SIEMとは
SIEMとは、Security Information and Event Managementの略で、様々なログをダッシュボードなどで一括管理することを指します。
近年では、リモートワーク推進によるリモート勤務時のセキュリティ強化や、クラウド利用が促進されたことによるIT環境の多様化から、インシデント発生時に迅速に対応できるような統合的セキュリティ監視基盤が必要になっています。
ログを一元管理することで、インシデント発生時の追跡作業が実施しやすく、より迅速な対応が可能になります。
また、視覚的にわかりやすく、本当に必要な情報のみ監視できるのもポイントです。
InsightIDRとは
InsightIDRは、Rapid7社のクラウド型のSIEMとEDRを掛け合わせた製品で、各種ログの一元化とログ分析を行い、脅威が検出された場合アラート通知を行います。
◆ InsightIDRができること
- SIEM(Security Information and Event Management)機能:
エンドポイント、サーバ、ネットワーク、セキュリティ機器のログを収集し、アラートを発報 - EDR(Endpoint Detection and Response)機能:
ユーザや攻撃者の行動分析から生成されたビルトインアラートが利用可能 - NTA(Network Traffic Analysis)機能:
ログ分析やエージェントを利用した資産管理が可能
InsightIDRの機能
- 複数製品のログを一括管理可能な、クラウド型SIEM製品
- SIEM機能だけでなく、EDRやネットワークフロー監視も可能な製品
- SIEM機能
- サンプルクエリなどの活用によるログ分析
- ダッシュボードでの定期監視
- EDR機能
- ユーザの行動分析、攻撃者の攻撃分析をもとに作成されたビルトインのアラート
- NTA機能
- 実行中のプロセスやログイン履歴の確認などユーザや端末を掘り下げて確認することが可能
- SIEM機能
InsightIDR
豊富なログの一括管理により、インシデント対応が可能
SIEMだけでなくEDR機能なども利用できることで、追加のセキュリティ対策コスト、運用コストを削減
SIEM機能
- 収集したログやアラートが発生した際のログを分析することが可能
SIEM機能:クエリ生成と結果の確認
- サンプルクエリを利用することやGUIで条件を選択していくことでもクエリの生成が可能
SIEM機能:ダッシュボード機能
- プリセットのダッシュボードを利用することや任意でパネルを追加することが可能
EDR機能
- カスタムアラート
- 特定の文字列を含むログが検出された場合、アラートを発報することが可能
- 特定の文字列を含むログが検出された場合、アラートを発報することが可能
- ビルトインアラート
- User Behavior Analytics:ユーザの行動に注目したアラート
- Attacker Behavior Analytics:外部への不正アクセスなど攻撃者が実施していると思われるアラート
- アラートタイプ
Alert
アラートが発報される
Notable Behaviors
アラートとしてはカウントされないが、調査画面は自動で生成される
Disabled
アラートは無効
EDR機能:User Behavior Analytics
- ユーザの行動を分析し、Active DirectoryやAWS CloudTrailなどを通じて、ログイン試行回数が多い場合や、横方向の移動など、ユーザの怪しい動きからなりすましなどを検出する
EDR機能:Attacker Behavior Analytics
- 攻撃者の行動を分析し生成されたビルトインアラートが利用可能
- 悪意あるファイルのダウンロードやサイトへのアクセスなど、攻撃される可能性がある場合検出
InsightIDRの構成
構成イメージ
