SIEMソフトウェアとは
セキュリティ情報およびイベント管理(SIEM)ソフトウェアは、企業のセキュリティ専門家に洞察とIT環境内での活動の実績。
SIEMテクノロジーは10年以上存在しており、当初はログ管理の分野から発展してきました。ログとイベントデータをリアルタイムで分析して脅威の監視、イベントの相関関係、インシデント対応を提供するセキュリティイベント管理(SEM)と、ログデータを収集、分析、報告するセキュリティ情報管理(SIM)を組み合わせました。
SIEMの仕組み
SIEMソフトウェアは、ホストシステムやアプリケーションからネットワークやセキュリティデバイスなど、組織のテクノロジーインフラストラクチャ全体で生成されたログデータを収集して集約します。ファイアウォールとウイルス対策フィルター。
次に、ソフトウェアはインシデントとイベントを識別および分類し、それらを分析します。このソフトウェアは、2つの主な目的を果たします。それは、
- ログインの成功と失敗、マルウェアアクティビティ、その他の悪意のあるアクティビティなど、セキュリティ関連のインシデントとイベントに関するレポートを提供することです。
- アクティビティが所定のルールセットに対して実行され、潜在的なセキュリティ問題を示していることが分析で示された場合、アラートを送信します。
より優れたコンプライアンス管理に対する企業のニーズにより、このテクノロジーの早期採用は、コロラド州ボルダーに本拠を置く市場調査およびコンサルティング会社であるEnterprise Management Associates(EMA)のリサーチディレクターであるPaulaMusich氏は述べています。
「監査人はコンプライアンスを確認する方法を必要としていました。満たされているかどうかにかかわらず、SIEMは、HIPPA、SOX、PCIDSSなどの義務を満たすために必要な監視とレポートを提供しました」と彼女は述べています。セキュリティ基準。
ただし、例関係者によると、近年、より高度なセキュリティ対策に対する企業の需要がSIEM市場の拡大を後押ししています。
「現在、大規模な組織は通常、セキュリティオペレーションセンターを立ち上げるための基盤としてSIEMを検討しています」とMusich氏は言います。
分析とインテリジェンス
セキュリティ運用のためのSIEMソフトウェアの使用の背後にある主な推進要因の1つは、上の多くの製品に含まれる新しい機能にあります。
「現在、多くのSEIMテクノロジーは、従来のログデータに加えて、脅威インテリジェンスフィードを取り入れています。また、ネットワークの動作とユーザーの動作を監視するセキュリティ分析機能を備えたSIEM製品が複数あります。 Musichは、アクティビティが悪意のあるアクティビティを示しているかどうかについて、より多くのインテリジェンスを提供します」と説明します。
実際、テクノロジー調査会社のGartnerは、2017年5月の世界的なSIEM市場に関するレポートで、SIEMツールのインテリジェンスを次のように述べています。 SIEM市場は動いている
Gartnerのレポートはさらに、ベンダーが機械学習、高度な統計分析、その他の分析手法を自社製品に導入している一方で、一部のベンダーは実験を行っていると述べています。人工知能とディープラーニング機能。
Gartnerによると、ベンダーは、より正確な検出率をより速いペースで提供できる機能などの進歩を売り込んでいます。ただし、Gartnerは、これらの機能が組織に新たな利益をもたらすかどうか、またはどれだけの利益をもたらすかについて、企業はまだ明確になっていないと指摘しています。
ForresterResearchの主任アナリストで元取締役会会長のRobStroud ITガバナンスに焦点を当てた国際的な専門家協会であるISACAは、そのようなテクノロジーに有望であると述べています。
「AIと機械学習を使用すると、推論とパターンベースの監視とアラートを行うことができますが、本当のチャンスは予測的復元。これは現在の市場の移行です。監視ツールから修復の提案に移行しています」とStroud氏は述べ、SIEMソフトウェアが将来的に修復を自動化できることさえ期待していると付け加えました。
ガートナーによると、企業内のSIEM
SIEMソフトウェアは、世界中の企業セキュリティに費やされた総額のごく一部しか占めていません。Gartnerは、2017年の企業セキュリティへの世界的な支出をSIEMソフトウェアで約984億ドルと見積もっています。約24億ドルを獲得しています。ガートナーは、SIEMテクノロジーへの支出がわずかに増加し、2018年には26億ドル近く、2021年には34億ドルになると予測しています。
SIEMソフトウェアは主に、コンプライアンスが実施されている大規模な組織や公共企業で使用されています。アナリストによると、規制への準拠は依然としてこのテクノロジーの使用における強力な要因です。
一部の中規模企業もSIEMソフトウェアを使用していますが、中小企業はこのテクノロジーを必要とせず、投資したくない傾向があります。アナリストによると、年間コストは数万ドルから10万ドル以上になる可能性があるため、独自のソリューションを購入することで価格が決まることがよくあります。さらに、中小企業には、SIEMソフトウェアを継続的に維持するために必要な人材を雇用する能力がありません。
とはいえ、アナリストは、一部の中小企業がSIEMをそのサービスを提供するSMBクライアントを販売するのに十分な規模のアウトソーシングプロバイダーを介したサービスとしてのソフトウェアの提供。
現在、大企業のユーザーは、機密性のために常にオンプレミスでSIEMソフトウェアを実行する傾向があります。システムを通過するデータの一部。グラクソ・スミスクラインの米国セキュリティオペレーションセンターの主任アナリストであり、セキュリティ組織であるSANS Instituteのインストラクターであるジョンハバードは、次のように述べています。専門家。
ただし、SIEM製品内の機械学習と人工知能の機能が向上するにつれて、一部のアナリストは、SIEMベンダーがハイブリッドオプションを提供し、一部の分析がクラウドで実行されることを期待しています。 。
「クラウドを介した収集とキュレーションおよびインテリジェンスが見られます。ベンダーは組織よりも多くのデータを収集できるため、このような状況が発生しています」とStroud氏は言います。
SIEMツールとベンダーの選択
SIEM市場には、いくつかの主要ベンダーが拠点を置いています。世界的な販売、特にIBM、Splunk、HPEで。 Alert Logic、Intel、LogRhythm、ManageEngine、Micro Focus、Solar Winds、Trustwaveなど、少なくともいくつかの主要なプレーヤーがいます。
Musichは、企業は自社の目的に基づいて製品を評価し、どれを決定する必要があると述べています。彼らのニーズを最もよく満たすでしょう。主にコンプライアンスのためにこのテクノロジーを必要とする組織は、SIEMを活用してセキュリティオペレーションセンターをセットアップすることを望む組織よりも、レポートなどの特定の機能を高く評価します。
一方、彼女によると、ペタバイトのデータを持っている組織は、ニーズをよりよく満たすことができるベンダーを見つけるでしょうが、データが少ない組織は他のオプションを選ぶかもしれません。同様に、卓越した脅威ハンティングを望んでいる企業は、他の人が必要としない可能性のある最高のデータ視覚化ツールと検索機能を探す可能性があります。
セキュリティリーダーは、他の多くの要因を考慮する必要があります。 Musich氏によると、SIEMベンダーを評価する際に、特定のツール、システム内に保持するデータの量、および支出したい量をサポートします。たとえば、HPEのArcSight ESMは、多くの機能を備えた成熟したツールですが、かなりの専門知識が必要であり、他のオプションよりも高価です。
「常にさまざまな機能があります。」 Musich氏はさらに、「運用のセキュリティが高度になるほど、使用しているツールをより有効に活用できるようになります」と付け加えています。
背後にある2つの主要な推進要因に応じて、さまざまな機能要件があります。 SIEMの選択、ハバード氏は、多くの組織が2つの異なるシステムを選択し、1つはコンプライアンスに重点を置き、もう1つは脅威の検出に重点を置いていると述べています。
「コンプライアンスのために多くを収集する可能性があります、しかしそれは脅威検出の使用のためにそれを遅くする可能性があります。したがって、脅威検出のための戦術的なSIEMがあります」と彼は言います。
SIEMの価値を最大化する
それでも、ほとんどの企業は引き続き使用しています主に何が起こったかを追跡および調査するためのSIEMソフトウェアは、情報seのシニアアナリストであるEricOgren氏は述べています。 451Researchのキュリティチーム。 Ogren氏は、このユースケースは、侵害の脅威の高まりと、リーダーや組織がそのようなイベントで直面する深刻なフォールアウトによって引き起こされていると述べています。
Ogren氏は次のように述べています。「企業がハッキングされた場合、CIOは取締役会に何が起こったのかを尋ねて、「私が知っているならくそー」と言ってもらいます。彼らは「ログデータを調べて何が起こったのかを調べています」と言いたがります。」
同時に、 、現在、多くの企業がそれを超えており、検出とほぼリアルタイムの応答のためのテクノロジーをますます使用していると、Ogren氏は言います。
「今のゲームは、どれだけ速くできるかです。検出しますか?」彼は、進化する機械学習機能が、SIEMシステムが異常で潜在的に悪意のあるアクティビティをより正確に特定するのに役立っていると付け加えています。
そのような進歩にもかかわらず、組織は利益を最大化する能力に挑戦し続けています。専門家によると、既存のシステムからも得られる価値です。
それにはさまざまな理由があります。
まず、SIEMテクノロジーはリソースを大量に消費し、経験豊富なスタッフが実装、保守する必要があります。そしてそれらを微調整します–すべての組織がまだ完全に投資しているわけではないスタッフ。
「多くの組織は、テクノロジーが必要なものであることを知っているが、スタッフがいないか、スタッフに必要なトレーニングを受けていないため、テクノロジーを導入しています。ストラウドはそれを使用するために」と述べています。
SIEMソフトウェアは、最大の歩留まりを得るために高品質のデータも必要とします。「データソースが大きいほど、データソースが良くなり、外れ値がよく見えます」とストラウドは説明します。それでも、組織は適切なデータの定義と提供に苦労し続けています。
強力なデータとSIEMテクノロジーを実行する洗練されたチームがあっても、ソフトウェア自体には限界があるとアナリストは言います。彼らは、許容できるアクティビティと正当な潜在的な脅威を検出するのは完全に正確ではないことを指摘しています。この不一致は、多くの展開で多数の誤ったアラートにつながります。
このシナリオでは、強力なガバナンスと効果的な手順が必要です。セキュリティチームがアラートの過負荷に屈しないように、企業内で。
ストラウドによると、セキュリティの専門家は、膨大な量の誤ったアラートを追跡することから始めることがよくあります。洗練された組織は、ソフトウェアが通常のイベントを理解し、それによって誤ったアラートの数を減らすように、ツールを時間外に調整することを学びます。
しかし、一方で、一部のセキュリティチームはそれを軽視するだろうと彼は言います代わりに、習慣から誤ったアラートをさらに調整します。これは、実際の脅威を見逃すリスクがあります。
Musichによると、より洗練された組織は、コンテキストのプルなど、より日常的な機能を自動化するスクリプトも作成します。さまざまなソースからのデータを使用して、アラートの全体像を把握し、調査と実際の脅威の特定を迅速化します。
「セキュリティ運用には、適切なプロセスと成熟度が必要です」と彼女は付け加えます。それ自体がツールであるだけでなく、他のテクノロジーと統合され、アクティビティをガイドするための全体的なプロセスを備えていること。」
そのような動きだと彼女は言います。スタッフが低レベルの活動に費やす時間を削減できます代わりに、企業のセキュリティ体制全体を高める価値の高いタスクにエネルギーを振り向けることができます。
SIEMの詳細:
- ArcSightとSplunk?両方が必要な理由
- SIEMの評価基準
- SIEM:購入する前に尋ねる14の質問
- ログ管理の基本
- SIEM -as-a-serviceは、中小規模の企業のニーズに対応します