SIEM購入ガイド

PeopleImages.com – Yuri A | shutterstock.com

プロトコルデータの監査、確認、管理は決して華やかな仕事ではありませんが、安全な企業ネットワークを構築するための重要な側面です。結局のところ、イベントログはサイバー犯罪者が活動を隠すために利用する二次的な攻撃面を生成することが多いのです。

このような事態に対抗するために、ネットワークセキュリティの専門家はセキュリティ情報およびイベント管理(SIEM)の分野から入手したツールを使用しています。これらのツールは、通常、ログの追加の保護レイヤーを提供します。これらのツールを

サーバーまたはサービスにエクスポート配置することで、ログが改ざんまたは削除されるのを防ぎます。

本ガイドでは、以下についてご説明します。

• SIEM ツールで重要な基準は何か
• これらのソリューションのコストについて何に注意すべきか
• どのSIEM ベンダーとソリューションがリーディングしているか

適切なSIEM ソリューションを選択することは、ビジネスクリティカルなシステムとサービスを監視するために不可欠です。ただし、以下も同様に重要です。

• 認証目的のためにデータを提供する
• 脅威検出をサポートする
• SOAR プラットフォームにコンテキストを提供する

SIEM オファーを購入する前に、以下の領域と基準を慎重に検討する必要があります。

運用モデル

機能をより迅速に反復・追加するために、最新のSIEM ソリューションの大多数は、現在、Software-as-a-Service(SaaS)モデルで利用可能です。クラウドの無制限の容量により、ベンダーは機械学習(ML)機能を統合することが容易になり、これらの機能は異常を検出するために大量の参照データを必要とします。SaaS アプローチがSIEM ソリューションの進化に貢献したことについては、基本的にコンセンサスがあります。

それでも、一部の企業はSIEM ツールをオンプレミスで操作する必要があります。通常、これはコンプライアンス要件を遵守する必要があり、その過程でプロトコル(およびそれに関連するデータ)をローカル インフラストラクチャに保持する必要があるためです。そのため、オンプレミスで実装するためのSIEM オプションはまだ存在します。これには堅実なオープンソースソリューションも含まれます。

分析

SIEM ソリューションは、それが提供する情報と同じくらい優れています。インフラストラクチャからログおよびイベントデータを収集することは、問題の検出に役立たず、より多くの情報に基づいた意思決定を支援しない場合、役に立たないのです。そのため、最新のSIEM システムは機械学習を活用して、リアルタイムで異常を検出し、潜在的な攻撃およびネットワークエラーに対する正確な早期警告システムを確立しています。

SIEM ソリューションの分析機能に対する特定の要件がどのようになるかは、複数の要因によって異なります。

• どのシステムを監視すべきか
• ダッシュボード、レポート、および調査に関して、組織に利用可能なスキルは何か
• すでに分析プラットフォームに投資していて、これを統合したいのか

これらの質問への回答は、SIEM オプションを絞り込むのに役立ちます。該当するスキルまたはソリューションを活用できない場合は、広範なダッシュボード ライブラリを備えたSIEM ソリューション、またはマネージド サービスが適切かもしれません。

プロトコル

SIEM システムが

データを処理する方法は、実践的な観点から別の重要な側面です。ソフトウェア エージェントは、サーバーとワークステーションからプロトコルおよびイベントデータを抽出することが多く、一方ネットワーク ハードウェアとクラウド アプリケーションは、統合またはAPI を通じてSIEM に直接「渡す」ことができます。この文脈では、基本的な質問はSIEM が重要な外部イベント情報を正確に識別できるかどうかです。

理想的には、SIEM は一般的なシステムからイベントデータを解析するのに十分成熟しており、調整が不要であり、イベント レベルや影響を受けるシステムなどの重要な詳細をフィルタリングできるほど正確である必要があります。ログ エントリが正しく解析されないのを防ぐために、データが取得された後にイベント データを処理するための柔軟なオプションを提供するソリューションも推奨されます。

警告通知

最新のSIEM ソリューションの大きな利点は、リアルタイムでシステムを監視する機能です。ただし、SIEM 自体、またはそのアラートが人間の専門家によって評価されない場合、このフィーチャーは無用の長物です。警告通知とアラート通知に関しては、主な課題はアラート量のバランスを保つことです。

• アラート通知が多すぎると、ユーザーはそれらを無効にするか無視します。
• アラート通知が少なすぎると、重大な脅威が見落とされる危険があります。

この基準の観点からも、アラートを設定できるような柔軟なSIEM ソリューションをお勧めします。たとえば、ルール、しきい値、またはさまざまな警告方法(SMS、メール、プッシュ通知、Webhook)を使用します。

ロールベースのアクセス

ロールベースのアクセス制御は、異なるビジネス セグメントおよびアプリケーション チームを持つ大規模でグローバルに運営されている企業にとって不可欠です。管理者、開発者、データ アナリストに、必要なイベント ログへのアクセス権のみを付与することは、単なる快適な機能ではなく、一部の業界では規制上も実施される最小権限の原則に準拠しています。

ユーザーのSIEM イベント データへのアクセスを制限できることは、侵害されたアカウントの影響を制限し、最終的にはネットワーク全体の保護に貢献します。結局のところ、イベント データはしばしば、アプリケーションおよびサービス機能、またははデバイスのネットワーク設定に関する深く詳細な洞察を提供します。この情報は、サイバー犯罪者がシステムをスパイし、侵入するために利用する可能性があります。

コンプライアンス

さまざまな規制フレームワーク – 例えば

GDPR またはHIPAA – SIEM または同様のシステムの使用を要求するだけでなく、ソリューションの設定方法を規定しています。したがって、組織に関連する要件を詳しく理解しておく必要があります。特に以下の点が関連する可能性があります。

• 保持期間
• 暗号化要件
• デジタル署名
• レポート義務

監査要素を考慮することも重要です。選択したSIEM ソリューションは、監査人を満足させるために必要なドキュメントとレポートを出力できるはずです。

イベント相関

異なる(および/または統合された)システムからのプロトコルを単一のビューで相関させる機能も、SIEM システムを実装する正当な理由です。これは、すべてのアプリケーション コンポーネント(データベース、アプリケーション サーバー)からのログ イベントを処理でき(複数のホストに分散している場合でも)、これらをデータ ストリームで相関させることができるはずです。これにより、コンポーネントのイベントがどのように相互に関連しているかが明確になります。

多くの場合、相関されたイベント ログは(特権昇格)攻撃を検出し、さまざまなネットワーク セグメント間でその影響を追跡するために使用できます。企業がクラウドまたはコンテナベースのインフラストラクチャに移行しているため、これはますます重要になっています。

エコシステム

堅牢で成熟したエコシステムを持つSIEM により、さまざまな機能を改善または拡張できます。SIEM を直接(またはプラグイン経由で)他のシステムに統合できる場合、この作業が大幅に簡素化されます。SIEM エコシステムによって実現できるシステム改善に加えて、さらなるビジネス上のメリットもあります。最新で成熟したSIEM ソリューションは以下のことができます。

• トレーニング需要を増加させる
• コミュニティベースのサポートを促進する
• 採用プロセスを統一する

API インタラクション

エコシステムはすべての要件に対応しているわけではありません。企業がソフトウェアを開発している、またはDevOps イニシアティブに投資している場合、SIEM ソリューションとプログラム的に相互作用する機能は大きな差をもたらします。

貴重な開発時間をロギング機能に費やす代わりに、SIEM システムはカスタム コードからイベント データを取得、相関、分析できます。

人工知能(AI)

SIEM はAI 駆動型の分析に対するカスタムメイドのユースケースのように見えます。したがって、ベンダーはそのような機能をソリューションに実装することをためらいません。これらは通常、分析とアラートの領域に焦点を当てています。AI 対応のSIEM システムは、さまざまなプロバイダーとソースからのクラウド データ フィードと統合できます。これにより、イベント データをコンテキストで自動化し、以下の目的で使用できます。

• イベントを評価する
• 攻撃チェーンを特定する
• インシデント対応計画を作成する

AI 対応のSIEM ソリューションの場合、運用モデルのテーマも関係する可能性があります。一部のオンプレミス オファーでは、AI ワークロードをクラウド サービスにオフロードする必要がある場合があります。

SIEM コスト

セキュリティ情報およびイベント管理に関しては、必ずしも予算を絞る必要はありません。結局のところ、攻撃の場合に間違った場所で節約した人はいません。もちろん、コストはSIEM ソリューションの場合でも重要な要素です。ただし、計算するときは細微な点に注意する必要があります。クラウド サービスとして提供されるSIEM ソリューションは、ほぼ常にサブスクリプション モデルで利用可能です。ただし、使用料が発生する可能性もあります。例えば、以下のような場合です。

• イベント データのボリュームまたは
• 監視対象のエンドポイント数

オープンソース ライセンスで提供されるプラットフォームの場合、隠れたコスト(例えばサポート)にも注意し、選択したソリューションがすべての関連する業務要件を満たしていることを確認してください。

個人的なSIEM 候補分野を必要な機能を提供するものに絞り込んだら、予想される月額料金と使用料を詳しく比較してください。

SIEM ベンダー&ソリューション

SIEM ソリューションの市場には豊富な選択肢があります。ツール調査の開始を支援するために、重要なSIEM ベンダーおよび製品をいくつか以下にまとめました。

• Datadog Cloud SIEM は、すべての重要な領域をカバーし、800 以上の統合と350 以上のプリセット検出ルールを提供する、成熟したSIEM スイートです。
• Elastic Logstash は真のSIEM プラットフォームではありませんが、オープンソース ツール(主にDevOps の世界向けに設計)は、多数のソースからログ イベントを分析および処理できます。
• Exabeam LogRhythm SIEM は、セキュリティ ベンダーExabeam およびLogRhythm の合併から生まれ、特に包括的なエコシステムとプリセット コンプライアンス フレームワークが特徴です。
• Fortinet FortiSIEM は、アセット検出とロールベースのアクセス、ならびにユーザーおよびエンティティ動作分析(UEBA)を有効にします。イベントをキャプチャするため、ならびにこれらに自動的に対応するために統合できます。
• Huntress マネージドSIEM は、急成長しているベンダーが提供する堅牢で最新のマネージドSIEM であり、その分析者とセキュリティ エンジニアは社内チームをサポートできます。
• IBM QRadar SIEM は、エンタープライズ規模のデータボリュームと機能を処理でき、統合分析エンジン、AI 機能を備え、500 以上の統合をサポートしています。
• Guardsix SecOps (旧LogPoint)は、脅威モデリングと機械学習にUEBA を使用し、自動翻訳と重要なコンプライアンス標準をサポートし、イベントをMITRE ATT&CK フレームワークとも相関させます。
• Microsoft Sentinel は、オンプレミス リソースとクラウド リソースの両方からイベントを取り込み、相関、分析でき、Microsoft Security Copilot の形式でAI がサポートしています。
• OpenText Enterprise Security Manager はすべてのエンタープライズSIEM 要件を満たすことができ、第三者システムとの多数の統合と包括的な自動化サポートを提供します。
• NetWitness は、さまざまなエンタープライズSIEM 機能も提供していますが、暗号化されたイベント データ(またはネット トラフィック)のサポートを提供する統合暗号化ツールが特徴です。
• SentinelOne Singularity AI SIEM は、最新の技術を使用してデータをキャプチャおよびフィルタリングし、堅牢な分析を提供し、直感的な自動化を約束しています。
• SolarWinds Security Event Manager は、ML ベースのデータ分析も提供しておらず、統合という点で他のオプションと比較できませんが、USB デバイス監視と印象的なコンプライアンス レポート機能を提供しています。
• Splunk は、そのエコシステム(またはアプリ ストア)が特に特徴であるSIEM プラットフォームを2 つのバージョンで提供しています。オンプレミス展開用のSplunk Enterprise とSaaS モデルとしてのSplunk Cloud です。
• Trellix Enterprise Security Manager は、ユーザーに実行可能な警告通知を提供し、アーキテクチャと統合に関して柔軟性に焦点を当てています。

この記事は、当社の姉妹誌CSOonline.com にオリジナル版で掲載されました。