翻訳者注:2017年のオリジナルドキュメントには、24のSIEMソリューションと関連技術の概要も記載されています。 さらに、 2014年 、 2015年 、および2016 年のGartnerレポートをお勧めします。
セキュリティ情報とイベント管理は、すべてのITシステムのログファイルから情報を収集、正規化、分析、および相関させるための複雑で高価なソリューションですが、その操作の結果は適切に使用された場合、傑出しています。 Solutions Reviewポータルでは、自分用の5つの質問と潜在的なサプライヤ用の5つの質問のリストを作成し、組織での実装に適したSIEMシステムをより意識的に選択できる回答を収集します。
SIEMを選択する前に自分のチームに5つの質問
質問番号1。 SIEMをどのように構成して使用しますか?
SIEMは完全に専門家の手でのみ動作し、大規模な組織にインストールする場合、8人の専任従業員のチームが必要になる場合があります。 係員のいないこのような複雑なシステムは、無人の要塞に似ています-一見難攻不落ですが、攻撃者に干渉しません。 SIEMは情報セキュリティ部門に取って代わるものではありませんが、重要な結果を達成するには高度な資格を持つ専門家を必要とするツールです。
組織がSIEMを使用できることを確認してください。 必要なリソースとスタッフは利用可能ですか? 新しい従業員を雇用して訓練できますか? 「いいえ」の場合、サードパーティのサービス組織(インテグレーターやMSSP)のサービスを検討するのがおそらく最善のソリューションです。
質問番号2。 私の組織はSIEMに何を期待していますか?
これは当たり前のように思えますが、SIEMまたは分析セキュリティシステムを選択する際の要件を知っておく必要があります。 システムのテストと評価のプロセスを開始する前に、ビジネスおよびセキュリティ部門の要件に優先順位を付けます。 どのシステムがログのソースになりますか? リアルタイムのイベント収集は必要ですか? すべてのログを収集する必要がありますか、それとも重要なサブシステムのみから収集する必要がありますか? アーカイブする必要があるものとその期間 収集されたデータは調査にどのように使用されますか? 検索の脆弱性? 監査とコンプライアンスチェック?
質問番号3。 完全なソリューションが必要ですか、それともログ処理システムで十分ですか?
SIEMソリューションの機能は印象的ですが、ビジネスにとっては高価な喜びであり、さらに保守が困難です。 「最もクールな」システムを見て、「クールな」ユースケースの記述/取得方法(スクリプト、ルール、視覚化)についてまだ考えていない場合は、アプローチを再検討する必要があります。
たとえば、セキュリティ標準への準拠に関する多くの要件は、「シンプルな」ログ管理システム(収集、保存、分析、検索機能)で簡単に満たすことができます。 したがって、メインタスクがログ処理であり、セキュリティイベントの相関ではない場合、過剰なソリューションを購入しないでください。
質問番号4。 従来のSIEMまたはビッグデータのセキュリティ分析が必要ですか?
大量のデータを処理し、隠されたパターンを検索するシステムは、SIEM市場で太陽の下でその地位を獲得しています。 これらは非常に効率的なシステムですが、さらに複雑です。 したがって、十分な資金と成熟したスタッフを配置した情報セキュリティ部門を持つ企業にのみ「厳しい」のです。そのような状況では、彼らはすべての強みを示すことができます。
注意-会社にSIEMを圧倒しないリスクがある場合、ビッグデータセキュリティ分析がうまく機能する可能性はさらに低くなります。 ガートナーのアナリスト、アントン・チュバキンは、「投資を正当化する機会がほとんどない場合、ビッグデータの魅力にお金を払わないこと」を勧めています。
質問番号5。 システムの購入と構成にどれくらいのお金を費やすことができますか?
深刻なSIEMには深刻なお金が必要です。 これには、製品自体のライセンス(および場合によっては統合および構成サービス)のコスト、関連するITインフラストラクチャ(データベース、ストレージシステムなど)のコスト、およびスタッフトレーニングのコストが含まれます。 総コストは、指定されたパラメーターに応じて、数十万ドルに達します。
保存するオプションとして、著名なメーカーからのSIEMの切り捨てられたバージョンまたはニッチプレーヤーからの本格的で安価なバージョンのSIEMを検討できます。 高度な機能は使用できませんが、情報セキュリティ部門が直面しているSIEMのほとんどのタスクを解決できます。
選択したSIEMとサプライヤの可能性に対する5つの質問
質問番号6。 製品は、IS規格および監査のコンプライアンス要件をどのようにカバーしますか?
さまざまなIS標準の要件を満たすタスクは、SIEMを取得する最も一般的な理由の1つです。 そのため、HIPAA、PCI DSS、SOXなどの最も一般的な標準に準拠した監査とレポート作成をサポートするソリューションのほとんどは、すぐに使用できます。 会社は、SIEMによるこのような自動レポートを使用して時間とリソースを大幅に節約しますが、まず、必要なレポートが配信中であり、自分に合っていることを確認してください。 すぐに使用できる他の事前設定レポートは何ですか? 独立調整の可能性は何ですか?
質問番号7。 展開と構成に関するベンダーの専門知識は何ですか? スタッフトレーニング?
SIEMのような複雑なシステムの実装に失敗するリスクはかなり高くなります。 2014年のレポートで、ガートナーのアナリストOlifer Rochfordは、顧客の20%から30%が実装結果に不満を抱いていると述べました。 また、正常に展開されると、SIEMシステムは、資格のあるセキュリティ担当者が毎日作業する必要があります。 ソリューションを実装するとき、および必要に応じて従業員をトレーニングするときに提供できるサポートをサプライヤーに問い合わせます。
質問番号8。 このSIEMはクラウドとビッグデータプラットフォームで動作しますか? つまり 今日購入したソリューションは、明日購入したシステムで動作しますか?
クラウド(ソフトウェア、プラットフォーム、インフラストラクチャ)-As-A-Service製品とビッグデータ処理プラットフォームは既に組織で使用されているか、明日文字通り使用されます。 今日SIEMの購入に多額の費用を費やしているのであれば、明日、新しいシステムとの統合の可能性を確実に知りたいと思うでしょう。
質問番号9。 SIEMはすでにいくつのログソースをサポートしていますか? 新しいあまり知られていないものを接続するのはどれくらい難しいですか?
組織内の重要なイベントソースからのログを受け入れられない場合、SIEMは劣ります。 ほとんどのシステムが定期的にSIEMに接続され、特定の機器(または自作アプリケーション)を接続する複雑さが高くないことを確認してください。
ログの主なソースは、情報セキュリティシステム(ファイアウォール、IPS / IDS、VPN、メールサーバー、ウイルス対策システムなど)、およびクライアントとサーバーのオペレーティングシステムです。
質問番号10。 データ分析システムの機能は何ですか?
アラートとレポートの基本機能に加えて、SIEMはオペレーター(情報セキュリティアナリスト)にログ内のイベントを表示および分析してインシデントを調査し、対応を作成するツールを提供する必要があります。 最も賢く、最も調整されたSIEMシステムでさえ、最も賢いアナリストよりも劣っています。 結局のところ、対応するルールがない場合、システムは機能しません。何が起こっているのかという文脈がなければ、何かが間違っていると疑うことはできません。 したがって、手動分析が依然として求められており、システムはアナリストに便利なツールを提供する必要があります。 高度な検索および視覚化機能は、インシデント調査の成功に明らかに貢献します。