サイバーセキュリティ対策のSIEM、UEBA、SOARとは？

SIEM（シーム: Security Information and Event Management）を調査しているときの覚書。

SIEM(Security Information and Event Management)とは？

サイバーセキュリティ対策向けに異常検知を目的とした統合ログモニタリングシステム。

ファイヤーウォール／サーバー／IT機器などからログを収集・分析して見える化する。
サイバー攻撃を早期に発見して対応することが可能になる。

ログ収集や異常検知の設定など運用面でのコストがネック。

参考サイト

• SIEM（シーム）とは？セキュリティの異常を自動検知する仕組み
• SIEMとは？仕組みや機能、メリット、導入のポイントを解説！｜Joshisu Man（情シスマン）
• SIEMとは？セキュリティ対策におけるログ収集の重要性 | サイバーセキュリティ情報局

UEBA(User and Entity Behavior Analytics)とは？

ユーザーや機器の異常動作を機械学習によって検知する機能。

SEIMと合わせて活用することで運用コストを下げる。
よって、SEIM+UEBAを次世代SEIMと呼ぶこともある。

参考サイト

• 「SIEM運用は難しい」を覆す次世代ソリューション「LogRhythm」とは？ | 東京エレクトロンデバイス

SOAR(Security Orchestration, Automation and Response)とは？

セキュリティ運用の統合管理ソリューション。

様々な情報を集約、分析して発生したインシデントの管理や関係者への通知を自動化する。
IT機器を個別に監視するのではなく、セキュリティインフラ全体を統合管理することで、組織全体のセキュリティを強化する考え方。

SOARするためのモニタリング手段としてUEBA機能付きのSIEMが導入される感じ。

SOARはインシデント対応（Response）までを含むのが大きな違い。

参考サイト

• SOARとは？意味・定義 | ITトレンド用語 | NTTコミュニケーションズ
• SOARとは：セキュリティのオーケストレーションと自動化によるレスポンス | Splunk

【関連記事】

• ファイヤーウォールの意味／次世代ファイアウォール（NGFW）
• OWASP ZAPでWordPressサイトをセキュリティ診断してみる