2022 年のベスト SIEM ツール 13: ベンダーとソリューションのランキング

SIEM は Security Information and Event Management の略です。 SIEM ツールは、アプリケーションやネットワーク ハードウェアによって生成されるセキュリティ アラートのリアルタイム分析を提供します。

市場には 50 以上の SIEM ソリューションがあり、このガイドは組織に適したソリューションを特定するのに役立ちます。

最高の SIEM ツールのリストは次のとおりです。

1. Datadog セキュリティ監視 編集者の選択リアルタイムのセキュリティ監視とログ管理を含む、クラウドネイティブのネットワーク監視および管理システム。 500 を超えるベンダー統合がすぐに利用できます。 14 日間の無料トライアルを開始してください。
2. SolarWinds セキュリティ イベント マネージャー (無料トライアル)幅広いログ管理機能を備えた、市場で最も競争力のある SIEM ツールの 1 つ。
3. LogPoint (アクセスデモ) このオンプレミス SIEM ソリューションは、ネットワーク上の他のセキュリティ ツールと連携して、アクティビティ データを収集し、脅威の修復を実装できます。物理アプライアンスまたは Linux 用のソフトウェア パッケージとして利用できます。
4. グレイログ（無料プラン）このログ管理パッケージには、無料版と有料版があり、クラウド オプションを備えた SIEM サービス拡張機能が含まれています。
5. ManageEngine EventLog Analyzer (無料トライアル) ログ ファイルを管理、保護、マイニングする SIEM ツール。このシステムは、Windows、Windows Server、および Linux にインストールされます。
6. ManageEngine Log360 (無料トライアル) この SIEM パッケージは、オンプレミスおよびクラウド システムからログを収集し、脅威インテリジェンス フィードも使用します。 Windowsサーバー上で動作します。
7. エクサビームフュージョン このクラウド プラットフォームは、次世代 SIEM または次世代 XDR とみなされるセキュリティ ソリューションを提供します。
8. Splunk エンタープライズ セキュリティWindows および Linux 用のこのツールは、ネットワーク分析とログ管理を優れた分析ツールで組み合わせているため、世界のリーダーです。
9. OSSEC 無料で使用でき、セキュリティ情報管理サービスとして機能するオープンソースの HIDS セキュリティ システム。
10. LogRhythm 次世代 SIEM プラットフォーム最先端の AI ベースのテクノロジーがこのトラフィックと ログ分析ツール Windows および Linux 用。
11. AT&T サイバーセキュリティ AlienVault 統合セキュリティ管理Windows だけでなく Mac OS 上でも動作する非常に価値のある SIEM。
12. RSA NetWitness非常に包括的で大規模な組織向けに調整されていますが、中小企業には少々多すぎます。 Windows 上で動作します。
13. IBM QRadarWindows 環境で動作する市場をリードする SIEM ツール。
14. マカフィー エンタープライズ セキュリティ マネージャーActive Directory レコードを実行してシステムのセキュリティを確認する一般的な SIEM ツール。 Windows だけでなく Mac OS でも動作します。

セキュリティ情報およびイベント管理 (SIEM) とは何ですか?

SIEM は、ログ管理システムからセキュリティ ログ/イベント管理、セキュリティ情報管理、セキュリティ イベント相関関係に至るセキュリティ ソフトウェア パッケージの総称です。多くの場合、これらの機能を組み合わせて 360 度のビューを実現します。

SIEM システムは絶対確実というわけではありませんが、組織が明確に定義されたサイバーセキュリティ ポリシーを持っていることを示す重要な指標の 1 つです。十中八九、サイバー攻撃には表面レベルで明確な情報がありません。脅威を検出するには、ログ ファイルを使用するのがより効果的です。 SIEM の優れたログ管理機能により、SIEM はネットワーク透過性の中心ハブとなっています。

ほとんどのセキュリティ プログラムはミクロスケールで動作し、小規模な脅威には対処しますが、サイバー脅威の全体像を見逃しています。アン 侵入検知システム (IDS) 単独でパケットと IP アドレスを監視する以上のことはほとんどできません。同様に、サービス ログにはユーザー セッションと構成の変更のみが表示されます。 SIEM は、これらのシステムと同様のシステムを統合し、リアルタイムの監視とイベント ログの分析を通じてセキュリティ インシデントの完全な概要を提供します。

セキュリティ情報管理 (SIM) とは何ですか?

Sセキュリティ私情報Mアニゲーメント（はい) は、コンピューターのログからセキュリティ関連データを収集、監視、分析することです。とも呼ばれます ログ管理 。

セキュリティ イベント管理 (SEM) とは何ですか?

Sセキュリティそして排出するMアニゲーメント（どれの）は、リアルタイムの脅威分析、視覚化、インシデント対応などのネットワーク イベント管理の実践です。

SIEM 対 SIM 対 SEM – 違いは何ですか?

SIEM、SIM、SEM はよく同じ意味で使用されますが、いくつかの重要な違いがあります。

SIEM機能

SIEM の基本的な機能は次のとおりです。

• ログ収集
• 正規化 – ログを収集し、標準形式に正規化します)
• 通知とアラート – セキュリティ上の脅威が特定された場合にユーザーに通知する
• セキュリティインシデントの検出
• 脅威対応ワークフロー – 過去のセキュリティイベントを処理するためのワークフロー

SIEM は、ユーザーの内部ツール ネットワーク全体からデータを記録し、潜在的な問題や攻撃を特定します。システムは統計モデルに基づいて動作し、ログ エントリを分析します。 SIEM は収集エージェントを配布し、ネットワーク、デバイス、サーバー、ファイアウォールからデータをリコールします。

この情報はすべて管理コンソールに渡され、そこで分析されて新たな脅威に対処できます。高度な SIEM システムが自動応答、エンティティ動作分析、セキュリティ オーケストレーションを使用することは珍しいことではありません。これにより、サイバーセキュリティ ツール間の脆弱性を SIEM テクノロジーによって監視し、対処できるようになります。

必要な情報が管理コンソールに到達すると、データ アナリストがその情報を確認し、プロセス全体に関するフィードバックを提供します。フィードバックは機械学習の観点から SIEM システムを教育し、周囲の環境への精通度を高めるのに役立つため、これは重要です。

SIEM ソフトウェア システムは脅威を特定すると、デバイス上の他のセキュリティ システムと通信して、望ましくないアクティビティを停止します。 SIEM システムは協調的な性質を持っているため、エンタープライズ規模のソリューションとして人気があります。しかし、蔓延するサイバー脅威の台頭により、多くの中小企業は SIEM システムのメリットも考慮するようになりました。

SIEM 導入には多額のコストがかかるため、この変更は比較的最近になって行われたものです。システム自体にかなりの金額を支払わなければならないだけではありません。それを監督するために 1 人か 2 人のスタッフを割り当てる必要があります。その結果、小規模な組織は SIEM の導入にそれほど熱心ではありません。しかし、中小企業がマネージド サービス プロバイダーにアウトソーシングできるようになり、状況は変わり始めています。

SIEM が重要な理由

SIEM は現代の組織の中核となるセキュリティ コンポーネントとなっています。その主な理由は、すべてのユーザーまたはトラッカーがネットワークのログ データに仮想証跡を残すことです。 SIEM システムは、過去の攻撃やイベントに関する洞察を生成するためにこのログ データを使用するように設計されています。 SIEM システムは、攻撃が発生したことを特定するだけでなく、攻撃がどのように発生したのか、なぜ発生したのかを確認することもできます。

組織がますます複雑化する IT インフラストラクチャに合わせて更新および拡張するにつれて、SIEM は近年さらに重要になってきています。一般に信じられていることに反して、ファイアウォールとウイルス対策パッケージはネットワーク全体を保護するのに十分ではありません。これらのセキュリティ対策を講じていても、ゼロデイ攻撃はシステムの防御を突破する可能性があります。

SIEM は、攻撃アクティビティを検出し、ネットワーク上の過去の動作と照らし合わせて評価することで、この問題に対処します。 SIEM システムには、正当な使用と悪意のある攻撃を区別する機能があります。これは、システムのインシデント保護を強化し、システムや仮想資産への損害を回避するのに役立ちます。

SIEM を使用すると、企業がさまざまな業界のサイバー管理規制に準拠することもできます。ログ管理は、IT ネットワーク上のアクティビティを監査する業界標準の方法です。 SIEM システムは、この規制要件を満たすための最良の方法を提供し、明確な洞察と改善を生み出すためにログの透明性を提供します。

SIEM ツールの重要な機能

すべての SIEM システムが同じように構築されているわけではありません。その結果、すべてに適合する万能の方法は存在しません。ある企業にとって適切な SIEM ソリューションは、別の企業にとっては不完全である可能性があります。このセクションでは、SIEM システムに必要なコア機能を詳しく説明します。

ログデータ管理

前述したように、ログ データ管理はエンタープライズ規模の SIEM システムの中核コンポーネントです。 SIEM システムでは、さまざまなデータ ソースからのログ情報をプールする必要があり、それぞれが独自の方法でデータを分類および記録します。 SIEM システムを探すときは、データを効果的に正規化する機能を備えたシステムが必要です (SIEM システムが異種のログ データを適切に管理していない場合は、サードパーティのプログラムが必要になる可能性があります)。

データが正規化されると、定量化され、以前に記録されたデータと比較されます。 SIEM システムは悪意のある動作のパターンを認識し、ユーザーにアクションを起こすよう警告する通知を生成します。このデータは、アナリストによって検索され、将来のアラートに対する新しい基準を定義できます。これは、新たな脅威に対するシステムの防御を強化するのに役立ちます。

コンプライアンス報告

利便性と規制要件の観点から、広範なコンプライアンス レポート機能を備えた SIEM を持つことは非常に重要です。一般に、ほとんどの SIEM システムには、コンプライアンス要件への準拠に役立つ何らかのオンボード レポート生成システムが搭載されています。

準拠する必要がある標準の要件のソースは、どの SIEM システムをインストールするかに大きな影響を与えます。セキュリティ標準が顧客契約によって規定されている場合、どの SIEM システムを選択するかについてはあまり自由がありません。必要な標準をサポートしていなければ、使い慣れたものではなくなります。遵守を証明することが求められる場合があります。 PCI DSS 、 フィスマ 、フェルパ、 ヒパア 、 ソックス 、ISO、NCUA、GLBA、NERC CIP、GPG13、DISA STIG、またはその他の多くの業界標準のいずれか。

脅威インテリジェンス

侵害または攻撃が発生した場合は、それがどのように発生したかを詳細に説明するレポートを生成できます。その後、このデータを使用して内部プロセスを改善し、ネットワーク インフラストラクチャを調整して、同じことが二度と起こらないようにすることができます。これには SIEM テクノロジーが使用されており、ネットワーク インフラストラクチャは新たな脅威に対処するために進化し続けます。

アラート条件の微調整

将来のセキュリティ アラートの基準を設定できることは、脅威インテリジェンスを通じて効果的な SIEM システムを維持するために不可欠です。アラートを絞り込むことは、新しい脅威に対して SIEM システムを最新の状態に保つ主な方法です。革新的なサイバー攻撃は毎日出現しているため、新しいセキュリティ警告を追加するように設計されたシステムを使用することで、取り残されることを防ぎます。

また、受信するセキュリティ アラートの数を制限できる SIEM ソフトウェア プラットフォームを必ず見つけてください。アラートが殺到すると、チームはセキュリティ上の懸念にタイムリーに対処できなくなります。アラートを微調整しないと、ファイアウォールから侵入ログに至るまで大量のイベントを選別することになります。

ダッシュボード

大規模な SIEM システムであっても、その背後に貧弱なダッシュボードがある場合は役に立ちません。シンプルなユーザー インターフェイスを備えたダッシュボードを使用すると、脅威の特定がはるかに簡単になります。実際には、視覚化を備えたダッシュボードを探していることになります。これにより、アナリストはディスプレイで異常が発生しているかどうかをすぐに特定できるようになります。理想的には、特定のイベント データを表示するように構成できる SIEM システムが必要です。

最高の SIEM ツール

SIEM ツールを選択する前に、目標を評価することが重要です。たとえば、規制要件を満たす SIEM ツールを探している場合、レポートの生成が最優先事項の 1 つになります。

一方、新たな攻撃から保護し続けるために SIEM システムを使用したい場合は、高機能の正規化と広範なユーザー定義の通知機能を備えたシステムが必要です。以下では、市場で最高の SIEM ツールをいくつか紹介します。

SIEM ツールを選択するための方法論

私たちは SIEM 市場を調査し、次の基準に基づいてツールを分析しました。

• ログメッセージとライブ交通データの両方を収集するシステム
• ログファイル管理モジュール
• データ分析ユーティリティ
• データ保護基準に準拠したレポートを作成する機能
• 使いやすいインターフェースでインストールが簡単
• 評価のための試用期間
• 機能性とコストパフォーマンスの適切なバランス

1. Datadog セキュリティ監視 (無料トライアル)

オペレーティング·システム：クラウドベース

データドッグは クラウドベースのシステム監視パッケージ これにはセキュリティ監視も含まれます。システムのセキュリティ機能は、特殊なモジュールに含まれています。これは、ライブ イベントを監視しますが、それらをログ ファイル エントリとして収集するため、完全な SIEM システムです。 ログ情報 そしてさらに 監視データ 。このサービスはエージェントを通じてローカル情報を収集し、各レコードを Datadog サーバーにアップロードします。次に、セキュリティ監視モジュールがすべての受信通知を分析し、ファイルに記録します。

主な特徴:

• リアルタイムのセキュリティ イベント検出
• 500を超えるベンダー統合
• 1 つのダッシュボードからメトリクス、トレース、ログなどを観察
• すぐに使える堅牢な事前構成された検出ルール

セキュリティイベントのトリガー アラート サービスのコンソールで。コンソールからすべてのイベント レコードにアクセスすることもできます。ログに記録されたメッセージはインデックス付けされ、15 か月間保存されます。これらは、Datadog コンソールを介して分析のためにアクセスすることも、別の分析ツールにインポートするために抽出することもできます。

オフサイト処理機能により、インフラストラクチャの処理要求が軽減されます。また、非常に簡単に行うことができます リモートネットワークを監視する 。分析サービスには、既知の攻撃ベクトルを自動的に検出する事前定義されたルールのセットがあります。

検出ルールのプールは、 自動的に更新される 新しい攻撃戦略が発見されたときに Datadog によって送信されます。これは、セキュリティ ソフトウェアを最新の状態に保つプロセスがクラウド サーバー上で自動的に行われるため、システム管理者が心配する必要がないことを意味します。システム管理者にとっても非常に簡単です。 カスタムの検出ルールと軽減ルールを作成する 。

長所:

• リアルタイムの脅威検出
• 500 を超える統合による完全なセキュリティの可視化
• MITRE ATT&CK フレームワークにマッピングされたデフォルトのルールを使用して、脅威の検出をすぐに開始します
• Gartner の IT 顧客調査で Datadog は 4.6/5 のスコアを獲得
• 14日間の無料トライアル

短所:

• 豊富な機能に最初は少し圧倒されるかもしれません

Datadog は次の場所で利用できます 14日間の無料トライアル 。

編集者の選択

Datadog が私たちの第一の選択です。専門モジュールのメニューが提供されており、それらはすべて個別に、またはスイートとして展開できます。監視対象システムに関するデータを共有できるモジュールを組み合わせることで、より優れた機能が得られます。

14 日間の無料トライアルを入手:datadoghq.com/product/security-monitoring/

あなた：クラウドネイティブ

2. SolarWinds セキュリティ イベント マネージャー (無料トライアル)

オペレーティング·システム：ウィンドウズ

エントリーレベルの SIEM ツールに関しては、SolarWinds セキュリティ イベント マネージャー(どれの) は、市場で最も競争力のある製品の 1 つです。 SEM は、広範なログ管理機能とレポート機能を備えた、SIEM システムに期待されるすべてのコア機能を具体化しています。 SolarWinds の詳細なリアルタイム インシデント対応機能は、Windows イベント ログを活用して将来の脅威に対してネットワーク インフラストラクチャを積極的に管理したいと考えているユーザーにとって優れたツールです。

主な特徴:

• 侵害の自動ログ検索
• ライブ異常検出
• 歴史分析
• システムアラート
• 30日間の無料トライアル

SEM の最も優れた点の 1 つは、詳細で直感的なダッシュボードのデザインです。視覚化ツールのシンプルさにより、ユーザーは異常を簡単に特定できます。ウェルカムボーナスとして、同社は 24 時間年中無休のサポートを提供しているため、エラーが発生した場合は連絡してアドバイスを求めることができます。

長所:

• 幅広い統合を備えたエンタープライズ向けの SIEM
• シンプルなログフィルタリング、カスタムクエリ言語を学ぶ必要なし
• 数十のテンプレートにより、管理者はほとんどセットアップやカスタマイズをせずに SEM の使用を開始できます
• 履歴分析ツールは、ネットワーク上の異常な動作や外れ値を見つけるのに役立ちます

短所:

• SEM はプロフェッショナル向けに構築された高度な SIEM 製品であり、プラットフォームを完全に習得するには時間がかかります

多くのグラフィカル データ視覚化を備えた見栄えの良いインターフェイスは、Windows Server 上で実行される強力で包括的な SIEM ツールをサポートします。リアルタイムのインシデント対応により、インフラストラクチャの積極的な管理が容易になり、詳細で直感的なダッシュボードにより、これは市場で最も使いやすいダッシュボードの 1 つとなります。

30 日間の無料トライアルを入手:Solarwinds.com/security-event-manager/

あなた：ウィンドウズ

3. LogPoint (アクセス無料デモ)

ログポイントは、次を使用するオンプレミスの SIEM システムです。 異常検出 脅威ハンティング戦略のために。

このサービスは機械学習プロセスを使用して、各ユーザーとデバイスの定期的なアクティビティを記録します。これにより、異常な動作を特定するためのベースラインが確立され、集中的なアクティビティ追跡がトリガーされます。このテクニックはと呼ばれます ユーザーとエンティティの行動分析 （ウエバ）。の AIベース 機械学習技術は、疑惑を引き起こしたアカウントまたはデバイスのみに集中的な調査を制限するため、処理要件を削減します。

主な特徴:

• 効率的な処理
• アクティビティのベースライン設定のための UEBA
• アカウント乗っ取り検知
• 脅威インテリジェンス フィード

LogPoint システムは、と呼ばれる典型的な攻撃戦略のデータベースから情報を受け取ります。 侵害の兆候 (IoC)。このトリックのリストはかなり静的ですが、LogPoint が新しい戦略を特定するたびに、同社は世界中のクライアント サイトで実行されているすべての SIEM システム インスタンスを更新します。

LogPoint のトリアージ戦略により、CPU 使用率が低くなるだけでなく、システムが高速になります。の 脅威の検出 インジケーターは一元的に保存されるため、その後識別されるインジケーターは、システム上で発生する場所に関連付けられます。

長所:

• 脅威検出ルール
• 他のツールとのオーケストレーション
• インサイダー脅威の検出
• GDPR レポート

短所:

• 無料お試し期間はありません

LogPoint はサードパーティ ツールと通信してアクティビティ データを抽出でき、25,000 を超えるさまざまなソースからログ メッセージ出力を収集します。他のツールとの統合はと呼ばれます セキュリティのオーケストレーション、自動化、および対応 (SOAR) であり、修復指示を他のシステムに送り返すこともできます。システムには高度な自動化があり、サービス デスク システムにフィードするチケットを生成する機能も含まれています。

LogPoint は、ネットワーク アプライアンスとして、またはインストール用のソフトウェア バンドルとして入手できます。 Linux 。無料トライアルはありませんが、無料トライアルは可能ですデモをリクエストするパッケージを評価するには

LogPoint Access の無料デモ

4. グレイログ（無料プラン）

グレイログとして使用できるログ管理システムです。 SIEMツール 。このパッケージには、オペレーティング システムから派生したログ メッセージを収集するデータ コレクターが含まれています。また、パッケージが統合されているアプリケーションのリストからログ データを取得することもできます。 Graylog がキャプチャする主な形式は次の 2 つです。 シスログ そして Windowsイベント 。

主な特徴:

• データコレクター
• アプリケーションの統合
• Syslog と Windows イベント
• 混載者

データ コレクターはログ メッセージをログ サーバーに渡し、そこで共通の形式に統合されます。 Graylog システムはログ スループット統計を計算し、次の情報を表示します。 ライブテール 到着時にコンソールに記録されます。その後、ログ サーバーはメッセージをファイルし、意味のあるディレクトリ構造を管理します。どのログも分析のためにデータ ビューアに呼び戻すことができます。

Graylog システムには、事前に作成されたテンプレートが含まれています。 SIEM機能 。これらは適応可能であり、脅威の検出時に自動応答するためのプレイブックを実装することも可能です。

長所:

• 適応可能なSIEM機能
• アクセス権マネージャーとファイアウォールによるオーケストレーション
• アドホッククエリツール
• レポート形式

短所:

• Windows にはインストールできません

Graylog には 4 つのバージョンがあります。オリジナル版の名前は、 グレイログオープン 、コミュニティサポート付きの無料のオープンソースパッケージです。そのパッケージは Linux または VM 上にインストールされます。 2 つの主なバージョンは次のとおりです グレイログエンタープライズ そしてグレイログクラウド。これらの違いは、 グレイログクラウド は SaaS パッケージであり、ログ ファイル用のストレージ スペースが含まれています。エンタープライズ システムは VM 上で実行されます。 Enterprise には、Enterprise と呼ばれる無料版もあります。 グレイログ中小企業 。それ無料プラン加工に限定される1 日あたり 2 GB のデータ量。 Graylog Cloud 完全版のデモを入手できます。

Graylog Small Business ダウンロード - 1 日あたり 2GB まで無料

5. ManageEngine EventLog Analyzer (無料トライアル)

オペレーティング·システム： Windows と Linux

のManageEngine イベントログアナライザーは SIEMツール ログを管理し、ログからセキュリティとパフォーマンスの情報を収集することに重点を置いているためです。

このツールは、Windows イベント ログと Syslog メッセージを収集できます。次に、これらのメッセージをファイルに整理します。 新しいファイルにローテーションする 必要に応じて、簡単にアクセスできるように、それらのファイルを意味のある名前のディレクトリに保存します。 EventLog Analyzer は、これらのファイルを改ざんから保護します。

主な特徴:

• Windows イベント ログと Syslog メッセージを収集します
• ライブ侵入検知
• ログ分析
• アラートメカニズム

ただし、ManageEngine システムは単なるログ サーバーではありません。それは持っています 分析機能 これにより、会社リソースへの不正アクセスが通知されます。このツールは、Web サーバー、データベース、DHCP サーバー、印刷キューなどの主要なアプリケーションとサービスのパフォーマンスも評価します。

EventLog Analyzer の監査およびレポート モジュールは、データ保護標準への準拠を実証するのに非常に役立ちます。レポート エンジンには、以下に準拠するための形式が含まれています。 PCI DSS 、 フィスマ 、 GLBA 、 ソックス 、 ヒパア 、 そして ISO27001 。

長所:

• マルチプラットフォーム、Linux と Windows の両方で利用可能
• すべての主要な規格、HIPAA、PCI、FISMA などのコンプライアンス監査をサポート
• インテリジェントなアラートにより誤検知が減り、ネットワークの特定のイベントや領域に優先順位を付けることが容易になります。
• テスト用の無料版が含まれています

短所:

• 非常に機能が豊富な製品であるため、SIEM を使用したことがない新規ユーザーはこのツールに時間を投資する必要があります

がある 4つのエディション ManageEngine EventLog Analyzer の 1 つ目は、 無料 。その無料版はログ ソースが 5 つまでに制限されており、機能も限られています。最も安い有料パッケージは、 ワークステーション エディションでは、最大 100 ノードからログを収集できます。大規模なネットワークの場合は、 プレミアム 版があり、 分散型 複数のサイトからログを収集するエディション。すべてのバージョンが実行されます Windowsサーバー そして Linux 有料版のいずれかを入手できます。30日間の無料トライアル。

ManageEngine EventLog Analyzer のダウンロード 30 日間の無料トライアル

6. ManageEngine Log360 (無料トライアル)

エンジンログ360の管理 は、さまざまなオペレーティング システムおよびクラウド プラットフォーム用のエージェントを含むオンプレミス パッケージです。エージェントはログ メッセージを収集し、中央サーバー ユニットに送信します。エージェントは 700 以上のアプリケーションと統合されているため、アプリケーションから情報を抽出できます。また、Windows イベントおよび Syslog メッセージも処理します。

ログ サーバーはログ メッセージを統合し、到着するとダッシュボードのデータ ビューアに表示します。このツールは、到着率などのログ メッセージに関するメタデータも表示します。

主な特徴:

• サイトおよびクラウドシステムからのログ収集
• 脅威インテリジェンス フィード
• サービスデスクパッケージに送信されるアラート

この SIEM は脅威インテリジェンス フィードを受信し、脅威の検出速度を向上させます。不審なアクティビティが発見された場合、Log360 はアラートを生成します。アラートは、次のようなサービス デスク システムを通じて送信できます。 マネージ エンジン サービス デスク プラス 、 はい 、 そして Kayoko 。このパッケージには、PCI DSS、GDPR、FISMA、HIPAA、SOX、および GLBA のコンプライアンス レポート モジュールも含まれています。

長所:

• ファイル整合性の監視
• Windows イベントと Syslog メッセージを共通形式にマージします
• 手動データ分析ツール
• 自動化された脅威検出
• ログ管理とコンプライアンスレポート

短所:

• Linuxでは利用できません

ManageEngine Log360 の実行環境 Windowsサーバー 30 日間の無料試用が可能です。

ManageEngine Log360 30 日間の無料トライアルをダウンロード

7. エクサビームフュージョン

オペレーティング·システム : クラウドベース

エクサビームフュージョン はサブスクリプションサービスです。このシステムは SaaS パッケージとしてホストされ、クラウド サーバーの処理能力とログ データ用のストレージ スペースが含まれています。システムは脅威ハンティング ルーチンにソース データを必要とし、これは Exabeam によって保護されるネットワークにインストールする必要があるエージェントによって提供されます。

主な特徴:

• UEBA による適応可能なベースライニング
• 検出と対応のための SOAR

オンサイト エージェントはログ メッセージを収集し、Exabeam サーバーにアップロードします。また、ファイアウォールやウイルス対策システムなどのオンサイトのセキュリティ パッケージと対話して、より多くのイベント情報を抽出します。これはセキュリティ オーケストレーション、自動化、および対応 (SOAR) であり、サードパーティ ツールとの連携により、検出された脅威をシャットダウンすることもできます。

Exabeam コンソールには分析モジュールも含まれています。これにより、技術者はイベントを追跡し、脅威とみなされる可能性のある境界線の異常、または正当でまれなアクションである可能性がある境界線の異常を検査できるようになります。分析システムは攻撃のタイムラインを表示し、どのような一連のイベントがこれらの活動を脅威として扱う決定につながるかを示します。

長所:

• 攻撃に対して脆弱ではない、安全なオフサイト パッケージ
• 脅威インテリジェンスの自動更新
• シャットダウン攻撃に対する自動応答

短所:

• 無料トライアルはありません
• 価格表はありません

Exabeam は、銀行、公益事業、テクノロジー企業などの著名なユーザーを擁する優れたセキュリティ製品です。このシステムの問題の 1 つは、Exabeam が価格表を公開しておらず、無料トライアルを提供していないことです。ただし、次のことができます。 デモを入手する SIEM システムを探索します。

8. Splunk Enterprise セキュリティ

オペレーティング·システム：Windows と Linux

スプランクは、世界で最も人気のある SIEM 管理ソリューションの 1 つです。競合他社との違いは、SIEM の中心に分析を組み込んでいることです。システムが潜在的な脆弱性を探しているときに、ネットワークとマシンのデータをリアルタイムで監視でき、異常な動作を指摘することもできます。 Enterprise Security の Notables 機能は、ユーザーが調整できるアラートを表示します。

主な特徴:

• リアルタイムのネットワーク監視
• 資産調査員
• 歴史分析

セキュリティの脅威への対応という点では、ユーザー インターフェイスは非常にシンプルです。インシデントのレビューを実施する場合、ユーザーは、過去のイベントに関する詳細な注釈をクリックする前に、基本的な概要から始めることができます。同様に、Asset Investigator は悪意のある行為に警告を発し、将来の損害を防ぐという優れた仕事をします。

長所:

• 動作分析を利用して、ログでは発見できない脅威を検出できる
• 優れたユーザーインターフェイス、簡単なカスタマイズオプションを備えた非常に視覚的な
• イベントの優先順位付けが簡単
• エンタープライズ向け
• Linux と Windows で利用可能

短所:

• 価格は不透明で、ベンダーからの見積もりが必要です
• 大企業により適した
• クエリに検索処理言語 (SPL) を使用するため、学習曲線が急峻になります

見積もりについてはベンダーに問い合わせる必要があるため、これが大規模な組織を念頭に置いて設計されたスケーラブルなプラットフォームであることがわかります。この Splunk サービスには、Splunk Security Cloud と呼ばれる SaaS バージョンも利用できます。これは、 15日間の無料トライアル 。システムの試用版は、1 日あたり 5 GB のデータ処理に制限されています。

9. OSSEC

オペレーティング·システム： Windows、Linux、Unix、Mac

OSSEC は、主要なホストベースの侵入防御システム (HIDS) です。 OSSEC は非常に優れた HIDS であるだけでなく、無料で使用できます。 HIDS メソッドは SIM システムによって実行されるサービスと互換性があるため、OSSEC も SIEM ツールの定義に当てはまります。

主な特徴:

• ログファイルの管理
• サポートパッケージオプション
• 無料で使用できます

このソフトウェアは、ログ ファイル内の情報に焦点を当てて、侵入の証拠を探します。ソフトウェアは、ログ ファイルを読み取るだけでなく、ファイルのチェックサムを監視して改ざんを検出します。ハッカーは、ログ ファイルがシステム内での存在を明らかにし、そのアクティビティを追跡できることを知っているため、多くの高度な侵入マルウェアは、その証拠を削除するためにログ ファイルを変更します。

無料のソフトウェアである OSSEC をネットワーク上の多くの場所にインストールしない理由はありません。このツールは、ホスト上に存在するログ ファイルのみを検査します。ソフトウェアのプログラマは、オペレーティング システムが異なればログ システムも異なることを知っています。そのため、OSSEC は、Windows 上のイベント ログとレジストリ アクセス試行と、Linux、Unix、および Mac OS デバイス上の Syslog レコードとルート アクセス試行を調査します。ソフトウェアのより高度な機能により、ネットワーク経由で通信し、1 つの場所で識別されたログ レコードを中央の SIM ログ ストアに統合できるようになります。

OSSEC は無料で使用できますが、商用運営であるトレンドマイクロが所有しています。システムのフロントエンドは別個のプログラムとしてダウンロードできますが、完全ではありません。ほとんどの OSSEC ユーザーは、フロントエンドおよび分析エンジンとして Graylog または Kibana にデータをフィードします。

長所:

• Linux、Windows、Unix、Mac などの幅広いオペレーティング システムで使用可能
• SIEM と HIDS の組み合わせとして機能可能
• インターフェースはカスタマイズしやすく、視覚的に優れています
• コミュニティが作成したテンプレートにより、管理者はすぐに作業を開始できます

短所:

• さらに分析するには、Graylog や Kibana などの二次ツールが必要です
• オープンソース版には有料サポートがありません

OSSEC の動作は、ログ ファイル内で検索するアクティビティの署名である「ポリシー」によって決まります。これらのポリシーは、ユーザー コミュニティ フォーラムから無料で入手できます。完全にサポートされているソフトウェアのみを使用したい企業は、トレンドマイクロのサポート パッケージに加入できます。

以下も参照してください。 最高のHIDS

10. LogRhythm 次世代 SIEM プラットフォーム

オペレーティング·システム : Windows、アプライアンス、またはクラウド

ログリズムは、長い間、SIEM ソリューション分野のパイオニアとしての地位を確立してきました。行動分析からログ相関、機械学習用の人工知能まで、このプラットフォームにはすべてが備わっています。

主な特徴:

• AIベース
• ログファイルの管理
• ガイド付き分析

このシステムは、幅広いデバイスやログ タイプと互換性があります。設定の構成に関しては、ほとんどのアクティビティは Deployment Manager を通じて管理されます。たとえば、Windows ホスト ウィザードを使用して Windows ログを調べることができます。

これにより、ネットワーク上で何が起こっているかを絞り込むことがはるかに簡単になります。最初はユーザー インターフェースに慣れるのに時間がかかりますが、豊富な取扱説明書が役に立ちます。おまけに、取扱説明書には実際に作業を助けるために、さまざまな機能へのハイパーリンクが提供されています。

長所:

• シンプルなウィザードを使用してログ収集やその他のセキュリティ タスクをセットアップするため、より初心者に優しいツールになります
• 洗練されたインターフェース、高度にカスタマイズ可能、そして視覚的に魅力的
• 人工知能と機械学習を活用して行動分析を行う

短所:

• トライアルオプションを確認したい
• クロスプラットフォームのサポートは歓迎される機能です

このプラットフォームは価格が安いため、新しいセキュリティ対策を導入したいと考えている中規模の組織にとっては良い選択肢となります。

11. AT&T サイバーセキュリティ AlienVault 統合セキュリティ管理

オペレーティング·システム : クラウドベース

このリストの中で、より競争力のある価格の SIEM ソリューションの 1 つとして、AlienVault(現在はその一部AT&T サイバーセキュリティ)非常に魅力的な商品です。これの核となるのは、侵入検知、動作監視、脆弱性評価が組み込まれた従来の SIEM 製品です。 AlienVault には、スケーラブルなプラットフォームに期待されるオンボード分析が備わっています。

主な特徴:

• 侵入検知
• 行動監視

AlienVault プラットフォームのさらにユニークな側面の 1 つは、Open Threat Exchange (OTX) です。 OTX は、ユーザーが「侵害の痕跡」(IOC) をアップロードして、他のユーザーが脅威にフラグを立てられるようにする Web ポータルです。これは、一般的な知識と脅威に関する優れたリソースです。

長所:

• ログ ファイルをスキャンし、ネットワーク上でスキャンされたデバイスとアプリケーションに基づいて脆弱性評価レポートを提供できます。
• ユーザー主導のポータルにより、顧客は脅威データを共有してシステムを改善できます
• 人工知能を使用して、管理者による脅威の追跡を支援します

短所:

• 試用期間をもっと長くしてほしい
• ログの検索と読み取りが難しくなる場合がある
• 他のセキュリティ システムへの統合オプションをさらに増やしたいと考えています

この SIEM システムは低価格なので、セキュリティ インフラストラクチャの強化を検討している中小企業に最適です。 AT&T サイバーセキュリティのオファー 無料トライアル 。

12.IBM QRadar SIEM

オペレーティング·システム : Linux、仮想アプライアンス、クラウドベース

ここ数年ほどで、SIEM に対する IBM の答えは、市場で最高の製品の 1 つとしての地位を確立しました。このプラットフォームは、重要なシステムの稼動を維持するために役立つ一連のログ管理、分析、データ収集、侵入検知機能を提供します。すべてのログ管理は 1 つのツールを通じて行われます。QRadar ログ・マネージャー。分析に関して言えば、QRadar はほぼ完全なソリューションです。

主な特徴:

• ログ管理
• 侵入検知
• 分析機能

このシステムには、潜在的な攻撃をシミュレートできるリスク モデリング分析が備わっています。これを使用して、ネットワーク上のさまざまな物理環境および仮想環境を監視できます。 IBM QRadar は、このリストの中で最も完全な製品の 1 つであり、多用途の SIEM ソリューションを探している場合に最適です。

長所:

• 人工知能を使用してリスク評価を提供します
• 模擬攻撃に基づいてネットワークへの影響を判断できる
• シンプルだが効果的なインターフェースを備えている

短所:

• 他の SOAR および SIEM プラットフォームとの統合が欠如している
• より優れたフロー分析ツールを使用できる可能性がある

この業界標準の SIEM システムの多様な機能により、多くの大規模組織の業界標準となっています。

QRadar のソフトウェアは次の場所にインストールできます。 レッドハット エンタープライズ リナックス または、仮想アプライアンスとして実行できます。 ヴイエムウェア 、 Hyper-V 、 または KVM 仮想化。このシステムはクラウドプラットフォームとしても利用できます。 IBM は無料の コミュニティ版 QRadar の 体験版 システムの。

13. マカフィー エンタープライズ セキュリティ マネージャー

オペレーティング·システム ： ウィンドウズ。 VMWare ESX/ESXi、およびクラウド

マカフィー エンタープライズ セキュリティ マネージャーは、分析の点で最高の SIEM プラットフォームの 1 つとみなされています。ユーザーは、Active Directory システムを通じて、さまざまなデバイスにわたるさまざまなログを収集できます。

主な特徴:

• ログの統合
• ライブモニタリング

正規化に関しては、McAfee の相関エンジンは異種のデータ ソースを簡単にコンパイルします。これにより、セキュリティ イベントの発生をより簡単に検出できるようになります。

サポートに関しては、ユーザーは McAfee Enterprise テクニカル サポートと McAfee Business テクニカル サポートの両方にアクセスできます。ユーザーは希望に応じて、サポート アカウント マネージャーによるサイト訪問を年に 2 回受けることができます。マカフィーのプラットフォームは、完全なセキュリティ イベント管理ソリューションを求める中規模企業を対象としています。

長所:

• 強力な相関エンジンを使用して、脅威をより迅速に発見して排除します。
• Active Directory環境にうまく統合
• 大規模ネットワークを念頭に置いて構築

短所:

• インターフェイスが乱雑で、圧倒されることが多い
• 見積もりについては営業担当者に連絡する必要があります
• より多くの統合オプションを使用できる
• かなりリソースを消費する

Enterprise Security Manager のソフトウェアは次の場所にインストールされます。 ウィンドウズ Windows Server を使用することも、仮想アプライアンスとして実行することもできます。 VMWare ESX/ESXi 仮想化。システムの VM バージョンは、 無料トライアル 、翌月末まで続くため、30 日以上続きます。 ESM は SaaS パッケージとしても利用できます。 ESMクラウド 。

SIEMの導入

ビジネスにどの SIEM ツールを組み込む場合でも、SIEM ソリューションをゆっくりと導入することが重要です。 SIEM システムを実装するための迅速な方法はありません。 SIEM プラットフォームを IT 環境に統合する最良の方法は、段階的に導入することです。これは、あらゆるソリューションを個別に採用することを意味します。リアルタイム監視機能とログ分析機能の両方を目指す必要があります。

そうすることで、IT 環境を評価し、導入プロセスを微調整できるようになります。 SIEM システムを段階的に導入すると、悪意のある攻撃にさらされていないかどうかを検出できるようになります。最も重要なことは、SIEM システムを使用するときに達成したい目標を明確に把握することです。

このガイドでは、さまざまな SIEM プロバイダーが非常に異なる最終製品を提供していることを見てきました。自分に合ったサービスを見つけたい場合は、時間をかけて利用可能なオプションを調査し、組織の目標に合致するものを見つけてください。初期段階では、最悪のシナリオに備える必要があります。

最悪のシナリオに備えるということは、最も過酷な攻撃にも対処する準備ができていることを意味します。結局のところ、サイバー攻撃に対しては、十分に保護されていないよりも過剰に保護されている方が良いのです。使用するツールを選択したら、更新に取り組みます。 SIEM システムの良さは、アップデートによって決まります。ログを更新し続け、通知を改善しなければ、新たな脅威が襲ってきたときに準備ができていないことになります。

組織に SIEM ツールの導入に取り組む準備ができていない場合、または予算でそれが厳密に禁止されている場合は、SIEM のニーズを共同マネージド SIEM またはマネージド SIEM プロバイダーにアウトソーシングできます。の投稿をご覧ください。 最適なマネージド SIEM ソリューション 。

最高の SIEM ベンダー

1. Datadog セキュリティ監視 編集者の選択
2. SolarWinds (無料トライアル)
3. LogPoint (アクセスデモ)
4. グレイログ（無料プラン）
5. ManageEngine EventLog Analyzer (無料トライアル)
6. ManageEngine Log360 (無料トライアル)
7. スプランク
8. OSSEC
9. ログリズム
10. AT&T サイバーセキュリティ
11. RSA
12. IBM
13. マカフィー

シェムよくある質問

SIEMプロセスとは何ですか?

「SIEM プロセス」とは、データ セキュリティに対する企業の戦略を指します。 SIEM ツールはその戦略における重要な要素ですが、ツールを業務慣行に統合する方法は、データ セキュリティ標準のコンプライアンス要件によって決まります。

サービスとしての SIEM とは何ですか?

クラウドベースのソフトウェアには、ソフトウェアを実行するサーバーとログ データの保存スペースが含まれており、「Software as a Service」(SaaS) と呼ばれます。 SIEM as a Service (SIEMaaS) は SaaS の SIEM 形式であり、上位プランには専門のデータ アナリストと IT リソースの提供が含まれます。

セキュリティ イベントとは何ですか?

セキュリティ イベントは、データまたはインフラストラクチャの不正使用を示す、システム リソースの予期しない使用です。個々のイベントは無害に見えるかもしれませんが、他のアクションと組み合わせるとセキュリティ侵害につながる可能性があります。

SIEM のログ解析とは何ですか?

ログ解析では、SIEM でのセキュリティ分析に使用できるように既存のデータを再構築します。主要なデータは、さまざまな記録管理システムから取得された通常のログ ファイルから抽出され、複数のソースから発生したイベント情報が統合されます。

SIEMの費用はいくらですか?

SIEM システムには多くの構成があり、新興企業や中堅企業向けのオープンソース実装から、大企業に適したマルチユーザー ライセンス パッケージまで多岐にわたります。