1. はじめに
QRadar Log Managerってどのようなものでしょうか?
QRadarを使う場合、機能が豊富で充実しているSIEMを選択することが多いと思います。
名前からして異なりますので、機能に違いがあるのは当然ではありますが、
具体的にどう違うのかざっと調べてみようかと思い立ちました。
マニュアルはなんと?
思い立ったらさっさと導入して手を動かしたいところですが、
まずはマニュアルを見たいと思います。
Capabilities in your IBM Security QRadar product
https://www.ibm.com/support/knowledgecenter/en/SS42VS_7.3.1/com.ibm.qradar.doc/c_qradar_siem_SIOC_compare.html
2つの製品の違いについて、もちろん記載があります!
ちょっと引用。
IBM QRadar Log Manager
QRadar Log Manager は、ネットワークおよびセキュリティーの大量のイベント・ログを収集、分析、保管、およびレポートするための基本的なハイパフォーマンスかつスケーラブルなソリューションです。
IBM Security QRadar SIEM
QRadar SIEM は、オンプレミスのデプロイメント用のあらゆる種類のセキュリティー・インテリジェンス機能を含む、拡張オファリングです。ネットワーク上に分散している数千にのぼるアセット、デバイス、エンドポイント、およびアプリケーションからのログ・ソースとネットワーク・フロー・データを統合し、生データに対して正規化および相関アクティビティーを即時に実行して、実際に発生している脅威とフォールス・ポジティブを区別します。
これをざっと読むと、基本的な機能を提供するのがLog Managerで、より高度な機能を提供するのがSIEMとしっかり棲み分けているようです。
2. 実際にLog Managerを見てみよう
マニュアルの内容で違いが分かるようにも思いますが、実際の動きを見て確認したいと思います。
今回はたまたま手元にあった7.3.1 Patch 3を使用します。
1. ログイン画面
早速導入してログイン!
ログイン画面に特段違うところはなさそうです。
2. メニュー
画面上部のメニューは以下の通りですが、いつも見慣れたSIEMとは、少し違いますね。
「オフェンス」や「ネットワーク・アクティビティー」、
それに「アセット」の各タブが見当たりません。
もしかして・・・隠れているだけ?
・・・というわけでもなさそうです。
では、気づいたところをまとめていきたいと思います。
3. ここが違うぞLog Manager
1. ネットワーク・アクティビティ
マニュアルに書いてあるとおりですが、残念ながらフローが使えません。
管理タブを見ると、いつもなら「フロー・ソース」がある場所に、確かにその姿がありません。
2. オフェンス
オフェンスの機能もLog Managerでは活用できません。
製品の仕様だとマニュアルにはっきり書いてありますので納得。
単にルールにヒットしたことを教えてくれるだけではなくて、
IPアドレスやユーザー名などをキーにして、
いろいろなイベントやフローを、ひとまとめにしてくれるというところが大変使いやすいのですが。
3. アセット
こちらも仕様通りですが、Log Manager単体ではアセット情報の利用ができないようです。
いろいろ調査する際、IPアドレスからアセットを調べて・・・
という使い方ができるSIEMは便利ですが、やむを得ませんね。
・・・と、ここまでざっとまとめますと、やっぱりSIEMの方が多機能で良さそうですね。
せっかくですので、もう少し細かく見ていきたいと思います。
4. ルール
「ログ・アクティビティー」タブに、いつもの「ルール」ドロップダウン・リストがあります。
ここからルールの設定が可能です。
ルールが使えると、単にログを保管して後から検索できるだけではなく、
ログの内容が一定の条件を満たしたことをリアルタイムで検知して、
すぐアクションに移すことができるようになりますね。
4-1. ルールの種類
ルール・リストを見ると、「イベント・ルール」と「共通ルール」の2種類のルールが利用可能だと分かります。
Log Managerでは「オフェンス・ルール」と「フロー・ルール」は利用できないようです。
先ほど画面で見た通りなので納得です。
4-2. ヒストリカル相関
また、よく見ると、SIEMでは以下の通り「ヒストリカル相関」が利用可能なのですが、Log Managerでは、こちらも見当たりません。仕様通りですね。
4-3. ルールの応答
オフェンス・タブがないことから、ルールの応答が気になるところです。
オフェンスを作るのはルールの応答の仕事ですからね。
ルールの応答の項目は以下の通りです。
オフェンス関連の応答はやはりありませんね。Log Managerですから当然ですね。
5. QRadar Apps
最近力が入っているAppはどうでしょうか。
管理タブには「拡張の管理」があります。QRadar Appを稼働させられそうです!
実際に「拡張の管理」を開いてみると、デフォルトで2つのAppが導入されていることが分かります。
これだけでもLog ManagerでQRadar Appのサポートがあることが分かりますが、実際に導入できるか確認してみたいと思います。
今回はQRadar Deployment Intelligenceを導入します。
QRadar Deployment Intelligence
https://exchange.xforce.ibmcloud.com/hub/extension/a154264f905e4d407d8d2dbf20737c09
導入してSecurity Tokenを入力すると、正しく画面が表示されました。
Log ManagerでもAppが問題なく稼働することを確認できました!
6. API
最後に、App同様に機能拡張が続いているAPIを確認してみたいと思います。
以下の通り、いつものURLでAPIのドキュメントにアクセス可能です。
それぞれのEndpointの比較は別の機会にしたいと思います。
この環境はバージョン7.3.1 Patch 3ですが、利用可能なAPIのバージョンは9.0ですね。
3. まとめ
IBM Security QRadar Log Managerの機能を実際の画面を通して調べてみました。
製品マニュアルに書いてあるとおりですが、
Log Managerは基本的なログ管理機能を提供する製品でした。
ネットワーク・フローやオフェンスといった、より良い機能を使いたい場合はSIEMが良さそうです。