SIEM
定義
SIEM(Security Information and Event Management)は組織内の複数のセキュリティ製品・サーバー・ネットワーク機器からログを一元収集し、リアルタイム分析・相関分析・アラート生成を行うセキュリティプラットフォームです。単一機器のログでは見えない「複数機器にまたがる攻撃パターン」を相関ルールで検知できます(例:多数のログイン失敗→成功→機密ファイルへのアクセスを一連の攻撃として関連付ける)。Splunk・Microsoft Sentinel・Google SecOps(Chronicle)・IBM QRadarが代表的な製品で、クラウドネイティブSIEMはAIによる異常検知とXDR統合が進んでいます。有効活用にはMITRE ATT&CKにマッピングした検知ルールの整備・ログの正規化・アラートのチューニング(ノイズ削減)・SOAR(セキュリティオーケストレーション自動対応)との統合が鍵です。SIEMはSOCの中核インフラとして、脅威の検知から対応まで一元的に支援します。
詳細解説
SIEMは大量のログデータをリアルタイムで相関分析することで、個別ログでは見えない攻撃パターンを検知します。クラウドネイティブなSIEM(Microsoft Sentinel・Google SecOps)はXDR(Extended Detection and Response)との統合が進んでいます。アラートの多さによる「アラート疲れ」が課題で、AIによるノイズ削減が重要テーマです。
ポイント
- ログソース:ファイアウォール・IDS/IPS・EDR・ADなど複数ソースを集約する
- 相関ルール:複数ログイベントを組み合わせて攻撃パターンを検知する
- SOAR(セキュリティオーケストレーション)と組み合わせてアラートを自動対応
- MITRE ATT&CKマッピングでTTPベースの検知ルールを体系的に構築できる
関連用語
SIEMが登場する記事・比較
よくある質問
SIEMとは?
複数のセキュリティ製品からログを集約し、リアルタイム分析・相関分析・アラート生成を行うプラットフォーム。Splunk・Microsoft Sentinelなどが代表的。SOCの中核システム。
SIEMについて詳しく知るには?
SIEMは大量のログデータをリアルタイムで相関分析することで、個別ログでは見えない攻撃パターンを検知します。クラウドネイティブなSIEM(Microsoft Sentinel・Google SecOps)はXDR(Extended Detection and Response)との統合が進んでいます。アラートの多さによる「アラート疲れ」が課題で、AIによるノイズ削減が重要テーマです。
SIEMのポイントは?
ログソース:ファイアウォール・IDS/IPS・EDR・ADなど複数ソースを集約する 相関ルール:複数ログイベントを組み合わせて攻撃パターンを検知する SOAR(セキュリティオーケストレーション)と組み合わせてアラートを自動対応 MITRE ATT&CKマッピングでTTPベースの検知ルールを体系的に構築できる
同じカテゴリの用語(防御・対策)
利用者が求めたOAuthアプリ権限を、管理者が審査して承認・却下するための運用フロー。…
Kubernetesでリソース作成・更新リクエストを受け付ける前に、検証や変更を行う制御ポイント。…
大量のアラートや低品質な通知により、担当者が重要な警告を見逃しやすくなる状態。…
許可された対象だけを通す制御リスト。アプリ、IP、ドメイン、拡張機能、APIなどで使われる。…
個人を識別できないよう、不可逆にデータを加工すること。再識別リスクを十分に下げる設計と検証が必要。…
APIへのリクエスト回数や頻度を制限する仕組み。過負荷、乱用、認証情報攻撃、コスト増大を抑える。…
関連するレッスン
組織を守る実践的な防御策を学ぶ