IT製品導入に関する技術資料を多数掲載 ホワイトペーパーダウンロードセンター
Splunkのコストと運用を最適化、SIEM製品との「CEF Syslog統合」の手順と効果
コンテンツ情報
| 公開日 | 2019/04/12 | フォーマット | 種類 | 技術文書・技術解説 |
|
|---|---|---|---|---|---|
| ページ数・視聴時間 | 22ページ | ファイルサイズ | 1.19MB | ||
要約
ITインフラやセキュリティ製品、ビジネスアプリケーションなどから生成される大量のマシンデータを収集・分析して、新たな価値を導き出す統合ログ管理ツール。その代表的な存在である「Splunk」は、セキュリティ対策における脅威の検出や可視化にも利用されている。
しかし、Splunkが収集した“未集約”のイベントデータは、しばしばデータ分析の手順を複雑なものとし、ユーザーエクスペリエンスを低下させる。これらのイベントデータを集約しない場合、Splunkライセンスコストやハードウェア使用量が増大する点も大きな問題だ。
そこで考えたいのが、SIEM製品を活用した「イベントの集約化」だ。SIEM製品がエンリッチ化したデータは、これらのコストの抑制に加え、データ入力の標準化による分析手順の簡素化を可能とする。本資料では、Splunkとの連携に優れたSIEM製品を例に、CEF(Common Event Format)のSyslogを統合する手順と、これによるSplunkライセンス使用量の削減効果を具体的に紹介する。
しかし、Splunkが収集した“未集約”のイベントデータは、しばしばデータ分析の手順を複雑なものとし、ユーザーエクスペリエンスを低下させる。これらのイベントデータを集約しない場合、Splunkライセンスコストやハードウェア使用量が増大する点も大きな問題だ。
そこで考えたいのが、SIEM製品を活用した「イベントの集約化」だ。SIEM製品がエンリッチ化したデータは、これらのコストの抑制に加え、データ入力の標準化による分析手順の簡素化を可能とする。本資料では、Splunkとの連携に優れたSIEM製品を例に、CEF(Common Event Format)のSyslogを統合する手順と、これによるSplunkライセンス使用量の削減効果を具体的に紹介する。