SIEMとは
SIEM(Security Information and Event Management)とは、システム機器の状態を一か所にかき集め、何か問題がないかを確認する運用です。
ファイアウォールやIDS/IPS、プロキシなどから出力されるログやデータを一元的に集約し、システムの全体像を把握することで、サイバー攻撃やマルウェア感染などのインシデントを検知する仕組みです。また、SIEMには収集したデータ同士の相関関係を調べる機能が搭載されていることが一般的です。ただし、不必要な権限を与えず、ログが変更・削除されることの無いようにしましょう。
データの相関分析
UEBA(User and Entity Behavior Analytics、ユーザーとエンティティのふるまい分析)とは、蓄積されたデータをもとにユーザーの行動を特定し、システム上のトラフィックパターンが正当なユーザーのものどうかを判断する分析です。
現代では、SIEMにおいて統計的分析や機械学習を用いた分析機能と認識しておいてよいでしょう。
