システム概要
Logstorage-X/SIEM(ログストレージ・エックス・シーム)は、企業内のあらゆる情報システムから出力されるサーバーやネットワーク機器等のログデータを収集し、セキュリティ脅威となる事象をリアルタイムに検知・分析するシステムです。
収集
Logstorage-X/SIEMは、多様な分析対象をサポートしています。
システム環境やログの特性に合わせ、複数の収集方式を組合わせることができます。
テキスト形式で出力されるログはすべて収集可能
別途、Syslogサーバ不要
| 収集先 | 収集方法 |
|---|---|
| ファイルレシーバ | Logstorage ELCで、ログを定期収集、ファイルレシーバに送信 |
| ファイルレシーバが、ファイル共有されたログを定期受信 | |
| LLTPレシーバ | Logstorage Agentで、ログをリアルタイム収集、LLTPレシーバにリアルタイム送信 |
| Syslog UDPレシーバ | Syslogレシーバが、Syslogプロトコルをリアルタイム受信 |
| Syslog TCPレシーバ | |
| Syslog TLSレシーバ | |
| SNMPレシーバ | SNMPレシーバが、SNMPトラップをリアルタイム受信 |
Logstorage Agentは、集中管理ツールによって集中管理することができます。
GUI版:Logsource Controller
CUI版:Agent 集中管理ツール
ログの収集実績例はこちらからご確認いただけます。
収集実績一覧
条件分岐
受信したログは、レシーバーからインデクサーに格納されるまでに、あらかじめ設定したアラート条件を適用しながら、即時アラート出力を可能にしています。
| 設定名 | 設定できる内容 |
|---|---|
| 受信コマンド | レシーバーがログを受信した時点で、 ログに、フィルタや情報の追加、編集などを行います。 |
| カテゴリー分類 | レシーバーがログを受信した時点で、 ログに、事前に設定した「カテゴリー定義」を付与します。 |
「コマンド適用」と「アラート設定」
「コマンド適用」と「アラート設定」はフローチャート形式で設定、管理できます。
| 分類名 | 概要 |
|---|---|
フィルタ | 指定したコマンドの条件にマッチしたログのみ後段の処理に渡します。 マッチしないものは破棄します。 【例】特定のサーバーへのアクセスは例外として評価対象外としたい。 |
分岐 | 指定したコマンドの条件にマッチしたログとしなかったログに分離し、 後段にて別々の処理を実行させます。 【例】管理者と一般ユーザーで処理を分けたい。 |
コマンド | X/SIEMが提供するコマンドを利用し、ログに対する操作を行います。 【例】ユーザーマスタと突合したい。 |
検出 | 特徴的なアルゴリズム(スパイクイベント、レアイベント、ゼロイベント)に基づき、 ログを検出します。 【例】1分以内に10件のログイン失敗を検出したい。 |
通知 | メール、UDP、外部コマンドのいずれかを利用し ルール定義における終点として定義されます。 【例】管理者にアラートとして、メールで発報したい。 |
分析
リアルタイムにログの状況を集計やタイムラインのグラフを一覧で確認できます。
グラフや一覧の値をクリックすることでドリルダウンが可能です。
ライセンス体系
Logstorage-X/SIEM は、ログの受信量に応じたライセンス体系を用意しています。
スモールスタートも可能ですので、お気軽にご相談下さい。
