SIEM(Security Information and Event Management)
SIEMとは、プロキシサーバやファイアウォール、IDS/IPSなどのセキュリティ機器、EDRなどのエンドポイントセキュリティ製品が出力するアラートやイベントログを統合管理するツールです。さまざまなログのフォーマットをそろえ、統計を取ることで組織内の状況を一目でわかるよう可視化したり、蓄積したログを検索することでサイバー攻撃などの脅威への早期対応を可能とします。
セキュリティインシデント発生時には、セキュリティ機器などから発出されるアラートはあくまでもインシデント対応のきっかけにすぎず、組織内のさまざまな機器のログを追加解析し、侵入経路、影響範囲や被害内容、原因などを分析する必要があります。そのためにログを適切に取得・保存し、いつでも活用できるようにしておくことがSIEMに求められます。
IT機器が日々出力するログの量は膨大で、人手で分析するのは非現実的になりつつあります。SIEMはその作業を肩代わりし、より大量のログを迅速に分析できます。ひいてはインシデント対応に要する時間を短縮し、被害を最小限に食い止める役に立ちます。
関連リンク
詳細は、こちらをクリック
Splunkページ(https://www.macnica.co.jp/business/security/manufacturers/splunk/)
Exabeamページ(https://www.macnica.co.jp/business/security/manufacturers/exabeam/)