SIEM
定義
SIEM(Security Information and Event Management)は組織内の複数のセキュリティ製品・サーバー・ネットワーク機器からログを一元収集し、リアルタイム分析・相関分析・アラート生成を行うセキュリティプラットフォームです。単一機器のログでは見えない「複数機器にまたがる攻撃パターン」を相関ルールで検知できます(例:多数のログイン失敗→成功→機密ファイルへのアクセスを一連の攻撃として関連付ける)。Splunk・Microsoft Sentinel・Google SecOps(Chronicle)・IBM QRadarが代表的な製品で、クラウドネイティブSIEMはAIによる異常検知とXDR統合が進んでいます。有効活用にはMITRE ATT&CKにマッピングした検知ルールの整備・ログの正規化・アラートのチューニング(ノイズ削減)・SOAR(セキュリティオーケストレーション自動対応)との統合が鍵です。SIEMはSOCの中核インフラとして、脅威の検知から対応まで一元的に支援します。
詳細解説
SIEMは大量のログデータをリアルタイムで相関分析することで、個別ログでは見えない攻撃パターンを検知します。クラウドネイティブなSIEM(Microsoft Sentinel・Google SecOps)はXDR(Extended Detection and Response)との統合が進んでいます。アラートの多さによる「アラート疲れ」が課題で、AIによるノイズ削減が重要テーマです。
ポイント
- ログソース:ファイアウォール・IDS/IPS・EDR・ADなど複数ソースを集約する
- 相関ルール:複数ログイベントを組み合わせて攻撃パターンを検知する
- SOAR(セキュリティオーケストレーション)と組み合わせてアラートを自動対応
- MITRE ATT&CKマッピングでTTPベースの検知ルールを体系的に構築できる
関連用語
同じカテゴリの用語(防御・対策)
内部ネットワークとインターネットの間に設ける緩衝ゾーン。WebサーバーやメールサーバーなどをDMZに配置することで、外部…
エンドポイント(PC・サーバー・スマートフォン)上の挙動をリアルタイム監視し、高度な脅威を検知・調査・対応するセキュリテ…
ネットワークやホストへの不正アクセス・攻撃を検知して管理者に通知するシステム。シグネチャベースと異常検知ベースがある。検…
侵害の痕跡を示す証拠。不審なIPアドレス・ドメイン・ファイルハッシュ・レジストリキー・ネットワークパターンなどが含まれる…
IDSの機能に加え、検知した攻撃をリアルタイムに自動遮断するシステム。インラインに設置され、悪意のあるトラフィックをブロ…
セキュリティ監視・インシデント検知・対応を24時間365日担当する組織・施設。SIEM・IDS/IPS・脅威インテリジェ…
関連するレッスン
組織を守る実践的な防御策を学ぶ