<aside> 📖 本講義における定義 ログ：観測された事象やシステムの状態を記録したデータの1レコード（類義語：イベント、レコード） アラート：セキュリティの侵害や脆弱性の可能性を示すデータの1レコード。1つ以上のログから創出される場合もあれば、センサ内部などのロジックから判定されるものも含む（類義語：Event of Interest、インシデント） インシデント：組織内の情報資産やシステムが侵害を受けていることが明らかである事象

</aside>

概要

• セキュリティ監視では大きく分けて3つの機能が必要となる
  • 様々なログを集める
  • 集めたログを検索・分析する
  • 検出したアラートを管理する
• これは**「セキュリティ監視」というユースケースに特化したデータウェアハウスを構築**するのに近い
  • SIEM (Security Information and Event Manager) はまさにそのための製品・サービス
  • 内製する場合はデータウェアハウス構築の知識・経験があると有効

基本構成

システム構成は大きく2つに分かれ、さらに設計をするにあたって考慮するべきパートを便宜上3つに分割して解説する

パート

ログ収集、ログ分析、アラート対応の3パートに分けて説明する。ログ収集とログ分析は地続きで完全に切り分けることは難しいが、説明のスコープを区切るためにあえて分離している。

(1) ログ収集パート

組織で利用しているシステムや端末、クラウドサービスからログを収集する。一般的にSIEM（Security Information and Event Manager ）と呼ばれる製品が一部の責務を持つ。どのようにログを取得、収集、集約、管理するかを考慮する必要がある。また、ログだけでなくアラートの一部もログと共に流入してくる場合があり、その際はアラート対応パートへそのまま流す形になる。

ログ収集の責務

• ログの収集
  • 様々なプロダクト、サービス、プラットフォームなどから各種ログを集める
  • APIを使ったPull型の取得、取得側がエンドポイントを用意してのPush型の取得、クラウドストレージや検索システムに直接投入されるものなど、様々な形式に対応する
  • 取得が適切に継続しているかの監視も必要
• ログの保全
  • 収集したログを適切な期間保管する機能
  • 保管するログは全て同じような形式で保持する必要は無い
  • しかしログの検索や分析と密接に関わるため十分な考慮が必要
  • さらに長期的に大量のログを保持するとコストに大きく影響するため、最新の注意が必要
• ログの変換
  • 検索や分析に必要な形式に変換する
  • 検索・分析のためのストレージに投入する際にスキーマを整えるなどする
    • 保全のためのストレージと同一の場合もあるし、違う場合もある

(2) ログ分析パート

一般的にSIEM（Security Information and Event Manager ）と呼ばれる製品が全体的な責務を持つ領域。

ログ分析の責務

• ログの検索・分析
  • 担当者が検索・分析のためのインターフェースを提供する
    • 検索：調査やアラート検出のため、必要なログを抽出する行為
    • 分析：検索に加えて集計、複数ログの突合、時系列分析なども含む
  • 分析したい手法によってアプローチが異なるが、ほとんどの場合は検索と集計でカバーできる