IDSとファイアウォールログはどのように集約され、集約されたログをSIEMにフィードしますか？

Question

私はSIEMツールを勉強しています。

ファイアウォールログは、IDSログやウイルス対策ログとは異なります。

ログの集計はどのように実行できますか？

schroeder · Accepted Answer

ログは同じである必要はありません。同じ種類の情報に関するデータをログに記録する必要はありません（ただし、役立つ場合もあります）。集約とは、単に情報をまとめることです。

SIEMでは、ユーザー、IP、ドメイン、サービスなどの識別可能なエンティティが最も懸念されます。ファイアウォール、IDS、アンチウイルスのログにはこれらの情報が含まれ、SIEMが情報をつなぎ合わせることができます。

例えば：

IDSログ：午後12時の送信元IP 10.10.10.9から宛先IP 10.10.10.10への既知の悪意のあるトラフィックパターン
ウイルス対策ログ：ユーザーSun-ITがIP 10.10.10.10のウイルス対策スキャンを無効にした午前11:50
ファイアウォールログ：ソースIP 10.10.10.10が午後12:05に大量のデータをネットワークから送信しました

アグリゲーターのロジックは、データフィールドを引き出して、タイムラインとロジックフローを提供します。

ユーザーのSun-ITは10.10.10.10でアンチウイルスを無効にし、その後10.10.10.9から悪意のあるコンテンツが送信され、その後10.10.10.10が組織外に大量のデータを送信しました。
10.10.10.9とSun-ITが疑わしい行為者（意思決定支援ステップ）
10.10.10.9、10.10.10.10を検疫し、Sun-ITの資格情報をリセットし、10.10.10.9およびSun-ITを科学的に調査します（これは自動化/オーケストレーションの手順です）。

ログ自体は、同じ情報を記録したり、同じ形式であったりする必要はありません。データアグリゲータがデータポイントを識別してつなぎ合わせるために、データフィールドは十分に認識できる必要があります。

Sayan · Answer

ログが集約/保存される方法は、SIEMを展開したユースケースと展開アーキテクチャによって異なります。

典型的なSIEMは以下のユースケースを提供します：

ログ収集
ログの保持
ログ分析
イベント相関
法医学
ITコンプライアンス
リアルタイムのアラート
ユーザーアクティビティの監視
ファイルの整合性の監視
等。

展開のシナリオは、展開の規模/範囲によっても異なり、ログの集計方法もこれらのシナリオによって異なります。たとえば、次のようなシナリオが考えられます。

ログコレクターをソースの場所と中央ログサーバーに展開してログを保存します。次に、セキュリティ関連のログのみをSIEMデータベースに送信します-必要なログのみがSIEMデータベースに保存され、残りはLog Centralログサーバーに保存されます
ログ全体をSIEMデータベースに収集、保存、処理します-ログ全体がSIEMに保存されます

ログと処理を収集するSIEMは、それらのほとんどが一般的に利用可能なデバイス/ログソース用の独自のコネクター/テンプレート（またはサポートされているログ形式）を持っているため、各SIEMサプライヤーに固有です。すべてのSIEMベンダーは、サポートされているデバイスのリストと、このリストにないデバイスを手動で接続するためのリストを提供します。SIEMサプライヤーは、独自のコネクターの作成に役立つ場合があります。

SIEMベンダーがサポートするデバイスリストのサンプルについては、次のリンクを参照してください（コネクタはすぐに利用できます）。

https://www.scribd.com/document/60264371/LogRhythm-Supported-Products-List

ほとんどのSIEMサプライヤーは、独自のログ保存方法を持っています（データ構造とテーブル構造は異なる場合があります）。それらのほとんどは、受信したログを処理し、コアプラットフォームが理解できる構造に変換します。

上記のコネクタ/テンプレートは、ネイティブソース形式をSIEM理解可能な形式に変換するために使用されます。