SIEMとは
セキュリティ情報およびイベント管理(SIEM)は、提供するツールとサービスのセットです。組織の情報セキュリティの全体像。
SIEMツールは以下を提供します。
- 組織の情報セキュリティシステム全体のリアルタイムの可視性。
- イベントログ多数のソースからのデータを統合する管理。
- 生データにインテリジェンスを追加するif-thenルールを使用して、さまざまなログまたはセキュリティソースから収集されたイベントの相関関係。
- 自動セキュリティイベント通知。ほとんどのSIEMシステムは、セキュリティの問題やその他の直接通知方法のダッシュボードを提供します。
SIEMは、次の2つのテクノロジを組み合わせて機能します。a)分析のためにログファイルからデータを収集するセキュリティ情報管理(SIM)およびセキュリティの脅威とイベントに関するレポート、およびb)リアルタイムのシステム監視を実行するセキュリティイベント管理(SEM)は、ネットワーク管理者に重要な問題について通知し、セキュリティイベント間の相関関係を確立します。
セキュリティ情報とイベント管理プロセスは、次のように分類できます。
- データ収集–サーバー、オペレーティングシステム、ファイアウォール、ウイルス対策ソフトウェア、侵入防止システムなど、ネットワークセキュリティ情報のすべてのソースがイベントをフィードするように構成されています。データをSIEMツールに変換します。最新のSIEMツールのほとんどは、エージェントを使用してエンタープライズシステムからイベントログを収集し、それを処理、フィルタリングして、SIEMに送信します。一部のSIEMでは、エージェントなしのデータ収集が可能です。たとえば、Splunkは、WMIを使用してWindowsでエージェントレスのデータ収集を提供します。
- ポリシー–プロファイルはSIEM管理者によって作成され、通常の状態と事前定義されたセキュリティインシデントの両方でエンタープライズシステムの動作を定義します。 。 SIEMは、特定のセキュリティニーズに合わせて調整およびカスタマイズできるデフォルトのルール、アラート、レポート、およびダッシュボードを提供します。
- データの統合と相関– SIEMソリューションは、ログファイルを統合、解析、分析します。次に、イベントは生データに基づいて分類され、個々のデータイベントを意味のあるセキュリティ問題に組み合わせる相関ルールを適用します。
- 通知–イベントまたはイベントのセットがSIEMルールをトリガーすると、システムはセキュリティ担当者に通知します。
セキュリティ情報およびイベント管理ツール
市場には多くのセキュリティ情報およびイベント管理ソリューションがあります。 Arcsight ESM、IBM QRadar、Splunkが最も人気があります。
ArcSight
ArcSightは、企業のセキュリティテクノロジー、オペレーティングシステム、およびアプリケーションからログデータを収集して分析します。悪意のある脅威が検出されると、システムはセキュリティ担当者に警告します。
ArcSightは、悪意のあるアクティビティを停止するための自動応答を開始することもできます。もう1つの機能は、サードパーティの脅威インテリジェンスフィードを統合して、より正確な脅威検出を実現する機能です。
IBM QRadar
IBM QRadarは、ネットワークを含む企業の情報システムのソースからログデータを収集します。デバイス、オペレーティング・システム、アプリケーション、およびユーザー・アクティビティー。
QRadar SIEMは、ログ・データをリアルタイムで分析し、ユーザーが攻撃を迅速に識別して阻止できるようにします。 QRadarは、クラウド・ベースのアプリケーションからログ・イベントおよびネットワーク・フロー・データを収集することもできます。このSIEMは、脅威インテリジェンスフィードもサポートします。
Splunk
Splunk Enterprise Securityは、リアルタイムの脅威モニタリング、視覚的な相関関係を使用した迅速な調査、高度なセキュリティに関連する動的なアクティビティを追跡するための調査分析を提供します。脅威。
Splunk SIEMは、ローカルにインストールされたソフトウェアまたはクラウドサービスとして利用できます。サードパーティアプリからの脅威インテリジェンスフィードの統合をサポートします。
SIEMおよびPCIDSSコンプライアンス
SIEMツールは、組織がPCIDSSに準拠するのに役立ちます。このセキュリティ基準は、クレジットカードと支払いデータが盗難や誤用から安全に保たれることを企業の顧客に保証します。
SIEMは次のPCIDSS要件を満たすことができます。
- 不正ネットワーク接続の検出– PCI DSS準拠の組織には、組織のIT資産との間のすべての不正なネットワーク接続を検出するシステムが必要です。 SIEMソリューションはそのようなシステムとして使用できます。
- 安全でないプロトコルの検索– SIEMは、組織で許可されているサービス、プロトコル、ポートの使用を文書化して正当化し、実装されているセキュリティ機能を文書化できます。安全でないプロトコルの場合。
- DMZ全体のトラフィックフローを検査する– PCI準拠の組織は、信頼できないネットワーク(インターネットなど)とWebサーバー間の接続を管理するDMZを実装する必要があります。さらに、DMZ内のIPへのインバウンドインターネットトラフィックを制限する必要がありますが、カード所有者の詳細を処理するアウトバウンドトラフィックを評価する必要があります。
SIEMソリューションは、DMZを介して内部システムとの間を流れるトラフィックを検査し、セキュリティの問題について報告することで、これらの要件を満たすことができます。
Imperva Web ApplicationFirewallがSIEM統合にどのように役立つかをご覧ください。
ImpervaセキュリティソリューションとのSIEM統合
Impervaは、主要なSIEMソリューションとのターンキー統合を提供します、ArcSightやSplunkを含む。
これにより、お客様は、当社の製品が提供するセキュリティデータを選択したSIEMプラットフォームに簡単に統合し、幅広いコンテキストで簡単にアクセスして表示できるようになります。
ImpervaはSplunkと統合されています。
ImpervaSIEM統合はカスタマイズされています-アプリケーションのセキュリティニーズを満たすように作成されているため、ノイズをカットし、リスクの高い脅威に優先順位を付けることができます。同時に、実用的な洞察が提供されます。
統合パッケージの特定の機能には、セキュリティイベント相関のカスタマイズ可能なルール、サイト固有の脅威分析のオプション、事前定義された最適化されたダッシュボードなどが含まれます。
ImpervaクラウドSIEM統合に関する追加情報はここにあります。
ImpervaSIEM統合情報はここにあります。