創屋ぷれす

SIEM(シーム)

「SIEM」について調べたので書いていきたいと思います.

〇SIEM(シーム)とは
SIEMはSIMとSEMを組み合わせたものです.
SIEM = SIM(Security Information Management) + SEM(Security Event Management)

SIMとSEMとは
SIM・・・統合ログ管理のうち,セキュリティ領域のログを対象とした仕組み
SEM・・・様々な機器からログを収集・蓄積し,リアルタイムに分析を行う仕組み

それを組み合わせたSIEMは
SIEM・・・セキュリティに関する統合ログ管理の機能を持ち,リアルタイム分析を行う仕組み
             異常を検知した際にはアラートを発して,レポート機能により異常状況を視覚化できる
というものです.

〇何が出来るか
以下のことが出来るようです.
・セキュリティイベントログの収集
・ログデータの集約と正規化
・ログデータの相関分析
・セキュリティインシデントの集中管理

〇IDSとの違い
似たようなものとしてIDSがあります.
IDSは,定めたルールを元に不正と思われるパケットに対してアラートを発信します.ただ,他サービスのログと併せて分析することはできません.
その点,SIEMではファイアウォール,プロキシサーバー,IDSといったネットワーク・セキュリティ機器などからログを収集し,複数のログを組み合わせて分析を行うことができます.

〇デメリット
どのように分析を行うかはユーザーが決めないといけないので,そこにコストがかかることがデメリットのようです.

〇製品
McAfeeの製品が有名なようです.
また,OSSのOSSIMと呼ばれるSIEMがあるようです.

Comments are closed.