セキュリティ・インテリジェンスとアナリティクス
SIEMとは
近年、ウイルスによる攻撃は、高度化・複雑化・長期化しており、攻撃側の予算規模も大きくなっています。ウイルス検知ソフトやファイアウォール、IDS/IPSをすり抜ける技術も利用されており、インシデントを100%完全に未然に防ぐことは以前に比べて一段と困難な状況となっています。
このような中、インシデントによる被害を極小化するには、第一にインシデントの発生を速やかに検知することが重要となります。
そのためにはまず、様々な機器が生成するログを一元的に集中管理するとともに、アラートや様々なログを照らし合わせて相関分析を行う、統合的なログ管理システムが必要となります。これらの一連の作業をリアルタイムかつ自動的に行うことで、脅威を早期発見し、警告を発する仕組みがSIEMです。
このような中、インシデントによる被害を極小化するには、第一にインシデントの発生を速やかに検知することが重要となります。
そのためにはまず、様々な機器が生成するログを一元的に集中管理するとともに、アラートや様々なログを照らし合わせて相関分析を行う、統合的なログ管理システムが必要となります。これらの一連の作業をリアルタイムかつ自動的に行うことで、脅威を早期発見し、警告を発する仕組みがSIEMです。
QRadarとは
QRadarは、ネットワークに分散するさまざまな機器のイベントログ、セキュリティログに加え、ネットワークのアクティビティーと振舞いを統合し、リアルタイムに相関分析を行うことで脅威を検知し、ビジネスへの影響に応じた優先順位を付けてアラートします。従来では、膨大なログの中から人手では見つけることができなかった攻撃や、機器単体のログからは検出できなかった攻撃を検知します。
アラートが上がった攻撃については、攻撃のターゲット、攻撃された時間、資産の価値、脆弱性の状態、問題となるユーザーの ID、攻撃者のプロファイル、アクティブな脅威、過去の攻撃の記録などの詳細情報等をドリルダウンして確認することが可能となり、セキュリティ担当者は即座に対策の検討/実施が行えます。
QRadarの特長
膨大なログ情報から、潜在的な脅威や 不正を解析・予測
人手では分析が困難な膨大な情報を相関分析をしながらルールに基づいて絞り込んでいき、本当に疑わしいインシデントを自動的に検出します。
社外からの攻撃や社内の不正状況をリアルタイムに可視化
攻撃のターゲット、攻撃された時間、資産への影響が瞬時にわかるため、迅速な対策を可能にします。
知見を生かしたルール、検索パターン を製品に装備
QRadarは世界有数のセキュリティ研究機関X-Force®を有するIBMの知見が盛り込まれた350種類以上のルールと1000種類以上の検索パターンとレポートを提供しています。
従来のログ管理製品導入時に行っていた相関ルールの検討/設計/作成/検証の作業を大幅に削減できます。
振る舞い検知 | DB接続が異常に多いホスト、海外からのリモート接続、複数のFWでDenyされるホスト、高いイベント発生率 |
---|---|
認証 | 連続したログイン失敗後のログイン成功、退職者のアカウントでのログイン失敗、スキャン後のログイン成功 |
Exploit | 検出された攻撃に対して脆弱性があるホスト、攻撃の後にFW許可、攻撃後15分後以内の疑わしい挙動イベント |
D/Dos | 一定時間に大量のパケットを送信しているローカルのホスト、数千以上の外部IPアドレスから社内への通信の発生 |
ボットネット | 潜在的なボットネットへの接続、既知のボットネットC&Cとの通信 |
コンプライアンス | 監査サービスへの変更、信頼度の低いネットワークから高いネットワークへの通信 |
データベース | 複数の場所からの同時ログイン、リモート・ホストからのグループの設定変更 |
マルウェア | リモートへのマルウェア通信の検出、不正なDNSサーバとの通信 |
ポリシー | P2Pの利用、脆弱性が残っているホストの通信、平文通信プロトコルの利用 |
調査 | リモートからのTCPスキャン、ローカル・ネットワーク内でのDNSスキャン |
疑わしい挙動 | コンシューマー機器検出、短時間の特定ポートによる複数ホストへの通信 |
VMware | VMware環境における異常性の高いゲストOSの挙動、イベントの監視(ゲストOSの作成、削除、クローン、スナップショット監視) |
ワーム | 一定時間内のSMTP通信、一定時間内に多数のホストとの通信 |
X-Force® | X-Force®の脅威情報(IPレピュテーション)に適合するIP通信の検知(ボットネット、AnonymousProxyなど) |
QRadar製品群
従来SIEM製品との違い
従来のSIEM製品では、イベントログやセキュリティログを蓄積、管理、分析を行いますが、QRadarはイベントログやセキュリティログに加え、ネットワークトラフィック情報をリアルタイムに収集し、自動的に正規化し、ルールに基づいて分析を行います。
このソリューションに関するお問い合わせ
関連情報
関連ソリューション
エクサを知る
お問い合わせ