Innovation Leading Company

ソリューション

ArcSight ESM

SIEMソリューション

日本ヒューレット・パッカード

ArcSightは、圧倒的な他社SIEM製品との競争優位性を持っており、SIEM本来の要件を兼ね備えた製品です。脅威検知ルールなどをきめ細かく設定できるため、お客様が求める脅威対策を実現できます。また、インメモリーで高速にリアルタイム相関分析が行え、さらに条件合致した状態を一時的に保持することにより、チェーンルールなどの多様な相関分析に対応可能です。

SIEMをコアとしたSoCサービスとは

ArcSight ESMの概要
SIEMとは?

SIEM導入のメリット:監視ログを自動的に相関分析・可視化することで、ネットワーク内で起きている異常な状況を早期発見・把握する能力が飛躍的に向上します

SIEMとは?

SIEMでは、以下を行います。
ネットワークセンサーログ(FW、アプリケーション、DBなどのログ)を集約し、必要な情報を絞り込む
絞り込んだ複数の情報を相関分析する(以下は例)
    ・FWログから、総当たり攻撃を受けていることを検知
    ・重要サーバーのアクセスログから外部者がログインしていることを検知
    ・総当たり攻撃を受け、特定のサーバーにログインされたことが判明し、アラートをあげる
ネットワークポリシーに基づくルールをSIEMに埋め込むことで、ルール違反を自動検知する
モニタリング、異常検知、ケースオープン、原因分析、問題の解決、ケースのクローズなど、一連のワークフローを単一のコンソールで操作でき、得られたノウハウを蓄積・共有できる

ArcSight ESMの基本構成

ArcSightには2つの主製品があります。
・ArcSight ESM : ログを収集・リアルタイムに相関分析してインシデントを発生させる
・ArcSight Logger: ログを収集・保管する

ArcSightESMの基本構成

ArcSight ESMが行う6つの処理

ログの収集から分析まで以下の6つの処理(イベントライフサイクル)を行います。
ArcSightはログの最小単位をイベントとして分析・管理します。

ArcSight ESMが行う6つの処理

フェーズ1 ログの収集

フェーズ1 ログの収集 収集

Syslogなどで受け取ったログデータのフォーマットを統一し、標準フォーマットに翻訳してEMSサーバーに送ります。

ファイアウォール方言の例:
   ・通信成功:製品によって「accept」「permitted」など、ログの記述が異なる
   ・日時:日付のフォーマットが異なる
   ・プライオリティなどの記述方法や基準が異なる(1~5、very low~very highなど)

フェーズ1 ログの収集 ログの通信成功例

フェーズ2 ネットワーク環境情報の付加

フェーズ2 ネットワーク環境情報の付加 ネットワーク環境情報(重要度、影響度)

ネットワーク内の機器情報(位置情報、ゾーンと呼ばれる用途向けのIPアドレス範囲など)を付加し、フェーズ3の相関評価時のプライオリティ判断材料とします。

・ESMサーバーをインストール後に、ネットワークモデル(ArcSightの管理モデル)の情報をコネクターとEMSにあらかじめ登録しておく
・イベント情報に位置情報、ゾーン情報を付加する

フェーズ2 ネットワーク環境情報の付加 ネットワークモデルの例

フェーズ3 リアルタイム相関分析

フェーズ3 リアルタイム相関分析 相関評価

複数イベントに対する条件を設定し、条件に合致した場合は通知やケースオープンなどのアクションを行います。

相関評価 相関条件

フェーズ4、5 モニタリングとワークフロー

フェーズ4、5 モニタリングとワークフロー 監視・ワークフロー

・ダッシュボードを監視し(または異常をメールで受信)、異常を発見した場合、必要な情報を集めてケースをオープンします
 (自動オープンも可能)
・ケースを受け取った分析官は、可視化ツールを用いて原因を調査します

フェーズ4、5 モニタリングとワークフロー 異常を発見した場合

フェーズ6 レポーティング

フェーズ6 レポーティング 報告

ESMのデータベースに問い合わせるクエリをあらかじめ作成しておくことで、必要な時点で容易にレポートを作成できます。

フェーズ6 レポーティング ESMのデータベースに問い合わせるクエリをあらかじめ作成

ArcSight Use Case (相関分析)
ArcSight ESM 相関分析の対象イベント例

想定シナリオ:外部からの攻撃による情報漏えい・改ざん(特に甚大な被害となるAPT)
       内部からの故意・過失による情報漏えい・改ざん

下記の異常な状況が同時に複数検知した場合、優先度を上げてアラート(メール通知など)を発生させます。

ArcSight ESM 相関分析の対象イベント例

ArcSight ESM 相関分析シナリオ例

複数イベント(ログ)を相関して発見できる例として以下があります。

1)従業員リスト(AD、人事システムなど) + DBアクセスログ
権限のない従業員、派遣社員が機密データにアクセスしている
権限のある従業員が機密データを大量に閲覧している

2)FWログ + 重要サーバーのログイン認証ログ
ブルートフォース攻撃者がFWを抜けて重要サーバーへアクセス
(ログイン)を試みている

3)入退出ログ + サーバーアクセスログ
サーバールーム以外から、業務時間外に重要サーバーへアクセスしている

4)Web Proxyログ + IPブラックリスト(外部フィード)
マルウェアのダウンロードの疑い
マルウェア感染の疑い(C&Cサーバーへの通信の疑い)

5)FWログ(Proxyを通さないアクセス) + 機器の資産リスト
許可されていない端末使用
故意・過失によるデータ送出



異常メール通知状況を可視化

運用付加を軽減するHP TippingPointと
HP ArcSightのSecurity Intelligenceの連携

イベント分析の難所

運用負荷を左右するレベルの信頼度

デバイスが出力するログは、各社または各製品によってログの重大度や緊急度のレベル設定ポリシーが異なります。
そのため、SIEMの統一ポリシーでレベル設定を行い、組織にとってどのイベントが最も重要であるのかを把握します。

運用負荷を左右するレベル設定の信頼度

しかし、すべてのデバイスのレベル設定をSIEMで完璧に調整することは難しいため、不正確なレベル設定に起因する無駄な対応や、本当に重要なインシデントへの対応遅れを生む可能性があります。


ArcSight環境でHP TippingPointを利用するべき理由

運用負荷を軽減できる信頼性の高いレベル設定

HP TippingPoint(以下、TippingPoint)では、ArcSightで管理しやすいようレベル設定をチューニング済みです。

運用負荷を軽減できる信頼性の高いレベル設定

ArcSightの監視対象として実績を持つTippingPoint

HP Cyber Defense Centerは、世界最大規模のSOCです。

ArcSightの監視対象として実績を持つTippingPoint

さらに運用を楽にするArcSightとTippingPointの連携

さらに運用を楽にするArcSightとTippingPointの連携



SIEMをコアとしたSoCサービスとは

関連情報