IT製品導入に関する技術資料を多数掲載 ホワイトペーパーダウンロードセンター
SIEMとEDRをどう使い分ける? 10のユースケースで考える正しい役割と運用方法
コンテンツ情報
| 公開日 | 2022/07/08 | フォーマット | 種類 | 製品資料 |
|
|---|---|---|---|---|---|
| ページ数・視聴時間 | 17ページ | ファイルサイズ | 2.11MB | ||
要約
インシデント対応や脅威ハンティングの重要性が高まる中、自社でSOCを構築する企業も珍しくなくなった。しかし、SIEM(Security Information and Event Management)などのセキュリティツールをどう活用すればいいのか、悩むケースも少なくない。
従来SIEMは、コンプライアンスとレポーティング、プロセスの改善/学習をはじめ、多数のユースケースを全て担当すべきと考えられていた。しかし実は、SIEMはOSやハードウェア、アプリケーションに潜む「ITセキュリティリスク」への対処にこそ効果を発揮する。一方、高いスキルを持つ攻撃者を起因とする、リアルタイムな対処が必要な「サイバーセキュリティリスク」には、EDR(Endpoint Detection and Response)が最適となる。
ここで重要なのは優劣ではなく、SIEMやEDRをいかにバランスよく相互補完的に運用できるかだ。本コンテンツでは、複雑化するリスクに対しSIEMが抱えるようになった3つの課題と、それらを解消すべく台頭したEDRやSOAR(Security Orchestration, Automation and Response)との使い分けについて、10のユースケースを基に解説する。
従来SIEMは、コンプライアンスとレポーティング、プロセスの改善/学習をはじめ、多数のユースケースを全て担当すべきと考えられていた。しかし実は、SIEMはOSやハードウェア、アプリケーションに潜む「ITセキュリティリスク」への対処にこそ効果を発揮する。一方、高いスキルを持つ攻撃者を起因とする、リアルタイムな対処が必要な「サイバーセキュリティリスク」には、EDR(Endpoint Detection and Response)が最適となる。
ここで重要なのは優劣ではなく、SIEMやEDRをいかにバランスよく相互補完的に運用できるかだ。本コンテンツでは、複雑化するリスクに対しSIEMが抱えるようになった3つの課題と、それらを解消すべく台頭したEDRやSOAR(Security Orchestration, Automation and Response)との使い分けについて、10のユースケースを基に解説する。