ログの相関分析でサイバー攻撃から情報資産を守る
- 導入支援と運用支援 -
McAfee SIEM
(Security Information and Event Management)
特にエンタープライズレベルの大規模ネットワークでは、ファイアウォールに代表されるセキュリティシステムやアプリケーションのログ、ネットワーク全体のフロー、認証情報等のログを連携させ、相関的に分析することが、セキュリティリスクを低減させるうえで重要となります。
McAfee SIEMは、大規模ネットワークを構成する多種多様なシステムから取得される情報を統合し、相関的に分析し、可視化することにより、企業の情報資産をセキュリティ脅威から守るための、次世代統合ログ分析システムです。
このような課題解決に
- 大規模ネットワークなので全体的なログ分析が出来ていない。統合的なログ解析でセキュリティレベルを高めたい。
- 様々なログデータがあるのでログ分析に時間と手間がかかっている。
- セキュリティポリシから専用ソフトなどをインストールせずに管理を行いたい。できればブラウザで操作したい。
McAfee SIEMの特長
多種多彩なデータソースをサポート
- 種々のデータソースから受信したログデータを自動的に共通フォーマットに変換
- ログ分析、レポート出力が容易
ハイパフォーマンスを実現する高速処理システム
- 独自のデータベースと専用ハードウェアを採用
- リアルタイム性を実現
- 分散型データ収集にも対応
連携機能で脅威の可視化
- McAfee GTI(Global Threat Intelligence)と連携
- 収集したログデータに、インターネット上で分析確認されたセキュリティリスク情報(レピュテーション情報)を付与し、脅威を可視化
- インシデント対応の効率化
関連イベントをひも付けて自動分析
- ACE(Advanced Correlation Engine)による関連するイベントをひも付けて分析
- McAfee SIEMの相関分析ルールにより代表的な問題を自動分析
レポーティングの操作性
- ブラウザベースでの管理
- 専用のソフトウェアやエージェントは不要
- イベントデータに重要度情報を付与することにより、注目度の高いイベントを抽出
- 過去のデータから算出された平均値と現況の比較が可能
- コンプライアンス視点でのレポーティングも可能
McAfee SIEMの構成
基本構成
| McAfee Enterprise Security Manager | 高速処理による関連情報の迅速提供 |
|---|---|
| エンタープライズのリスク情報、グローバルな脅威情報を活用した | |
| 迅速な脅威対応とレポート出力 |
| McAfee Event Receiver | デバイスのイベントログやネットワークフローの収集 |
|---|
| McAfee Enterprise Log Manager | 幅広いログを自動管理 |
|---|---|
| コンプライアンス対応のログ管理 | |
| フォレンジックに必須の信頼性と整合性の確保 |
| McAfee Advanced Correlation Engine | データのリアルタイム監視 |
|---|---|
| 相関エンジンの利用によるリスクや脅威の未然検出 |
| McAfee Global Threat Intelligence for ESM | レピュテーション情報の提供 |
|---|
オプション
| McAfee Application Data Monitor | アプリケーション使用状況を正確に分析 |
|---|---|
| 使用ポリシの徹底、悪質なトラフィックの検出 |
| McAfee Databese Event Monitor for SIEM | データベースの設定やアクセスを監視し、トランザクションを記録 |
|---|