SIEMとは

 SIEMとはSecurity Information and Event Managementの略で、企業内に設置したセキュリティ機器やネットワーク機器のログを収集、蓄積し、リアルタイムに分析を行うことで、未知の脅威や怪しいアクセスを検知するシステムである。

 特徴的なのは複数の機器から収集した異なるイベントログを相関分析することにあり、例えば、普段従業員が利用しないはずの時間帯に執務室へ入室したログがあったり、システムにログインがあったり、外部サイトとの定期的な接続といったイベントをかけ合わせて怪しい挙動を見つける。運用には高度な知識や運用負荷がかかることも多いが、高度なセキュリティ運用が実現できることで注目されている。

SIEMの機能一覧

ネットワーク管理

機能 解説
アクティビティーの監視 ネットワーク内のエンドポイントからのアクションを記録し、インシデントと異常なアクティビティーをユーザーに警告する
セキュリティ・ネットワーク機器の監視 セキュリティ/ネットワーク機器の情報、及び、そのアクティビティーの記録を保持・分析する
ログ管理 安全なリポジトリにイベントログを記録/保存する

事故管理

機能 解説
イベント管理 何らかのイベント発生時にリアルタイムでインシデントを警告し、警備員やセキュリティチームの介入などを促せる
自動応答 ネットワークセキュリティのインシデントを迅速に解決できるよう、応答の自動化を実現する
インシデントレポート 異常なアクティビティーやシステムへのログインなどを記録する

セキュリティインテリジェンス

機能 解説
脅威インテリジェンス 情報を統合/分析し、既存の脅威や未知の脅威を検出し、潜在的な脅威と脆弱性に関連する情報を提供する
脆弱性評価 ネットワークのスキャン、データの監査などによって、潜在的な脆弱性を発見する
高度な分析 ビジネスの関連リソースに関連する詳細かつ個別のメトリックを使用して分析をカスタマイズできる
データ検査 インシデントデータとイベントログのフォレンジック分析を容易にし、脆弱性とインシデントに関する洞察を得られる
機能やメリットなど詳細を確認する

SIEMの基礎知識

 SIEMとはSecurity Information and Event Managementの略で、企業内に設置したセキュリティ機器やネットワーク機器のログを収集、蓄積し、リアルタイムに分析を行うことで、未知の脅威や怪しいアクセスを検知するシステムである。

 特徴的なのは複数の機器から収集した異なるイベントログを相関分析することにあり、例えば、普段従業員が利用しないはずの時間帯に執務室へ入室したログがあったり、システムにログインがあったり、外部サイトとの定期的な接続といったイベントをかけ合わせて怪しい挙動を見つける。運用には高度な知識や運用負荷がかかることも多いが、高度なセキュリティ運用が実現できることで注目されている。

SIEMの機能一覧

ネットワーク管理

機能 解説
アクティビティーの監視 ネットワーク内のエンドポイントからのアクションを記録し、インシデントと異常なアクティビティーをユーザーに警告する
セキュリティ・ネットワーク機器の監視 セキュリティ/ネットワーク機器の情報、及び、そのアクティビティーの記録を保持・分析する
ログ管理 安全なリポジトリにイベントログを記録/保存する

事故管理

機能 解説
イベント管理 何らかのイベント発生時にリアルタイムでインシデントを警告し、警備員やセキュリティチームの介入などを促せる
自動応答 ネットワークセキュリティのインシデントを迅速に解決できるよう、応答の自動化を実現する
インシデントレポート 異常なアクティビティーやシステムへのログインなどを記録する

セキュリティインテリジェンス

機能 解説
脅威インテリジェンス 情報を統合/分析し、既存の脅威や未知の脅威を検出し、潜在的な脅威と脆弱性に関連する情報を提供する
脆弱性評価 ネットワークのスキャン、データの監査などによって、潜在的な脆弱性を発見する
高度な分析 ビジネスの関連リソースに関連する詳細かつ個別のメトリックを使用して分析をカスタマイズできる
データ検査 インシデントデータとイベントログのフォレンジック分析を容易にし、脆弱性とインシデントに関する洞察を得られる