SIEMとは

最近は単なるログ管理だけでなく、SIEMと言われるSセキュリティ情報のイベント管理(Security Information and Event Management)に注目が集まっています。

今まではそれぞれのファイアウォールであったりスパム対策製品であったりと個別でセキュリティ情報がチェックされインシデントが発生した際には個別でアラートがあがるような仕組みがほどんどでした。
万一の対策としても、各システムのログを1箇所に集めて事後に調査が可能としている所までがほとんどではないでしょうか。

今回検証したSIEMとは、ログを集約するだけでなくそのログを様々な相関関係から自動的に判断してくれるというものです。

AlienVault社のOSSIM (Alien Vault)

それでは、AlienVault社のOSSIMという無料版のSIEMツールで少し検証をしてみたいと思います。
インストールは簡単でISOファイルが提供されており、バーチャルアプライアンスとして導入可能です。

Alien Vault OSSIMログイン画面
ログイン画面はこんな感じです
Alien Vault OSSIM ダッシュボード
ログイン後のダッシュボード

テストで社内ファイアウォールのログをsyslogで転送設定し、AlienVaultで受信設定をしてみます。
「SENSOR CONFIGURATION」でファイアウォールなどのメーカーを追加することでログをパースしてくれるようです。
有名所のメーカーはデフォルトで準備されているようですのでこれは便利かと思います。

Alien Vault OSSIM
SENSOR CONFIGURATION 設定

しばらくすると、ログが流れてきて参照することが可能です。リアルタイム参照もありなかなか無償とは思えないですね。

Alien Vault OSSIM ログ参照
ファイアウォールのログ参照

これで簡単にログを参照出来るようになりました。ただし、SIEMとしては単一のログだけでは効果が発揮出来ませんので今後、その他のログを増やして行こうかと思います。ただ、これだけでは少し寂しいので次にOTXという機能を試します。

OTX(Open Threat Exchange)

ログが取得出来るようになったので、少しそのログについてのセキュリティ判定を入れて見たいと思います。ここで利用するのはOTXというセキュリティ情報を交換するコミュニティが提供するリスクが高いIPやドメインなどの情報を利用してみます。
利用は簡単でこちらのサイトでユーザ登録を行い利用のためのAPIキーを取得するだけです。それでは、キーを登録後のログを参照してみます。

Alien Vault OSSIM OTX

赤○のところが判定されたログですね。これらのIPに対して端末からPINGやWEB接続してみましたがそちらもしっかりと判定されていました。OTXで判定されたものは内部判定でリスク値を上げて判定されるようです。

まとめ

今回は、SIEMの製品を簡単に紹介しました。特徴である相関分析のところが紹介出来てませんが、OTXとの連携だけでも端末からの不正なアクセスを監視出来るなど様々な効果があるように思います。
システムがどんどん増加し、管理することが増え続ける管理者様はこのような製品を検討し日々のログ確認などの運用を自動化されてはいかがでしょうか。

リアルタイムログの様子