Open yu-bonn opened 1 month ago
SIEM (Security Information and Event Management) CASB (Cloud Access Security Broker) SOAR (Security Orchestration, Automation, and Response) wireguard carnaボットネット セキュアブート VFI
ファイアウォールやIDS/IPS、プロキシーなどから出力されるログやデータを一元的に集約し、それらのデータを組み合わせて相関分析を行うことで、ネットワークの監視やサイバー攻撃やマルウェア感染などのインシデントを検知することを目的とした仕組み。 SIEMが果たす役割は、サイバー攻撃や異常などの発生を未然に防ぐだけではありません。発生後のインシデントをできるだけ迅速に検出し、その後のすばやい対応をサポートする役割があります。
Panagiotis Radoglou-Grammatikis Panagiotis Sarigiannidis Eider Iturbe
Published :Computer Networks Volume 193, 5 July 2021, 108008
Department of Electrical and Computer Engineering, University of Western Macedonia, Kozani, Greece TECNALIA, Basque Research and Technology Alliance (BRTA), Derio, Spain
GDPR(General Data Protection Regulation)とは、EU(欧州連合)が定める個人情報保護のための規則で、日本語では「EU一般データ保護規則」と呼ばれます
通信の監視と管理者への警告を行うIDSは「不正侵入検知システム」と呼ばれる。対してIDSの機能に加えて、通信の遮断までを行うIPSは「不正侵入防止システム」と呼ばれる。しかし、昨今では通信の遮断を行えるIDS製品も登場しているため、ほぼ同義で語られることもあります。
IPSは通信の異常を通知することに加え、ワーム※やDoS※などのパケットが持つ特徴を検知した直後に、人手を介することなく自動的に通信を遮断するところまでの対応を行います。IPSはIDSと比べ、迅速なインシデント対応が実現できるメリットがある反面、業務に大きな影響が出やすいというデメリットもあります。万一、設定が不正な場合など誤検知を行ってしまうと、即時にシステムが停止してしまうケースが想定される。
IPS/IDSが攻撃を検知する方法には、「不正検出(シグネチャ型)」と、「異常検出(アノマリ型)」の2つがあります。攻撃パターンをシグネチャに登録し、一致する通信を攻撃と見なす方法が「不正検出」です。正常な通信の挙動をあらかじめ学習した上で、そこから逸脱した通信を異常として検知する方法が「異常検出」です。
IDSとIPSは通信の監視方法、不正なデータの検知方法が「ネットワーク型」と、「ホスト型」、「クラウド型」の3つに分類されます。ネットワーク型は、ネットワークを流れる通信パケットを監視します。一方でホスト型は、監視対象のサーバー上にソフトウェアとしてインストールされ、通信の結果生成されたサーバー上の受信データやログを監視します。クラウド型はこれらの仕組みを、クラウドサービスとして提供する形式です。
クラウドサービスへのアクセスの可視化や不正アクセスやデータ流出の阻止、適切なクラウドサービス利用のための監視や制御、送受信するデータの暗号化。
クラウドサービスの利活用に対する情報セキュリティのコンセプトにもとづいた、適切なセキュリティ対策を行うソリューションです。クラウドサービスアクセス時のハブとして導入することで、クラウドサービスの利用状況を可視化して監視し、各種制御を実現します。 一般的にCASBでは4つの機能を提供します。
興味がある特殊なシステムを一般的な手法が試せるか=>試せるように改良する 一個の大きなシステムにファイアーウォールやips/idsを一つにする流れ エンドポイントはできない=>まとめられないものも解析できるのがsiemの利点 DHCP アラートの量が多い時に1次振り分けしたりする siemは教育が必要
今週のTo Do