IT製品導入に関する技術資料を多数掲載 ホワイトペーパーダウンロードセンター
  • @IT
  • ITmedia エンタープライズ
  • ITmedia マーケティング
  • TechTarget
  • キーマンズネット

WP

マイクロフォーカスエンタープライズ株式会社

製品資料

マイクロフォーカスエンタープライズ株式会社

データ解析機能を強化してSOC運用コストも削減、「SIEM」連携術

セキュリティオペレーションを支援するSIEM製品がさまざま登場しているが、どれを選べばいいかという悩みは尽きない。主流である2手法について、データ取り込み方法の違いや、それぞれを連携することで得られる利点を紹介する。

コンテンツ情報

公開日 2019/02/07 フォーマット PDF 種類 製品資料
ページ数・視聴時間 3ページ ファイルサイズ 1.09MB

要約

 セキュリティオペレーションを支援すべく、さまざまなベンダーがSIEM製品を提供している。中でも主流の1つが、データ取り込み時にイベントデータを未処理のまま収集してインデックス化する「スキーマオンリード」という手法を採用したものだ。だがこれはデータ収集が容易な一方、ライセンス使用量の増加や、オーバーヘッドが下流ワークフローに持ち越されるという欠点もある。

 そこで注目したいのが、取り込み時にデータを正規化、カテゴリー分類、エンリッチメント、集約を行う「スキーマオンライト」だ。共通の構造化された形式にデータが加工されるため、他のビッグデータ/解析ツールとの共有が容易になる。また共通のイベントをグループ化し、一般的なフィールドを最小限のデータロスで保存することでデータストアを大幅に節約できるため、下流アプリケーションの収集や解析の負荷も削減できる。

 さらに、これをスキーマオンリード手法を用いた製品と連携することで、消費、インデックス化、処理が必要なデータ量を減らすことが可能になる。本コンテンツではこれらの手法の違いを詳しく解説しつつ、それぞれを連携させSOC運用を効率化するための手順を紹介する。

アンケート

※「アンケート回答」「続きを読む」には、下記ボタンを押して会員登録あるいはログインしてください。