応用情報技術者平成29年秋期 午前38
SIEM(Security Information and Event Management)の特徴はどれか。
1、SIEM(Security Information and Event Management)は、
OS、データベース、アプリケーション、ネットワーク機器など多様なソフトウェアや機器が出力する大量のログデータを分析し、異常があった場合に管理者に通知したり対策を知らせたりする仕組みです。日本語ではセキュリティ情報およびイベント管理と訳されます。
・SIEM
SIEM(シームと読む)は「SIM」(Security Information Management)と「SEM」(Security Event Management)を組み合わせた言葉(ガートナーによる)だ。
SIMはいわゆる「統合ログ管理」のうちセキュリティ領域のログを対象とした仕組みのことをいい、さまざまなネットワーク機器やホストシステムが出力するセキュリティイベントログおよびシステムユーザーの利用ログなどを蓄積し、さまざまな視点から検索、分析を行う。
SEMは、同様にさまざまな機器からのログを収集、蓄積することは同じだが、分析をリアルタイムに行う点が異なる。
2、ファイアウォールやIPSなどの特徴
DMZを通過する全ての通信データを監視し,不正な通信を遮断する。
・IDSは
Intrusion Detection Systemの略称で、不正侵入検知システムとも呼ばれます。
インターネットに公開するサービスでは、それに対する通信はファイアウォールでは接続許可の扱いとなるため、正常な通信と異常な通信は区別なくアクセスされることになります。
そこで、IDSを設置することで、通信を監視します。
また、もし異常があれば管理者へ通知することで、異常な通信をブロックするなどの対処をするきっかけ(トリガー)となります。
・IPS
IPSはIntrusion Prevention Systemのことで、不正侵入防止システムとも呼ばれます。
IPSはIDSより一歩進んで、異常な通信があれば、管理者へ通知するだけでなく、その通信をブロックするところまで動作します。
したがって、管理者が異常に気づいてから対処するのと異なり、迅速な対処が可能となります。
3、SNMP(Simple Network Management Protocol)の特徴
サーバやネットワーク機器のMIB(Management Information Base)情報を分析し,中間者攻撃を遮断する。
SNMPにはRMON(Remote network MONitoring)という通信状況を監視するMIBがあります。
4、Cisco社のNetFlowの特徴
ネットワーク機器のIPFIX(IP Flow Information Export)情報を監視し,攻撃者が他者のPCを不正に利用したときの通信を検知する。
参照:
https://www.ap-siken.com/kakomon/29_aki/q38.html
ディジタルフォレンジックス 収集、検査、分析、報告
https://qiita.com/lymansouka2017/items/f28396af226b46c56618
IDSとIPSの違いとは
https://www.shadan-kun.com/blog/measure/303/