web-dev-qa-db-ja.com

SIEMシステム、利点は何ですか?

会社の各人には一意のユーザー名/パスワードがあり、誰も彼のユーザー名/パスワードでログインするべきではありません。

今日仕事に来たすべての人のリストを含むログを検査し、ログインしているユーザー(ADまたはどこからでも)のリストを検査して、ログに記録されている人がいるかどうかを見つけるプログラムが欲しい-そこにあるべきではないログ(最初のログにないため)。プログラムがそのような矛盾を発見した場合、システムを担当する男性に直ちに報告する必要があります。

上記のマニフェストは私の上司が望んでいるものであり、SIEMシステムがその能力を私たちに与えることができると彼は考えています。これは、ログファイルの相互参照の1つの例にすぎません。

現在、多くのシステム(多くの会社からの)があり、それぞれが会社のさまざまな側面を検査しています(たとえば、ファイルサーバーから、ファイルを変更した内容と変更者、ファイルの量などに関するレポートを提供するシステム)発見した異常、パソコン等のUSB挿入をチェックするシステム)。相互参照レポートを生成できるように、すべてのレポートをフィードできるシステムを見つけたいのですが。

[〜#〜] siem [〜#〜][〜#〜] sim [〜#〜] のWikipediaページから私が理解している限り- [〜#〜] sem [〜#〜] )、このシステムはその能力を私たちに与えるはずです。

私の質問は、私はそこにある 86種類のSIEMシステム の1つを選択し、最後に組織で実装する必要があるため、どのシステムに適合するのかについてのアドバイスをお願いします私の上記のニーズに。結局のところ、誰かがそのシステムを操作する必要があり、意味のあるインターフェースや意味のあるレポートがないと結果が得られないので、可能な限り簡単に操作できるはずです。が欲しいです。

上記に加えて、どのコンポーネント(コンピュータクライアントエージェント、サーバーエージェントなど)を準備する必要があるかを知りたいです。

siem
16
Hanan N.

あなたの質問の情報だけでは、86のリストを絞り込むのは簡単ではありません。トップネームのかなりの数を知っているので、すばやくフリックしました。いくつかのポイント:

  • SIEMソリューションはallログ相関タイプのアクティビティを実行できる必要があります
  • ほとんどには、デバイス挿入ロギングとTripwireタイプチェックが含まれます(または、Tripwireまたはその他のSYSLOGログを組み込むことができます)
  • それらのほとんどは合理的なユーザーインターフェースを持っています
  • ほとんどはスクリプト可能なコマンドラインインターフェースを持っています

あなたがすべきことは、あなたがしたい/必要とするものをリストアップし、それらのアイテムを選択することです。 10未満に減らすことができれば、比較テストを実行できる可能性がはるかに高くなります。

7
Rory Alsop

私は個人的に Splunk を使用しています。堅牢な検索/相関/ダッシュボード機能があります。さらに、Pythonスクリプトをネイティブに実行できるため、カスタムソースから独自のデータを生成できます。

たとえば、誰が作業しているのかというリストとログインしているユーザーのリストを比較するのは簡単な検索です。

Splunkは私にとって非常に強力で便利です。さまざまなログ、レポート、メールなどの45分の手動チェックを、PDF形式の自動生成メールに削減しました。

5
schroeder

Splunkには、非常にエキゾチックな学習曲線があり、基本的な検索は文字通り数分で利用できるため、複雑な検索を構築する方法を理解するのに1日かかりました。チャートのセット(タイムライン、内訳、ゲージ)をさらに2日。その後、保存された検索を作成し、そこから作業する方が理にかなっていることに気付きました(より簡単に編集できます)。

また、設定ファイル(特に、transforms.conf)を確認することをお勧めします。

3
WoJ

私は5年間SIEM事業に従事しているので、これまでのところ、私が主張することはほとんどありません。多くの場合、SIEMは予算があり、セキュリティに関する意識を高めたいため、SIEMは会社の政治的決定です。通常、それは高価な製品を購入し、最終的にそれを無視することになります。 SIEMで私が探しているのは、各企業が独自のルールとセキュリティガイドラインのセットを持っているため、それらを拡張するオプションです。これを念頭に置いて、SIEMのほとんどを取得するには、次のものが必要です。

  • オープンAPI

  • インデクサーを作成するオプション

  • カスタムレポートを作成するオプション

あまり時間をかけたくないシステム管理者がいる場合は、次の情報も必要です。

  • セキュリティルールとインデクサーの定期的な更新

とにかく、これまで4年間使ってきた独自の製品として OTUS SIEM を提案しているので、私がやっていることが公正かどうかはわかりませんが、これまでにユーザーエクスペリエンスと彼らがどの期待から始め、最終的に何に落ち着くのかを知ってください。

1
damir

他の回答では、組織のSIEMソリューションを完成させる際に探す必要のある機能をカバーしているため、実装についていくつかの重要な点を追加したいと思います。

上司は従業員に関する特定の情報を必要としており、SIEMが必要なタスクを実行できると考えているときに正しいと述べました。ただし、SIEMの実装に進む前に、他の多くの要因を考慮する必要があります。 SIEMの実装は、上司に必要な種類のレポートを提供するように設計することはできません。 SIEMの主な仕事は、セキュリティインシデントを検出して報告することです。効率的な方法でこれを行うには、まず主要な資産とその保護に必要な量を特定する必要があります。

SIEMシステムを使用して、組織でのポリシー準拠を可能にする例を見てきました。これは、SIEM-セキュリティインシデント検出の主要な目的を無効にすることがあります。セキュリティインシデントを見落としながらポリシーのコンプライアンスを維持できるようにする構成でSIEMをオーバーロードすることは、最終的にやりたいことではありません。

0
Shurmajee