内角540°

セキュリティ。SIEMとかIPSとか統計とかクラウドとか。数学以外で。

SIEMの活用と成熟過程(SIEM Use Cases and Process Maturity)

McAfeeに掲載されたGrant Babbさんの"SIEMの活用"に関する記事。
とても良い記事でした(・o・)


SIEM Use Cases and Process Maturity
https://community.mcafee.com/community/business/siem/blog/2012/12/24/siem-use-cases-and-process-maturity--the-plays-to-run

SIEM、4つのユースケース

I like to think of all the use cases that a SIEM performs as standing in four groups:

1.Log Management - get the events generated on your network flowing through SIEM and keep that pipeline operating smoothly
2.Threat and Risk Correlation - add intelligence to the event flow by attaching context or combining simple events into more complex ones
3.Incident Response - now that you know something is happening, you have to do something about it
4.Compliance - providing the necessary detail on security attributes to measure and report it to regulatory bodies

https://community.mcafee.com/servlet/JiveServlet/downloadImage/38-4541-37622/620-102/SIEM_use_cases.png

SIEMが行う4つのユースケースは以下の通り。

1. ログ管理
ネットワーク上のイベントをSIEMから"扱いやすい形"で取得できる。
2. 脅威やリスクの相関
属性追加や、イベント同士の相関により、インテリジェンスを付与する。
3. インシデント対応
発生した事象を把握し、対応する。
4. コンプライアンス
詳細を調査し、組織に報告する。

このプロセスは守らないと不十分/非効率な対応となる。
例えば、[2. 脅威やリスクの相関]を行わず、[3. インシデント対応]を行うことはNGである。
ログ管理は、データがあることを保証するだけ。

適切でないSIEMの運用

How do you know you ran this play? You might answer "yes" to one of these statements:
"my company only uses the correlation rules that shipped with the product"
"we don't use correlation rules to manage events, only alarms"
"we had to disable those devices because they were sending too many events"

「最初から入っていた相関ルールのみ使用している」
「相関ルールをイベント管理のためでなく、アラートのためだけに使用している」
「イベントが多すぎるので、いくつかの機器のイベント収集を無効にしている」

こんなユーザは要注意。
脅威やリスクの観点が全く考えられていないからである。

相関分析の本質はイベントの価値向上

Besides "catching the bad guy" (one I don't agree with, BTW), threat and risk correlation serves the purpose of helping you shape events to only tell you what you really care about. It's more than just a filter, it's a way to focus information, add context, and increase the ROI of your security data

相関分析の用途は、悪意のあるイベントの捕捉ではない。
本質は、注意したい事象に焦点を当てることである。
それはただのフィルターではなく、属性追加による情報の価値を高めるものである。

目的は、適切な過程を潤滑に踏めるようにすること

My Pick for Play to Run

I think the best thing to do for a company building a SIEM process is to follow the four use cases in the expected order: Log Management, Threat and Risk Correlation, Incident Response, Compliance. I do NOT think it should be done in a waterfall fashion: get ALL the logs in the SIEM, then do ALL your correlation rules, etc. You should start with a few critical data sources and take them ALL the way through the process. This gets you the true benefit of the SIEM without getting stuck at an earlier stage.

SIEM運用のベストプラクティスは、[1]-[2]-[3]-[4]を順にすすめることができること。
フローの潤滑に実施するためのログが必要であり、全てのログを取ることが目的ではない。

SIEMの成熟

Focus on the Flow, not the End State. To run this play, you have to change the way you look at the game. We don't live in a flowchart world, processes don't have neat boxes around them and all the input doesn't magically show up at the step where it needs to be. To me, all the logs in the SIEM, or all the correlation rules that are enabled, are just state. The point of getting them into that state is really just to get them somewhere else now. When you are adding data sources, think about what correlation rules this could generate; when you create a correlation rule, think about how efficient you can make the incident response on this. All of the SIEM use cases fit into a process flow, whose purpose is to tell your company what you want to know about the security data you are generating. If you focus on the flow, not these end states, you aren't walking or crawling, you're runnning.

注視すべきは、結論ではなく経過。

フローチャートのような世界ではないので、情報は必ずしも決まりきった流れで現れない。
あらゆるイベントログや、SIEMによる相関イベントログは、一つの状態を明らかにするけであり、
求められる情報は、その外である。

ログソースを追加する際は、
どのような相関ルールが作れるか、それによりインシデント対応をどのように効率的に行えるかを考えること。

SIEMは、"会社が求めている情報を提供すること"が目的です。
結果ではなく過程に注視すれば、その目的達成に近づける。その結果SIEMが成熟したといえる。