- ①
- 特権IDでDBサーバにログイン(DBサーバアクセスログ)
- ②
- データベースを操作(DBサーバ操作ログ)
- ③
- 外部へメール送信(メール送信ログ)
脆弱性診断から、セキュアなサイトの構築・運用まで
SIEMソリューション
情報漏洩の発見を想定したシナリオを作成し、そのシナリオに基づいたルールによってログ監視・分析を実施します。シナリオで定義されたアクションからログの監視ルールを作成、ルールに合致するログが検知された場合は情報漏洩の可能性ありとして管理者へアラートを発します。各システムのログを集約し、システム横断的なモニタリングを行うことで、情報漏洩の防止、または早期発見が可能です。
リスクシナリオ
データベースにアクセスし、機密情報を入手し、電子メールで外部に流出させる
検知ルール
①~③を組み合わせて1つの
ルールとして監視
操作に冗長の許可が必要な機密性の高いサーバへのアクセスが、不正に行なわれていないかどうかを監視します。アクセスの前に行なわれているはずのワークフローへの申請をチェックし、それぞれのアクセスが正しく許可を得ているかどうかを確認、許可のない不正なアクセスを発見します。
リスクシナリオ
正規の申請を経ずに不正なユーザが社内の機密サーバーにログオン・ログオフを行なう
検知ルール
不正に取得したIDとパスワードを使い、正規ユーザになりすまして行なわれる社内システムへのアクセスを検知、防止します。ログイン元の端末の種類、場所、時間のほか、直前や直後にに同一の端末、ネットワークで行なわれた疑わしいふるまいまで分析し、なりすましを発見します。
リスクシナリオ
不正なユーザが正規IDを使い社内システムや機密サーバにアクセス
検知ルール
FW/IDS/Proxy/URL Filterなど複数の対策設備のログを相関分析することで、インターネットからの攻撃やウィルス感染による拡散行動などの脅威を検知します。単独の設備だけでは検知出来ない脅威の発見や、人手を介した判断作業の一部を自動化することによる誤検知率の低いセキュリティ監視を実現可能です。
リスクシナリオ
既知の脆弱性を突いたインターネットからの攻撃
検知ルール