システム概要
Logstorage-X/SIEM(ログストレージ・エックス・シーム)は、企業内のあらゆる情報システムから出力されるサーバーやネットワーク機器等のログデータを収集し、セキュリティ脅威となる事象をリアルタイムに検知・分析するシステムです。
収集
Logstorage-X/SIEMは、多様な分析対象をサポートしています。
システム環境やログの特性に合わせ、複数の収集方式を組合わせることができます。
| 収集内容 | 収集方法 | 必要なツール | 収集先 |
|---|---|---|---|
| Unixサーバコマンド 実行結果 Windowsサーバ/Vmware/Net App/EMC イベントログ | ELCによる自動収集 | Logstorage ELC | |
| Windows/Linux テキストログ | ファイル共有によるリアルタイム収集 | - | |
| NW機器 | SNMPによるリアルタイム収集 | - | SNMPレシーバ |
| Windows テキストログ イベントログ | Agentによるリアルタイム収集 | Logstorage Agent | LLTPレシーバ |
| ルータ/IDS/ファイアウォール テキストログ Linux Syslog | Syslogによるリアルタイム収集 | - | Syslogレシーバ |
テキスト形式で出力されるログはすべて収集可能です
Logstorage Agentは、集中管理ツールによって集中管理することができます。
GUI版:Logsource Controller
CUI版:Agent 集中管理ツール
ログの収集実績例はこちらからご確認いただけます。
収集実績一覧
条件分岐
受信したログは、レシーバーからインデクサーに格納されるまでに、あらかじめ設定したアラート条件を適用しながら、即時アラート出力を可能にしています。
| 設定名 | 設定できる内容 |
|---|---|
| 受信コマンド | レシーバーがログを受信した時点で、 ログに、フィルタや情報の追加、編集などを行います。 |
| カテゴリー分類 | レシーバーがログを受信した時点で、 ログに、事前に設定した「カテゴリー定義」を付与します。 |
「コマンド適用」と「アラート設定」
「コマンド適用」と「アラート設定」はフローチャート形式で設定、管理できます。
| 分類名 | 概要 | ユースケース例 | |
|---|---|---|---|
 | フィルタ | 指定したコマンドの条件にマッチしたログのみ後段の処理に渡します。 マッチしないものは破棄します。 | 特定のサーバーへのアクセスは例外として評価対象外としたい |
 | 分岐 | 指定したコマンドの条件にマッチしたログとしなかったログに分離し、 後段にて別々の処理を実行させます。 | 管理者と一般ユーザーで処理を分けたい。 |
 | コマンド | X/SIEMが提供するコマンドを利用し、ログに対する操作を行います。 | ユーザーマスタと突合したい。 |
 | 検出 | 特徴的なアルゴリズム(スパイクイベント、レアイベント、ゼロイベント)に基づき、 ログを検出します。 | 1分以内に10件のログイン失敗を検出したい。 |
 | 通知 | メール、UDP、外部コマンドのいずれかを利用し ルール定義における終点として定義されます。 | 管理者にアラートとして、メールで発報したい。 |
分析
リアルタイムにログの状況を集計やタイムラインのグラフを一覧で確認できます。
グラフや一覧の値をクリックすることでドリルダウンが可能です。
ライセンス体系
Logstorage-X/SIEM は、ログの受信量に応じたライセンス体系を用意しています。
スモールスタートも可能ですので、お気軽にご相談下さい。
