IT製品導入に関する技術資料を多数掲載 ホワイトペーパーダウンロードセンター
データ解析機能を強化してSOC運用コストも削減、「SIEM」連携術
コンテンツ情報
| 公開日 | 2019/02/07 | フォーマット | 種類 | 製品資料 |
|
|---|---|---|---|---|---|
| ページ数・視聴時間 | 3ページ | ファイルサイズ | 1.09MB | ||
要約
セキュリティオペレーションを支援すべく、さまざまなベンダーがSIEM製品を提供している。中でも主流の1つが、データ取り込み時にイベントデータを未処理のまま収集してインデックス化する「スキーマオンリード」という手法を採用したものだ。だがこれはデータ収集が容易な一方、ライセンス使用量の増加や、オーバーヘッドが下流ワークフローに持ち越されるという欠点もある。
そこで注目したいのが、取り込み時にデータを正規化、カテゴリー分類、エンリッチメント、集約を行う「スキーマオンライト」だ。共通の構造化された形式にデータが加工されるため、他のビッグデータ/解析ツールとの共有が容易になる。また共通のイベントをグループ化し、一般的なフィールドを最小限のデータロスで保存することでデータストアを大幅に節約できるため、下流アプリケーションの収集や解析の負荷も削減できる。
さらに、これをスキーマオンリード手法を用いた製品と連携することで、消費、インデックス化、処理が必要なデータ量を減らすことが可能になる。本コンテンツではこれらの手法の違いを詳しく解説しつつ、それぞれを連携させSOC運用を効率化するための手順を紹介する。
そこで注目したいのが、取り込み時にデータを正規化、カテゴリー分類、エンリッチメント、集約を行う「スキーマオンライト」だ。共通の構造化された形式にデータが加工されるため、他のビッグデータ/解析ツールとの共有が容易になる。また共通のイベントをグループ化し、一般的なフィールドを最小限のデータロスで保存することでデータストアを大幅に節約できるため、下流アプリケーションの収集や解析の負荷も削減できる。
さらに、これをスキーマオンリード手法を用いた製品と連携することで、消費、インデックス化、処理が必要なデータ量を減らすことが可能になる。本コンテンツではこれらの手法の違いを詳しく解説しつつ、それぞれを連携させSOC運用を効率化するための手順を紹介する。