SIEMとは?SIEMでメジャーなQRadar と Splunkの違いに関してまとめました。
最近ではOS基盤を新規に導入すると、運用フェーズではそのサーバの動作ログや認証ログをSIEMへ送付して相関分析する運用が多くなりました。SIEM上でログを分析させるためです。
(1)一台、一台のログ分析では気が付かない脅威に関しても、SIEM側に寄せて分析することにより発見されることもあるためです。例えばとあるユーザの認証失敗ログが出力されていたとします。この失敗ログが多数のサーバで同時に発生している場合は、何か不正なbotがネットワーク内に侵入して活動しているのではと気が付くことが可能となる訳です。
(2)また「ブラックリストIPアドレス」のようなリストもあります。外部からサーバにアクセスしてきているIPアドレスをチェックし、「ブラックリストIPアドレス」に合致していなかチェックすることも重要です。これもSIEMの役割の一つです。
QRadar と Splunkの違いとは?
