SIEMとは
SIEMとは、セキュリティ情報管理(SIM)とセキュリティイベント管理(SEM)の両方に対応するセキュリティ情報・イベント管理ツールであり、セキュリティ情報の集約・相関・分析を1つのコンソールで実現します。
なぜ企業はSIEMを導入するのか
1.セキュリティツールに対する横断的な調査:社内ネットワークの保護のために、多くの企業ではファイアウォール・IDS/IPS・脆弱性スキャナー・ウイルス対策ソフトなど、複数のセキュリティツールを併用しています。攻撃の兆候をいち早く検知するためには、システムや機器のログを「個々」ではなく「横断的」に追跡することが求められます。そこで、異なるフォーマットのログを一元的に管理し、串刺し検索ができるようなツールの導入が推奨されます。SIEM製品は複数のデバイスのログを一元的に管理することができ、さらに相関的に分析することで、ネットワーク状況の可視化や不審な動きの検知に役立ちます。
2.継続的な監視:セキュリティの確保には、ファイアウォールのルールやアクセス制御リストといった設定が不可欠です。そして、これらの重要なセキュリティポリシーは設定後そのままとするのではなく、定期的に監視し、意図しない変更が加えられていないことを確認する必要があります。SIEM製品は定期的なレポーティング機能を提供しており、継続的にログを監視して、重要な構成変更や平常時と異なる不審な挙動の有無を監視します。
3.サービスデスクツールとの連携:企業は様々なツールを使用してIT運用の効率化を図ります。例えば、サービスデスクツールはITサービスやシステムに関するインシデントを管理する際に使用されます。そこで、サービスデスクツールとの連携を行い、疑わしいログが生成時に自動で適切な担当者へ割り当てることが可能なSIEM製品を導入することで、異常を検知後に速やかな調査につなげることが可能です。
ADAudit PlusのSIEM統合機能
ADAudit Plusでは、収集・解析したセキュリティイベント情報をSyslogとして転送することにより、SIEMツールと連携して動作します。ADAudit PlusのSIEM統合機能では、転送に使用するプロトコル・Syslog標準規格やデータ形式を自由に選択することができ、既存のSIEMツールとの柔軟な連携を可能にします。