次世代SIEMによるSOCの変革
SIEMテクノロジーがもたらす未来をご確認ください。最先端のSIEM戦略と自動化を採用することで、セキュリティオペレーションセンターを強化できます。
今すぐガイドをダウンロード
次世代SIEMによるSOCの変革
SIEMテクノロジーがもたらす未来をご確認ください。最先端のSIEM戦略と自動化を採用することで、セキュリティオペレーションセンターを強化できます。
今すぐガイドをダウンロード
ログ集約の定義
ログ集約は、データを相関付けおよび分析するために、さまざまなソースのログをキャプチャおよび正規化し、一元化されたプラットフォームに統合するメカニズムです。この集約されたデータは、アプリケーションのパフォーマンスの問題やエラーのトラブルシューティング、インフラストラクチャのボトルネックの特定、サイバー攻撃の根本原因の検出など、さまざまなユースケースに対応した唯一の情報源となります。
この記事では、ログ集約の必要性、ログ集約に必要な手順、収集する必要があるログのタイプについて説明します。ログ集約および管理プラットフォームを選択する際に確認する必要がある機能についても考察します。
ログ集約を使用する理由
ログ集約により、イベントを異なるソースから1つの場所に収集して、そのデータを検索、分析、理解できるようになります。ログ集約はエンドツーエンドのオブザーバビリティの基礎であるだけでなく、次のようなさまざまなアプリケーションで役立ちます。
- リアルタイムの分析とモニタリング:セキュリティ情報およびイベント管理 (SIEM) ソリューションは、ログを利用してセキュリティ侵害、攻撃パターン、傾向を特定します。
- アプリケーションモニタリング:アプリケーションパフォーマンスモニタリング (APM) ソリューションでは、ログを使用してアプリケーションの機能またはパフォーマンスの問題を迅速に検出することで、平均解決時間 (MTTR) を短縮し、アプリケーションの可用性を高めます。
- 容量計画:リソースの飽和状態と、その結果生じるインフラストラクチャ関連のボトルネックがシステムログに表れることがよくあります。これにより、問題を迅速かつ容易に軽減し、運用チームは現在のインフラストラクチャの容量使用状況を評価して将来の計画を立案できます。
- AIOps:最新のログ管理システムには、ログデータに対して高度な人工知能 (AI) テクノロジーと機械学習 (ML) アルゴリズムを使用して、イベント相関の検出、異常検知、傾向分析を行うものがあります。
- 監査とコンプライアンス:ログは、データベースアクセスレコード、サーバーログイン、成功/失敗したAPIリクエストなどの監査にも役立ちます。このような記録は、多くの場合、PCI DSSやHIPAAなどの規制フレームワークへのコンプライアンスを維持するために必要です。
- セキュリティ脅威の軽減:多くの場合、ログの分析は、DDoSやブルートフォース攻撃などのセキュリティ脅威の特定に役立ちます。ネットワークフローログやファイアウォールログを使用して、不正トラフィックをブロックすることもできます。
- データ可視化:集約されたログを使用して、データを視覚的に表示するためのダッシュボードを作成できます。
- 高度な分析と可視化:ログ集約により、データマイニング、フリーテキスト検索、包括的な分析のための複雑なRegExクエリ、ダッシュボードの構築などの高度な分析操作を活用できます。これらは、ネットワークオペレーションセンター (NOC) やセキュリティオペレーションセンター (SOC) に役立ちます。
ログ集約に関連する処理
さまざまなソースからログを集約して分析するときに必要な手順がいくつかあります。
ログソースの特定
最新の分散エンタープライズアプリケーションには多くの可変要素があるため、ログを集約するすべてのコンポーネントを特定する必要があります。ログを管理しやすくするために、特定のタイプのイベント(失敗したログイン試行、設定したしきい値より時間がかかっているクエリなど)のみ、または特定の重要度のみをキャプチャするように選択できます。
例えば、失敗したすべての接続試行をネットワーク侵入検知システム (NIDS) から収集し、Kubernetesクラスターからクラッシュしているポッドに関する重大なエラーメッセージのみを収集するように選択できます。
ログの収集
ログのソースを特定した後の次のステップは、ログの収集です。ログの収集は自動的に行う必要があります。ログの収集には、次のような複数の方法があります。
- アプリケーションでSyslogなどの標準のメッセージロギングプロトコルを使用して、ログを一元化されたシステムに継続的にストリーミングできます。
- カスタム統合とコレクター(エージェントとも呼ばれる)をサーバーにインストールし、ローカルマシンからログを読み取ってロギングプラットフォームに送信できます。
- コードインストルメンテーションで特定のプログラム部分からメッセージをキャプチャします。これは、多くの場合、発生した特定のエラー条件に基づきます。
- ログ管理システムでソースシステムに直接アクセスし、ネットワークを介してログファイルをコピーできます。
ログの解析
ログを使用して意味のあるインサイトを導出するには、ログを解析する必要があります。解析は、ログに記録された各イベントから重要な情報を抽出して共通の形式にするプロセスです。これらの値は、後で分析するために保存されます。ログは非常に大きく、多くの不要なデータが含まれている可能性があります。解析を行うと、関連するデータのみが抽出され、残りのデータは破棄されます。
解析の一例として、元のタイムスタンプを単一のタイムゾーンの値にマッピングすることが挙げられます。タイムスタンプはイベントに関連する重要なメタデータとなり、ログソースに応じてログのタイムスタンプが異なる場合があります。
パーサーは、ユーザー名、ソースおよび宛先IPアドレス、使用されているネットワークプロトコル、ログの実際のメッセージなど、その他の重要な情報を抽出できます。例えば、解析により、ERRORおよびWARNINGタイプのイベントのみ保持して、重大度の低いデータを除外するようにデータをフィルタリングできます。
ログの処理
解析後、ログ集約により、入力の処理時に他のいくつかのアクションを実行できます。
インデックス付けでは、データベースインデックスと同様に、列に基づいて解析および保存されたデータのマップを構築します。インデックス付けによりログのクエリが簡単かつ迅速になります。また、一意のインデックスにより、重複するログデータが排除されます。
データエンリッチメントもログからのインサイトの取得に非常に役立ちます。データエンリッチメントの例には、次のようなものがあります。
- IPアドレスから位置情報をログデータに追加します。
- 実際のメッセージでHTTPステータスコードを置き換えます。
- オペレーティングシステムとWebブラウザの詳細を含めます。
マスキングでは、ログに記録されたメッセージで、暗号化キー、個人情報、認証トークン、認証情報などの機密データを非表示にします。
ログの保存
ほとんどのログ管理プラットフォームでは、解析、インデックス付け、およびエンリッチされたログを圧縮してから保存します。圧縮により、ログのネットワーク帯域幅とストレージコストが削減されます。通常、圧縮では独自の形式が使用されます。
ログを集約する際に、保持ポリシーも設定する必要があります。保持ポリシーでは、ログを保存する期間を定義します。これは、使用可能なストレージ容量、業界の要件、組織のポリシーなどの複数の要因に応じて定義できます。さらに、ログのタイプごとに保持要件が異なる場合があります。指定した時間が経過した後、古いログをシステムから削除するか、レイテンシーが長い安価なストレージにアーカイブできます。ログの削除とアーカイブにより、ホットデータのサイズが削減されるため、クエリパフォーマンスを高めることができます。また、このことは監査にも役立ちます。
どのようなタイプのログを集約するか
集約すべきログのタイプは、ユースケースによって異なります。これは、前述したログの特定フェーズの一部です。次に、包括的なリストではありませんが、キャプチャすることをお勧めするログをいくつか示します。
- Syslog、journalctl、またはイベントログサービスによって生成されるシステムログ
- Webサーバーログ
- ミドルウェアログ
- アプリケーションログ(マイクロサービスからのログを含む)
- ネットワークフローログ
- ファイアウォール、ウイルス対策、侵入検知システムのログ
- データベースログ
- APIゲートウェイログ
- ロードバランサーログ
- DNSログ
- 認証サービスログ
- プロキシサーバーログ
- 設定変更ログ
- バックアップと復旧のログ
要件に基づいて、成功したヘルスチェックやログインからのログなど、一部のログを除外できます。DMZ内の要塞サーバーやFTPサーバーなどのコンポーネントからのログをほとんどスキップすることも検討できます。ただし、それらのシステムからでも認証ログはキャプチャする必要がある場合があります。
ログ集約プラットフォームの機能
今日の市場には、多くのログ集約プラットフォームがあります。プラットフォームを選択するときは、次の要素のいくつかを考慮します。
効率的なデータ収集
ログ集約プラットフォームでは、アプリケーションサーバー、データベース、APIエンドポイント、Webサーバーなどのさまざまなソースからシームレスにログを収集する必要があります。これは、プラットフォームにネイティブの場合もあれば、アクティブに保守されているプラグインを介して実行されることもあります。テキストファイル、CSV、JSON、XMLなどのすべての主要なログ形式もサポートする必要があります。
強力な処理
プラットフォームでは、データを企業規模で効率的に解析、インデックス付け、圧縮、保存、分析する必要があります。ダッシュボードやレポートを作成する機能とともに、ログを検索、並べ替え、フィルタリング、分析するための簡単で豊富なクエリ言語も提供する必要があります。
リアルタイムのモニタリング
ログの取り込み、解析、インデックス付け、圧縮、保存の時間は短くする必要があります。ユーザーは、取り込まれて処理されるログをリアルタイムでモニタリングできる必要があります。
スケーラビリティ
プラットフォームでは、爆発的に急増する受信ログデータを処理し、送信中のデータ損失を防ぐ必要があります。また、徐々にデータ量が増加することによって、検索やクエリのパフォーマンスが低下しないようにする必要もあります。
セキュリティ
格納されるログデータは、保存中および転送中に暗号化されている必要があります。一部の業界では、多くの場合、これが必須要件となります。データへのユーザーアクセスを制御するロールベースのアクセス制御などのメカニズムも必要です。
アラートと統合
ソリューションでは、オペレーターがログに記録されたイベントの特定の基準に基づいてアラートを作成できるようになっている必要があります。それらのアラートを多数の通信システムに送信できる必要があります。サードパーティのツールやプラットフォームとの統合機能もあれば有用です。そのような機能が1つあると、ロギングソリューションでサービスチケットを自動的に作成できます。
費用対効果
最後に、ログ集約プラットフォームでは、費用対効果分析の実行時に、低い総所有コスト (TCO) と高い投資収益率 (ROI) でその価値を正当化する必要があります。
次世代SIEMおよびログ管理のための世界をリードするAIネイティブプラットフォームをお試しください
SIEMとログ管理のための最高水準のAIネイティブプラットフォーム、CrowdStrike Falcon®プラットフォームでサイバーセキュリティを強化しましょう。ペタバイト規模でのセキュリティログを体験してみてください。クラウドネイティブ型または自己ホスト型での展開が可能です。ボトルネックの生じない、強力でインデックスフリーのアーキテクチャを利用してデータをロギングすれば、1日あたり1PB以上のデータを取り込んで脅威ハンティングに役立てることができます。リアルタイムの検索機能により攻撃者をしのぐスピードで対策を実施できます。複雑なクエリを実行しても、そのレイテンシーは1秒未満です。360度の可視性によりデータを統合してサイロ化を解消し、セキュリティ、IT、DevOpsチームがシームレスに脅威のハンティング、パフォーマンスのモニタリング、コンプライアンスの確保を行うことができます。30億件ものイベントにわたる作業でも1秒未満で実施できます。
アーファン・シャリフは、クラウドストライクのオブザーバビリティポートフォリオの製品マーケティングリードです。Splunk、Genesys、Quest Softwareなどの企業向けに、15年以上にわたってログ管理、ITOps、オブザーバビリティ、セキュリティ、CXソリューションなどを推進してきた経験を有しています。アーファンは、バックスアンドチルターンズ大学でコンピューターサイエンスを修了しており、製品マーケティングとセールスエンジニアリングにまたがるキャリアを持っています。
