内角540°

セキュリティ。SIEMとかIPSとか統計とかクラウドとか。数学以外で。

SIEMの使用例(Popular SIEM Starter Use Cases)

SIEMユースケースに関する記事。貴重。

参考:
blogs.gartner.com

1.認証を追跡し、アカウント侵害を検出

1.Authentication tracking and account compromise detection; admin and user tracking [this is the very use case that I detail in that post]

ActiveDirectoryやProxy、アプリケーションログから、
ユーザに不審な振る舞いがないか追跡する。

「同一ユーザ名で、複数のIPから認証」などですかね。
被害の前後でいずれも役に立つSIEMの活用方法ですね。

2.感染端末の追跡

2.Compromised- and infected-system tracking; malware detection by using outbound firewall logs, NIPS alerts and Web proxy logs, as well as internal connectivity logs, network flows, etc

FW、IPS、Proxy、内部通信ログからなどから、マルウェア感染のシステムを発見する。

あくまでも、"不審"ということしかわからない。
確実性を高めるには、セキュリティデバイス側で"マルウェア"と判別してほしい。←

3.IDS/IPSアラートの脅威評価

3.Validating intrusion detection system/intrusion prevention system (IDS/IPS) alerts by using vulnerability data and other context data about the assets collected in the SIEM [while some say “this is so 2002”, this use case is still here in its modern form of using SIEM for “context-enabling” various alerts]

IDS/IPSアラートを、資産の脆弱性情報と突合させて検証する。

SIEM設定よりも、資産情報管理のほうが大変。
自動収集して、自動でSIEMに読み込まれ、自動でエンリッチしてくれる機構がほしい。

4.不審な外部との通信

4.Monitoring for suspicious outbound connectivity and data transfers by using firewall logs, Web proxy logs and network flows; detecting exfiltration and other suspicious external connectivity

FW、IPS、Proxy、内部通信ログからなどから、不審な外部との通信を監視する。
情報流出や、不審な相手との接続を検知する。

C&Cサーバへの接続や、大きなサイズのアップロードを監視。
いずれも、感染後のアクティビティですね。

5.ポリシ違反の検出

5.Tracking system changes and other administrative actions across internal systems and matching them to allowed policy; detecting violations of various internal policies, etc [and, yes, even the classic “root access from an unknown IP in a foreign country at 3AM, leading to system changes” sits here as well]

様々な社内ポリシ違反の検出する。
・申請のない管理者権限の使用
・海外から午前3時に、root権限でアクセス

外からの脅威だけでなく、
内部の脅威を検知することは、SIEMの大きな役割ですね。
ProxyログをExcelで確認する時代は終わりました。

6.Webアプリケーションへの脅威検出

6.Tracking of Web application attacks and their consequences by using Web server, WAF and application server logs; detecting attempts to compromise and abuse web applications by combining logs from different components.

Webサーバや、WAF、アプリケーションのログから、Webアプリケーションの脅威を検出する。

ここに来てやっと、相関分析ならではな観点が。
WAFポリシを作り込むほうが強度は高そうですが、
WAF管理者と、SIEM管理者が同じとは限らないので…(そもそもWAFがないかも?)

さいごに

SIEMで期待される相関分析。
本当の意味で"相関"させるルールを導入し、活用するのは
海外のユースケースを見ても難しそう。

まだまだ単発イベントでアラートか、
人間がログ確認する補助ツールとしての活躍が主だと思う。