データ解析機能を強化してSOC運用コストも削減、「SIEM」連携術

要約

　セキュリティオペレーションを支援すべく、さまざまなベンダーがSIEM製品を提供している。中でも主流の1つが、データ取り込み時にイベントデータを未処理のまま収集してインデックス化する「スキーマオンリード」という手法を採用したものだ。だがこれはデータ収集が容易な一方、ライセンス使用量の増加や、オーバーヘッドが下流ワークフローに持ち越されるという欠点もある。

　そこで注目したいのが、取り込み時にデータを正規化、カテゴリー分類、エンリッチメント、集約を行う「スキーマオンライト」だ。共通の構造化された形式にデータが加工されるため、他のビッグデータ／解析ツールとの共有が容易になる。また共通のイベントをグループ化し、一般的なフィールドを最小限のデータロスで保存することでデータストアを大幅に節約できるため、下流アプリケーションの収集や解析の負荷も削減できる。

　さらに、これをスキーマオンリード手法を用いた製品と連携することで、消費、インデックス化、処理が必要なデータ量を減らすことが可能になる。本コンテンツではこれらの手法の違いを詳しく解説しつつ、それぞれを連携させSOC運用を効率化するための手順を紹介する。