作業し、すべてのツールを1つのセキュリティ管理プラットフォームに統合したいと考えている顧客に人気のある選択肢です。また、多くの中小企業の予算要件を満たすユニークな従量制ライセンスモデルも提供している。Microsoft Sentinelはまた、マイクロソフト製品のログに対する、スムーズなデータオンボーディングプロセスでも知られている。

Sentinel UEBAは、セキュリティに対するMicrosoftファーストのアプローチで、限られたデータソースと限られたユースケースをサポートしています。また、提供されるコンテンツは、TDIRのライフサイクル全体と自動化ルールをカバーしておらず、プレイブックは複雑で、コーディングスキルを必要とする。Sentinelのライセンシングは複雑で、多くの必要なコストが隠されています。例えば、ログストレージを無料で提供する一方で、「無料」と見なされる使用方法、検索、または限定された範囲については説明されていません。

IBM QRadar

IBM QRadar SIEM を使用すると、IT インフラストラクチャをリアルタイムで表示し、それらのソースからトリガーされるイベントをセキュリティ・アラートとともに監視できます。これは、脅威の検出と優先順位付けを容易にするモジュラー・アーキテクチャーです。QRadarは複数のロギング・プロトコルをサポートし、ハイエンドのアナリティクスだけでなく、様々なコンフィギュレーション側のオプションを提供します。このソリューションは、顧客がQRadarで使用するためのIBMやサードパーティの追加コンテンツをダウンロードできるアプリストアを提供している。

IBM QRadarはかなり高価で、複雑な価格設定モデルを持っている。加えて、QRadarはUEBA機能が弱く、最新のSIEMソリューションの基本要件である可視化機能が限られている。その他の欠点としては、アップグレードが複雑で、多大な労力を要する場合があること、製品サポートが限られている場合が多いこと（アップグレード・サポートを購入することは可能）などが挙げられる。また、可視化機能やレポート機能が限られているため、外部で開発したスクリプトで補完する必要がある。

---

結論

サイバー攻撃が一般化し、注目度が高まるにつれ、必要な防御を提供するためにどのようなセキュリティ・ツールが利用できるかを理解することがこれまで以上に重要になっています。SIEM ソリューションは、セキュリティとイベント通知を単一のプラットフォームで集中管理し、異常の分析を含むデータ・パイプラインの全段階を管理します。最新の SIEM ソリューションは、SOAR や UEBA などの機能を使用して脅威の検出を自動化し、アラートノイズを低減し、脅威に対応することで、組織のセキュリティプロファイルを向上させるインテリジェンスを追加します。最高のSIEMソリューションは、これらのコア機能をカバーし、次の攻撃を阻止するために設計された最新の機能を追加します。