SIEM
SIEM とは何ですか?
SIEM企業全体のセキュリティテレメトリを集約・正規化・相関分析し、検知・調査・コンプライアンス・レポートを支援するプラットフォーム。
Security Information and Event Management(SIEM)は、SOC の中核となるログ分析基盤です。ファイアウォール、エンドポイント、ID プロバイダ、クラウド API、アプリケーション、ネットワークセンサーからログとテレメトリを取り込み、正規化して保存したうえで、相関ルール、統計的ベースライン、機械学習モデルによって優先度付きアラートを生成します。最新の SIEM(Splunk、Microsoft Sentinel、Elastic、Chronicle、QRadar など)は、Detection as Code、UEBA、脅威インテリジェンスによるエンリッチメント、SOAR との連携による自動対応にも対応します。SIEM はインシデント調査、コンプライアンス報告、長期的なフォレンジック保管における正本となるシステムです。
● 例
- 01
Microsoft Sentinel が Azure AD のサインイン失敗と EDR アラートを相関させてパスワードスプレーを検出する。
- 02
Splunk の相関サーチが、サービスアカウントが普段使われない国からログインした際にアラートを発火する。
● よくある質問
SIEM とは何ですか?
企業全体のセキュリティテレメトリを集約・正規化・相関分析し、検知・調査・コンプライアンス・レポートを支援するプラットフォーム。 サイバーセキュリティの 防御と運用 カテゴリに属します。
SIEM とはどういう意味ですか?
企業全体のセキュリティテレメトリを集約・正規化・相関分析し、検知・調査・コンプライアンス・レポートを支援するプラットフォーム。
SIEM からどのように防御しますか?
SIEM に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。