ログ相関分析とは?

ログ相関分析とは?

ログ相関分析とは、異なるソースのログデータを分析して、イベントのパターンを特定する手法です。ネットワークのアクティビティの可視性を高め、脆弱性や脅威に対して効果的にネットワークを保護するために使用されます。

ログ相関は、ログ管理において非常に重要な役割を果たします。ログが収集・保管されると、特定のイベントを検知するための分析を中央ログサーバーが実行します。ログ相関分析は、管理者が既知の攻撃パターンを検知するのに役立つ重要な分析手法です。

イベント相関分析の役割

相関分析を実施すれば、ログ分析中に、ネットワーク上の異なるデバイスやアプリケーションで発生した一見離散しているイベントを結び付け、パターンが形成されているかどうかをチェックできます。

次のようなシナリオを考えてみましょう。あるユーザーが、リモートでマシンにログインします。このログインに関する情報(IPアドレス、時刻など)は、VPNのログに記録されます。次に、このユーザーは特権に昇格します。この情報は、ドメインコントローラーのログに記録されます。このユーザーは、昇格した特権を使って、重要なファイルサーバーから機密ファイルへのアクセスを試行します。この情報は、ファイルサーバーのログに記録されます。

セキュリティ管理者は、上記のような離散的な複数のイベントすべてを関連付けることで初めて、不正なファイルアクセスのような潜在的な脅威を検知できます。ログ管理ツールは、複数のイベントを効果的に相関させ、セキュリティ管理者に潜在的脅威についてのアラートを送信します。

ログ相関分析が必要である理由

ログの相関分析が企業に必要である理由をいくつか紹介します。

1. リアルタイムの攻撃検知の自動化

エージェントレスのログ収集では、エージェントを使用することなく、各デバイスで生成されるログが収集されます。ログが生成されるデバイスやアプリケーションが、中央サーバーにログデータを直接送信します。送信は、TCPやHTTPSなどのプロトコルで保護されます。

2. セキュリティ上の欠陥の検知

ログ相関分析ツールは、運用およびセキュリティ上の欠陥を初期段階で検知できるため、被害が拡大する前に欠陥を修正できます。

3. 効果的な原因分析の実行

ログ相関分析ツールは、一連のイベントやセキュリティ侵害のタイムラインを可視化できるため、効果的な根本原因分析を実施できます。

4. セキュリティ運用の最適化

効果的なログ相関分析ツールは、セキュリティオペレーションセンター(SOC)における、平均検出時間(MTTD)、平均確認時間(MTTA)、平均対応時間(MTTR)などのKPIを最適化できます。

5. コンプライアンス要件への準拠

ログ相関分析ツールは、コンプライアンス要件(HIPAA、GDPR、PCI DSSなど)への準拠に役立ちます。

イベント相関分析の方法

相関分析は通常、時間ベース、ルールベース、パターンベース、トポロジーベースなど、1つ以上の方法で実施されます。

時間ベースの相関分析

インシデントの前やインシデントの発生中に何が起きたかを調べることによって、セキュリティ侵害におけるイベントの順序と関連性を特定します。

ルールベースの相関分析

特定の変数(タイムスタンプ、トランザクションの種類、場所など)を使用してイベントを比較します。変数ごとに新しいルールを作成する必要があるため、多くの組織にとって実現不可能な方法です。

パターンベースの相関分析

パターンベースの相関分析は、時間ベースの相関とルールベースの相関の強みを組み合わせ、イベントの関係が定義済みのパターンと一致するかをチェックします。

トポロジーベースの相関分析

ネットワークやデバイスのトポロジーにイベントをマッピングし、IT環境内でのインシデントを簡単に可視化できます。

効率的なイベント相関分析における課題

イベント相関分析を実行する際の最大の課題は、組織の大きさと、毎分生成される情報量の多さです。生成されるイベントの量に対応し、イベントを解析して実用的な情報を引き出すことは、ほぼ不可能です。相関分析ツールを使用すれば、このような作業を効率化でき、ITチームは問題検知・解決に長時間をかける必要がなくなります。

ログ相関分析ツールの導入を検討する際の確認項目

ログ管理ツールやSIEMソリューションには、ログ相関分析機能が備わっています。セキュリティニーズに応じて、SIEMソリューションか、ログを管理して分析レポートを生成するだけのツールか、いずれかを選択ができます。

セキュリティの強化を検討している場合は、SIEMソリューションを選びましょう。 SIEMソリューションは、ログ相関分析だけでなく、脅威インテリジェンス、行動ベースの異常検出、インシデント管理、データ損失防止、クラウドセキュリティなどの堅牢なセキュリティ機能も備えています。

ログ相関分析を実行するセキュリティツールを選ぶ際に考慮すべき重要なポイントは、以下のとおりです。

1. 使いやすさ

セキュリティソリューションは、大量のデータを取り込んで処理するため、多くの場合、デプロイや操作が複雑です。セキュリティ管理者がソリューションの機能を十分に活用できないのは、この複雑さに原因の一端があります。デプロイが容易で、使いやすいセキュリティツールを選びましょう。特に、相関するインシデントの表示やカスタム相関ツールの構築などの各種操作が、ほぼトレーニングなしでも直感的に実施できるような、使いやすいインターフェイスを備えているかが重要です。

2. 備わっている機能

導入予定のSIEMツールの機能を把握しておくことは重要です。たとえば、対応しているログの種類と形式、イベントデータの処理方法、イベント相関分析機能の有無、クリティカルイベントへの迅速かつ適切な対応が可能かなどを、事前に確認しておきましょう。

3. 統合の容易さ

セキュリティの全体像を把握するには、すべてのセキュリティソリューションをオーケストレーションする必要があります。検討しているSIEMツールが、他のセキュリティソリューション(アンチウイルス、アンチフィッシング、アンチマルウェアなど)と統合してオーケストレーションできることを確認してください。ネットワークのセキュリティを隅々まで監視・把握するには、他の各種セキュリティツールのデータと相関させる必要があります。

優れたログ相関分析ソフトウェアは、セキュリティ被害が発生する前の初期段階で、脅威を効果的に特定し、阻止するのに役立ちます。ManageEngineの統合ログ管理ツールであるEventLog Analyzerは、ログ相関分析、リアルタイム通知、インシデント管理によって、サイバー攻撃を軽減します。EventLog Analyzerのイベント相関分析の機能については、こちらをご確認ください。