web-dev-qa-db-ja.com

SIEMおよびセキュリティ分析

過去数週間、「SIEM」と「Security Analytics」という2つの用語に頻繁に遭遇しましたが、残念ながらその違いはまだわかりません。

これらの用語について私が行ったいくつかの調査によると、SIEMはさまざまなソースからのデータを集約し、標準化された方法でそれらを手動でデータをふるいにかけるセキュリティアナリストに表示します。高度なSIEMは、ビッグデータテクノロジーを使用して、収集したデータと比較できるユーザーの行動を識別しています。最後の部分は、用語「セキュリティ分析」と同じ定義のようです。

Security Analyticsツールは高度なSIEMですか、それとも完全に異なるものですか?

terminologysiem
1
sherhol

SIEMはツール、オブジェクトです。 Analyticsはアクションであり、動詞です。ツールには、アクション(分析など)の機能を含めることができます。アクションはツールではありません。

分析用のツールがアラートを集約または表示しないことは妥当です。

1
schroeder

SIEMにより、セキュリティアナリストはセキュリティ分析を実行できます。 SIEMは以下を実行します。

  1. 受信したログメッセージの解析と正規化。

    たとえば、ファイアウォールベンダーAはキーsrc_ipを使用してソースIPアドレスを記録し、ファイアウォールベンダーBはログメッセージでキーSOURCEを使用します。ログメッセージから抽出されたプロパティを標準化すると、検索とその後の処理が簡素化されるだけでなく、ログメッセージからデータを抽出する正規表現を1回だけ評価する必要があるため、効率的です。

  2. 正規化されたログメッセージに対して構成可能なテストを実行することにより、自動化されたセキュリティ分析。

    たとえば、プリントサーバーが外部IPアドレスにビーコンを送信するなど、侵害の兆候をテストして警告します。

  3. セキュリティアナリストが手動でセキュリティ分析を実行できるようにします。レポートおよびコンプライアンス監査。

    SIEMを使用すると、ログメッセージに記録されたアクティビティを簡単に検索して視覚化できます。これには、正規化されたログメッセージを効率的に検索可能な状態で保存することも含まれます。これは、大量のデータのために困難です。

あなたの質問では、「ユーザーの行動」について言及しています。 User Behavior Analytics(UBA)がSIEMの本質的な部分であるかどうかは議論の余地があると思います。 Micro Focus ArcSightとIBM QRadar SIEMがUBAを追加したのは2、3年前のことです。

0
Quartararo