SIEMしーむ

SIEM（Security Information and Event Management、シーム）は、ファイアウォール・サーバ・アプリなど、さまざまな機器ききのログを一いちか所しょに集あつめて分析ぶんせき・可視かし化かし、セキュリティインシデントの兆候ちょうこうを検知けんちするシステムです。バラバラのログを突つき合あわせて「全体ぜんたいとして怪あやしい動うごき」を見みつけるのが役割やくわりです。

機能きのう	内容ないよう
ログの統合とうごう収集しゅうしゅう	多数たすうの機器ききのログを一元いちげん的てきに集あつめる
相関そうかん分析ぶんせき	複数ふくすうログを突つき合あわせ攻撃こうげきの兆候ちょうこうを見みつける
アラート・可視かし化か	異常いじょうを通知つうちしダッシュボードで表示ひょうじ

たとえば「同一どういつアカウントが短時間たんじかんに多数たすうのサーバへログイン失敗しっぱい」という事象じしょうを、1 台たいごとのログでは見逃みのがしても、SIEM が横断おうだん的てきに集計しゅうけいして不正ふせいアクセスの疑うたがいとして警告けいこくできます。SOC が監視かんしに使つかう中核ちゅうかくツールです。

試験しけんでは 「各種かくしゅログを統合とうごう・分析ぶんせきして脅威きょういを検知けんちする仕組しくみ」という役割やくわりが問とわれます。SOC（監視かんしする組織そしき）が SIEM（監視かんしに使つかう道具どうぐ）を活用かつようする、という関係かんけいを押おさえましょう。