トップへ戻る

セキュリティログ分析/活用支援 SECURITY LOG ANALYSIS/UTILIZATION SUPPORT

蓄積されている各種ログの分析から統合ログ管理・分析環境(Splunk)の構築・運用までトータルにサポートします

セキュリティログの取得と保管は、官公庁からの推奨や各種セキュリティ認定の条件にも指定されており、今や組織の事業継続性を維持する上で企業が行うべき事項へと変化しています。その一方で大量の取得したログをどう活用したらよいのかわからず、ただ保管のみをしている企業や、分析に活用する努力をしているもののポリシーが明確化されていないために、「何のための分析なのか」という目的を見失っている企業が多々みられます。

BBSecのセキュリティログ分析・活用支援サービスは、企業をサイバー攻撃から守るために、蓄積されている各種ログの分析や有効活用に向けたコンサルティング、統合ログ管理・分析システム(SIEM)の導入からその運用までを包括的に支援する総合サービスです。すでにシステムを保有している企業も、またこれから導入をしようとしている企業にも、企業ポリシーや体制にあった最適なログ分析を実現できるよう、支援いたします。
※統合ログ管理・分析システム(SIEM)は、マーケットシェアの高いSplunkをベースとしています。

サービス構成

すでに保有しているログを分析することでサイバー脅威リスクやコンプライアンス違反を可視化し、リスクを低減するための環境構築を共に考え、それを運用へとつなげていきます。

サービス構成

検証・可視化フェーズ : ログ分析サービス

一定期間(1~3ヶ月)のログをお預かりし、ログから不正挙動の痕跡を可視化してリスクを顕在化します。

ログ・分析サービス
分析対象ログ 調査観点 分析手法例
Firewall/UTM トラフィックログ マルウェア感染が疑われる通信
  • マルウェアの通信先情報とのマッチング
  • マルウェア特有の通信パターンの検出
将来的なリスクとなりうる通信
  • 脆弱なプロトコル(Telnetなど)の利用
内部持ち出しにつながりうる通信
  • オンラインストレージに対する通信の調査
  • WEBメールサービスに対する通信の調査
Proxy アクセスログ マルウェア感染が疑われる通信
  • マルウェアの通信先情報とのマッチング
  • マルウェア特有の通信パターンの検出
将来的なリスクとなりうる通信
  • 脆弱なプロトコル(Telnetなど)の利用
内部持ち出しにつながりうる通信
  • オンラインストレージに対する通信の調査
  • WEBメールサービスに対する通信の調査
Active-Directory セキュリティイベントログ 認証システムに対する攻撃
  • パスワード奪取攻撃
  • 特定脆弱性に対する攻撃時試行時に発生する特徴的なログのパターンの検出

標 準

Firewall/UTM トラフィックログ マルウェア感染が疑われる通信
  • マルウェアの通信先情報とのマッチング
  • マルウェア特有の通信パターンの検出
 将来的なリスクとなりうる通信
  • 脆弱なプロトコル(Telnetなど)の利用
 内部持ち出しにつながりうる通信
  • オンラインストレージに対する通信の調査
  • WEBメールサービスに対する通信の調査
Proxy アクセスログ
マルウェア感染が疑われる通信
  • マルウェアの通信先情報とのマッチング
  • マルウェア特有の通信パターンの検出
 将来的なリスクとなりうる通信
  • 脆弱なプロトコル(Telnetなど)の利用
 内部持ち出しにつながりうる通信
  • 認証システムに対する攻撃
  • WEBメールサービスに対する通信の調査
Active-Directory セキュリティイベントログ
マルウェア感染が疑われる通信
  • パスワード奪取攻撃
  • 特定脆弱性に対する攻撃時試行時に発生する特徴的なログのパターンの検出

企画・教育フェーズ : ログ取得環境整備コンサルティング

    現状調査をもとに、最適なログ取得環境を提言いたします。
  • お客様システムの構成情報と利用方法のヒアリング→イベントとログを取得すべき対象機器を提言
  • ログに関する管理ポリシー・支援体制・運用プロセス・ログ取得状況の確認→システム全体としてあるべきログ取得環境を提言
  • ハードニング(堅牢化)の考え方のヒアリング、実機の確認→ログ取得方法のベストプラクティスを提言

上記3点もふまえ、高度なログ分析環境(Splunk)の導入によるインシデントの予兆検知環境整備を踏まえたログ取得環境の整備方針を提言。

ログ取得環境整備コンサルティング

プロセス

プロセス
プロセス 内 容
ログ取得の目的と対象の定義 お客様環境をふまえ、ログ取得の目的と対象を定義します。
現状調査 システム担当にログの管理状況をヒアリングすると共に、規定文書のレビュー、設定調査、実機確認により現状を可視化します。
分析 目的・対象の定義結果と現状調査結果を元にベースラインからのギャップを可視化します。
ベストプラクティス提示 ログ取得対象毎にログ取得に関するベストプラクティス設定を提示します。
改善プラン検討 ログ取得環境をあるべき環境に近づけるための施策について、お客様の環境をふまえた優先順位付けを意識して提案いたします。
プロセス/内容
ログ取得の目的と対象の定義 お客様環境をふまえ、ログ取得の目的と対象を定義します。
現状調査 システム担当にログの管理状況をヒアリングすると共に、規定文書のレビュー、設定調査、実機確認により現状を可視化します。
分析 目的・対象の定義結果と現状調査結果を元にベースラインからのギャップを可視化します。
ベストプラクティス提示 ログ取得対象毎にログ取得に関するベストプラクティス設定を提示します。
改善プラン検討 ログ取得環境をあるべき環境に近づけるための施策について、お客様の環境をふまえた優先順位付けを意識して提案いたします。

構築フェーズ : Splunk (統合ログ管理・分析システム) 構築支援/分析App提供

ビッグデータ収集・解析に優れたSplunkを用いた統合ログ管理・分析システムの構築を支援いたします。また、当社の経験や知見をもとに当社が作成した分析App(分析ルールセット)を活用いただくことで、稼働時点から有益な分析環境が整備できます。

分析App (BBSec-App) 例

App名 実装機能
統合ダッシュボード 検知アラート一覧表示
検知状況を元にしたリスクレベル表示 など
認証システム分析App アカウント不正利用、特権昇格イベントの見地・分析
認証システム固有の脆弱性攻撃イベントの検知・分析 など
デバイス接続分析App 機器の不正接続の検知・分析
端末管理ツール (SKAYSEA等) とのアセット情報連携機能 など
非正規通信分析App トラフィック傾向分析
通常利用では発生しない通信の検知・分析 など
悪性ソフトウェア侵入分析App 悪性ソフトウェア侵入に伴う影響分析
悪性ソフトウェア潜伏事象の検知・分析 など
脆弱性攻撃分析App 脆弱性攻撃に伴う影響分析 など
>
App名/実装機能
統合ダッシュボード 検知アラート一覧表示
検知状況を元にしたリスクレベル表示 など
認証システム分析App アカウント不正利用、特権昇格イベントの見地・分析
認証システム固有の脆弱性攻撃イベントの検知・分析 など
デバイス接続分析App 機器の不正接続の検知・分析
端末管理ツール (SKAYSEA等) とのアセット情報連携機能 など
非正規通信分析App トラフィック傾向分析
通常利用では発生しない通信の検知・分析 など
悪性ソフトウェア侵入分析App 悪性ソフトウェア侵入に伴う影響分析
悪性ソフトウェア潜伏事象の検知・分析 など
脆弱性攻撃分析App 脆弱性攻撃に伴う影響分析 など

ダッシュボード イメージ

ダッシュボードイメージ
運用フェーズにつきましてはこちらをご参照ください。 資料請求・お問い合わせ 資料請求・お問い合わせお問い合わせフォームへ

関連サービス