セキュリティ情報およびイベント管理（SIEM）は、SIM（セキュリティ情報管理）機能とSEM（セキュリティイベント管理）機能を1つに組み合わせたセキュリティ管理へのアプローチです。セキュリティ管理システム。頭字語SIEMは、サイレントeで「sim」と発音されます。

すべてのSIEMシステムの基本原則は、複数のソースからの関連データを集約し、標準からの逸脱を特定し、適切なアクションを実行することです。たとえば、潜在的な問題が検出されると、SIEMシステムは追加情報をログに記録し、アラートを生成し、アクティビティの進行を停止するように他のセキュリティ制御に指示する場合があります。

最も基本的なレベルでは、SIEMシステムルールベースにすることも、統計相関エンジンを使用してイベントログエントリ間の関係を確立することもできます。高度なSIEMシステムは、ユーザーとエンティティの動作分析（UEBA）およびセキュリティオーケストレーション、自動化、応答（SOAR）を含むように進化しました。

ペイメントカード業界のデータセキュリティ標準（PCI DSS）への準拠は、もともと大企業でSIEMの採用を促進しましたが、高度な永続的脅威（APT）に対する懸念により、小規模な組織はSIEMマネージドセキュリティサービスプロバイダー（MSSP）が提供できるメリットを検討するようになりました。単一の視点からすべてのセキュリティ関連データを確認できるため、あらゆる規模の組織が、通常とは異なるパターンを簡単に見つけることができます。

SIEMシステムは、マルチを導入することで機能します。エンドユーザーのデバイス、サーバー、ネットワーク機器、およびファイアウォール、ウイルス対策、侵入防止システム（IPS）などの特殊なセキュリティ機器からセキュリティ関連のイベントを収集するための階層的な収集エージェント。コレクターはイベントを集中管理コンソールに転送し、セキュリティアナリストがノイズをふるいにかけ、ドットを接続し、セキュリティインシデントに優先順位を付けます。

一部のシステムでは、エッジコレクターで前処理が行われる場合があります。 、特定のイベントのみが集中管理ノードに渡されます。このようにして、伝達および保存される情報の量を減らすことができる。機械学習の進歩により、システムは異常に正確にフラグを立てることができますが、アナリストはフィードバックを提供し、システムに環境について継続的に教育する必要があります。

SIEM製品を評価する際に確認する最も重要な機能のいくつかを次に示します。

• 他のコントロールとの統合。システムは、進行中の攻撃を防止または阻止するために、他のエンタープライズセキュリティコントロールにコマンドを与えることができますか？
• 人工知能（AI）。システムは、機械学習とディープラーニングを通じて独自の精度を向上させることができますか？
• 脅威インテリジェンスフィード。システムは、組織が選択した脅威インテリジェンスフィードをサポートできますか、それとも特定のフィードを使用することが義務付けられていますか？
• 広範なコンプライアンスレポート。システムには、一般的なコンプライアンスニーズの組み込みレポートが含まれており、新しいコンプライアンスレポートをカスタマイズまたは作成する機能を備えた組織？
• フォレンジック機能。システムは、対象のパケットのヘッダーとコンテンツを記録することで、セキュリティイベントに関する追加情報を取得できますか？

SIEMはどのように機能しますか？

SIEMツールは、ホストシステム、アプリケーション、およびウイルス対策フィルターやファイアウォールなどのセキュリティデバイスによって作成されたイベントおよびログデータを企業のインフラストラクチャ全体で収集し、それをもたらすことで機能します。一元化されたプラットフォームでデータをまとめます。 SIEMツールは、データを識別して、ログインの成功と失敗、マルウェアアクティビティ、その他の悪意のあるアクティビティなどのカテゴリに分類します。

SIEMソフトウェアは、潜在的なセキュリティ問題を識別したときにセキュリティアラートを生成します。事前定義された一連のルールを使用して、組織はこれらのアラートを低優先度または高優先度として設定できます。

たとえば、25分間に25回のログイン試行の失敗を生成するユーザーアカウントは、疑わしいとしてフラグが立てられますが、ログイン情報を忘れた可能性のあるユーザーがログインを試みた可能性があるため、優先度は低くなります。

ただし、5分間に130回のログイン試行に失敗したユーザーアカウントには、優先度の高いフラグが付けられます。イベントは、進行中のブルートフォース攻撃である可能性が高いためです。

SIEMが重要な理由

SIEMは、企業が大規模なフィルタリングを行うことでセキュリティを管理しやすくするため、重要です。大量のセキュリティデータと、ソフトウェアが生成するセキュリティアラートの優先順位付け。

SIEMソフトウェアを使用すると、組織は、他の方法では検出されない可能性のあるインシデントを検出できます。ソフトウェアは、ログエントリを分析して、悪意のあるアクティビティの兆候を特定します。さらに、システムはネットワーク全体のさまざまなソースからイベントを収集するため、攻撃のタイムラインを再現でき、企業は攻撃の性質とビジネスへの影響を判断できます。

SIEMシステムは、これらのソース間でログに記録されたすべてのセキュリティイベントを含むレポートを自動的に生成することにより、組織がコンプライアンス要件を満たすのにも役立ちます。 SIEMソフトウェアがなければ、企業はログデータを収集し、レポートを手動でコンパイルする必要があります。

SIEMシステムは、企業のセキュリティチームがネットワークを介して攻撃がたどるルートを明らかにできるようにすることで、インシデント管理も強化します。 、侵害されたソースを特定し、進行中の攻撃を防ぐための自動化ツールを提供します。

SIEMの利点

SIEMの利点には次のものがあります。

• 脅威を特定するのにかかる時間を大幅に短縮し、それらの脅威による被害を最小限に抑えます。
• 組織の情報セキュリティ環境の全体像を提供し、収集と分析を容易にします。システムを安全に保つためのセキュリティ情報-組織のすべてのデータは一元化されたリポジトリに保存され、簡単にアクセスできます。
• 企業は、データを中心としたさまざまなユースケースに使用できます。または、セキュリティプログラム、監査、コンプライアンスレポートなどのログ、彼lpデスクとネットワークのトラブルシューティング。
• 大量のデータをサポートしているため、組織は引き続きデータをスケールアウトして増やすことができます。
• 脅威の検出とセキュリティアラートを提供します。
• 重大なセキュリティ違反が発生した場合に詳細なフォレンジック分析を実行できます。

SIEMの制限

その利点にもかかわらず、まだいくつかあります以下を含むSIEMの制限：

• 通常、組織のセキュリティ管理策およびインフラストラクチャ内の多くのホストとの統合を成功させるためのサポートが必要なため、実装に長い時間がかかります。 SIEMが機能し始めるまでにインストールするのに通常90日以上かかります。
• 費用がかかります。 SIEMへの初期投資は、数十万ドルになる可能性があります。また、SIEMの実装を管理および監視するための人件費、年次サポート、データを収集するためのソフトウェアまたはエージェントなど、関連するコストも合計される可能性があります。
• レポートの分析、構成、統合には、専門家。そのため、一部のSIEMシステムは、組織のセキュリティ問題に対処する情報セキュリティチームが配置された一元化されたユニットであるセキュリティオペレーションセンター（SOC）内で直接管理されます。
• SIEMツールは通常、記録されたすべてのデータを分析するためのルール。問題は、企業のネットワークが多数のアラート（通常、1日あたり10,000）を生成し、それがポジティブである場合とそうでない場合があることです。その結果、無関係なログの数が多いため、潜在的な攻撃を特定することは困難です。
• 誤って構成されたSIEMツールは、重要なセキュリティイベントを見逃し、情報リスク管理の効果を低下させる可能性があります。

SIEMツールとソフトウェア

一部のツールSIEMスペースには、次のものが含まれます。

• Splunk。 Splunkは、完全なオンプレミスのSIEMシステムです。 Splunkはセキュリティ監視をサポートし、高度な脅威検出機能を提供します。
• IBMQRadar。 QRadarは、企業のニーズと容量に応じて、ハードウェアアプライアンス、仮想アプライアンス、またはソフトウェアアプライアンスとして展開できます。QRadaronCloudは、QRadarSIEM製品に基づいてIBMCloudから提供されるクラウドサービスです。
• LogRhythm。小規模組織向けの優れたSIEMシステムであるLogRhythmは、SIEM、ログ管理、ネットワークとエンドポイントの監視とフォレンジック、およびセキュリティ分析を統合します。
• Exabeam。ExabeamのSIEM製品は、次のようないくつかの機能を提供します。 UEBA、データレイク、高度な分析、脅威ハンター。
• RSA。 RSA NetWitness Platformは、データの取得、転送、保存、分析を含む脅威の検出と対応のツールです。 RSAはSOARも提供しています。

適切なSIEM製品の選択方法

適切なSIEMツールの選択は、組織の予算や組織の予算など、さまざまな要因によって異なります。セキュリティ体制。

ただし、企業は次の機能を提供するSIEMツールを探す必要があります。

• コンプライアンスレポート;
• インシデント対応とフォレンジック;
• データベースとサーバーへのアクセスの監視;
• 内部および外部の脅威の検出;
• さまざまなアプリケーションとシステムにわたるリアルタイムの脅威の監視、相関、分析;
• 侵入検知システム（IDS）、IPS、ファイアウォール、イベントアプリケーションログ、およびその他のアプリケーションとシステムの統合;
• 脅威インテリジェンス;および
• ユーザーアクティビティの監視（ UAM）。

SIEMの歴史

2000年代半ばから存在していたSIEMテクノロジーは、最初はログ管理の分野、管理に使用される集合的なプロセスとポリシー、および情報システム内で作成された大量のログデータの生成、送信、分析、保存、アーカイブ、および最終的な廃棄を容易にします。

Gartner Inc.のアナリストは、2005年のGartnerレポートでSIEMという用語を作り出しました。脆弱性管理によるITセキュリティ。」レポートでは、アナリストはSIMとSEMに基づく新しいセキュリティ情報システムを提案しました。

レガシーログコレクション管理システムに基づいて構築されたSIMは、長期ストレージ分析とログデータのレポートを導入しました。 SIMは、ログと脅威インテリジェンスも統合しました。 SEMは、ソフトウェア、システム、またはITインフラストラクチャにおけるセキュリティ関連のイベントの識別、収集、監視、および報告に取り組みました。

次に、ベンダーは、ログとイベントデータをリアルタイムで分析するSEMを組み合わせて、脅威の監視を提供することでSIEMを作成しました。 、イベント相関とインシデント対応、SIMを使用して、ログデータを収集、分析、レポートします。

SIEMの将来

SIEMの将来の傾向は次のとおりです。

• オーケストレーションの改善。現在、SIEMは企業に基本的なワークフローの自動化のみを提供しています。ただし、組織が成長し続けるにつれて、SIEMは追加の機能を提供する必要があります。たとえば、AIと機械学習の商業化が進んでいるため、SIEMツールは、企業内のさまざまな部門に同じレベルの保護を提供するために、より高速なオーケストレーションを提供する必要があります。さらに、セキュリティプロトコルとそれらのプロトコルの実行が高速になり、より効果的かつ効率的になります。
• マネージド検出および応答（MDR）ツールとのコラボレーションが向上します。ハッキングや不正アクセスの脅威が増大し続ける中、組織がセキュリティの脅威を検出および分析するために2層アプローチを実装することが重要です。企業のITチームは、マネージドサービスプロバイダー（MSP ）MDRツールを実装できます。
• 強化されたクラウド管理と監視。 SIEMベンダーは、ツールのクラウド管理および監視機能を改善して、クラウドを使用する組織のセキュリティニーズをより適切に満たすようにします。
• SIEMとSOARは1つのツールに進化します。 SOARのメリットを享受するための従来のSIEM製品を探してください。ただし、SOARベンダーは、自社製品の機能を拡張することで対応する可能性があります。