ArcSight

活用例

想定されるリスクシナリオに合わせた検知ルールで
ユーザの不正な行動のみを検知

【導入事例1】
情報漏洩の防止及び漏洩を早期に発見する

情報漏洩の発見を想定したシナリオを作成し、そのシナリオに基づいたルールによってログ監視・分析を実施します。シナリオで定義されたアクションからログの監視ルールを作成、ルールに合致するログが検知された場合は情報漏洩の可能性ありとして管理者へアラートを発します。各システムのログを集約し、システム横断的なモニタリングを行うことで、情報漏洩の防止、または早期発見が可能です。

リスクシナリオ

データベースにアクセスし、機密情報を入手し、電子メールで外部に流出させる

検知ルール

①: 特権IDでDBサーバにログイン（DBサーバアクセスログ）

②: データベースを操作（DBサーバ操作ログ）

③: 外部へメール送信（メール送信ログ）

①～③を組み合わせて1つの
ルールとして監視

【導入事例1】情報漏洩の防止及び漏洩を早期に発見する

【導入事例2】
作業申請とサーバOSログの相関分析によるサーバ管理者の監視

操作に冗長の許可が必要な機密性の高いサーバへのアクセスが、不正に行なわれていないかどうかを監視します。アクセスの前に行なわれているはずのワークフローへの申請をチェックし、それぞれのアクセスが正しく許可を得ているかどうかを確認、許可のない不正なアクセスを発見します。

リスクシナリオ

正規の申請を経ずに不正なユーザが社内の機密サーバーにログオン・ログオフを行なう

検知ルール

①: ワークフロー申請データ

②: UNIXサーバ

③: Windowsサーバ

①～③を突き合わせて
相関分析を行ないサー
バ操作を監視

申請時間外のログオン・ログオフ
申請時間内のログオン・ログオフ
申請のないIDでのログオン・ログオフ
申請のないサーバへのログオン・ログオフ

【導入事例2】作業申請とサーバOSログの相関分析によるサーバ管理者の監視

【導入事例3】
なりすましによる情報漏えいの監視

不正に取得したIDとパスワードを使い、正規ユーザになりすまして行なわれる社内システムへのアクセスを検知、防止します。ログイン元の端末の種類、場所、時間のほか、直前や直後にに同一の端末、ネットワークで行なわれた疑わしいふるまいまで分析し、なりすましを発見します。

リスクシナリオ

不正なユーザが正規IDを使い社内システムや機密サーバにアクセス

検知ルール

①: アクセス元の端末

②: アクセス元の場所

③: アクセスした時間

④: アクセス元ブラウザ

⑤: 同一IDによる同時アクセス

⑥: 同一端末によるログイン試行

①～⑥を組み合わせて
相関分析を行ない、な
りすましを検知

【導入事例3】なりすましによる情報漏えいの監視

【導入事例4】
インターネット外部脅威対策

FW/IDS/Proxy/URL Filterなど複数の対策設備のログを相関分析することで、インターネットからの攻撃やウィルス感染による拡散行動などの脅威を検知します。単独の設備だけでは検知出来ない脅威の発見や、人手を介した判断作業の一部を自動化することによる誤検知率の低いセキュリティ監視を実現可能です。

リスクシナリオ

既知の脆弱性を突いたインターネットからの攻撃

検知ルール