 |
セキュリティ情報マネジメント概論[中編]
セキュリティ情報マネジメントの仕組みを
技術的に理解する(1)
住商情報システム株式会社
セキュリティソリューション事業部
事業部長補佐(技術担当)
CISSP
2005/9/6
 |
関連付けルールの処理の流れ |
関連付けルールの処理は、一般にイベントマネージャのメモリ上で行われる。ルールは、関連付けられる複数のイベントを選択するためのフィルタ条件と、複数イベントを関連付けるための項目および関連イベントと判断するための条件(相関条件)、条件を満たすべき回数(繰り返し条件)、そしてそれぞれの条件が完成するための制限時間(ウィンドウ時間)から構成される。イベントの関連付けルール処理の様子を見てみよう。
 |
| 図2 ルール処理の流れ |
図2は、入力されたイベントとルール処理の流れの例を模式的に描いたものだ。図の左側から流れ込んだイベントは、2つのフィルタによって分けられる。例えば、ファイアウォールからのイベントとIDSのイベントを関連付けるルールの場合、イベント1フィルタ条件は特定のファイアウォールのイベントのみを、イベント2フィルタ条件は特定のIDSイベントのみを通過させるように設定される。
通過したイベントは、例えば「互いに発信元、あて先IPアドレスが同じ値を持つ」というような条件(相関条件)を満たせば、1つのイベントにまとめられて繰り返しカウンタに送られる。ただし、実際には条件を満たすイベントが同時に届くことはないため、フィルタを通過したイベントは、相関条件を満たす別のイベントが到着するか、制限時間(ウィンドウ時間)を超えるまでは処理を保留され、メモリ上にとどまることになる。
実際の運用では、このウィンドウ時間を適切に設定しないと次々と到着するイベントが保留され、メモリを食いつぶす原因となってしまうことがある。非常にゆっくりと進行する事象の検出は特に注意が必要だ。対策として、イベント内の必要な情報のみを待避領域に保存し、リアルタイム処理のためのメモリ領域を開放するような仕組みも用意されている。
繰り返しカウンタは、あるルールの完成に複数回の相関条件の達成が必要になるケースや複数の事象を集約して報告したい場合に使用する。一定時間内に設定された回数を超えた場合、それらのイベントは1個のイベントにまとめられ出力される。実際は、このような処理がルールの個数だけ走っているイメージだ。
|
メタイベントとアクション処理 |
ルールが完成すると、1個のイベントが出力され、イベントストリームに戻される。この新しいイベント(メタイベントと呼ぶ)は、入力イベントと同等に扱われ、データベースに記録されると同時に、新たなルールの入力としても利用される。つまり、ルールの処理結果を次のルールに受け渡して次々と処理するようなことも可能だ。このような組み合わせルールを使用すれば、かなり複雑な条件を処理することもできる。
 |
| 図3 メタイベント |
ほとんどのSIMではルール処理の完成、もしくはその途中の過程で、メタイベントの生成に加え、さまざまなアクションの実行が可能だ。例えば、メールなどによる警告の送信、コンソールへの通知、特定のスクリプトの実行やほかのシステム(例えばネットワーク監視システムなど)への通知といったものだ。これによってSIMとオペレータ、ほかのシステムとの連携が可能になる。
 |
| 図4 ルール設定画面のサンプル |
商用のSIMでは、このような基本的な処理に加え、多くのリアルタイム監視のための機能が用意されている。監視センターでは、さまざまな状況をリアルタイムでモニタリングする必要がある。その多くが、データの集計や統計処理を必要とするもので、コンソール上のモニタ用パネル(ダッシュボード)にグラフで表示される。このような処理や表示を自由にプログラムできる機能もSIMとしては必須となる。
 |
3/4 |
|
| Index | |
| セキュリティ情報マネジメントの仕組みを技術的に理解する(1) | |
| Page1 SIMのコンポーネント 収集エージェントはなぜ必要か |
|
| Page2 イベントフォーマットの標準化に一工夫あり イベントマネージャの役割と機能 |
|
 |
Page3 関連付けルールの処理の流れ メタイベントとアクション処理 |
| Page4 アノーマリ検知とモニタオブジェクト |
|
| セキュリティ情報マネジメント概論 | |
| SIMで企業のセキュリティを統合管理せよ | |
| セキュリティ情報マネジメントの仕組みを技術的に理解する(1) | |
| セキュリティ情報マネジメントの仕組みを技術的に理解する(2) | |
| SIMを上手に使いこなす | |
| 業務中にSkypeやIMを使っているのは誰だ? | |
| 不審な通信や無許可ホストを見逃さない | |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
