SIEMの進化: 分散相関が重要な理由

Micro Focus Government Solutions、シニアArcSightエンジニア、Chas Clawsonのゲスト投稿

ここ何年かの間に、相互接続されたITシステムから生成されるデータの量は急激に増えてきています。 全世界のデータの90%は、過去3年間に生成されたという説をお聞きになったことがあるかもしれません。この指数関数的な増加は、減速の兆しがありません。このようなデータやメタデータの氾濫によって、産業界は次の2つの課題に直面しています。

  1. これだけの情報をどこにどうやって保存するか。
  2. データを利用するシステムの間でどうやってデータを効率的に分配して伝送するか。

これらの課題は、組織のITインフラストラクチャーのすべての領域に当てはまりますが、特に深刻なのはセキュリティ運用の分野です。

幸いなことに、これらの問題の解決につながる重要なイノベーションがいくつか登場しています。MicroFocus ArcSightは、Apache KafkaベースのEvent BrokerData Platformソリューションにより、この分野の最先端に立っています。Event Brokerを使用すれば、従来不可能だったイベント取り込み速度 (毎秒最大100万イベント) を実現できます。

ArcSight Data Platform.png

これらのSecOpsソリューションでは、このデータを、Elastic、Hadoop、あるいはSplunkなどの他のサードパーティ製ツールから利用することもできます。 このようなスケーラブルで高スループットのクラスター化可能なイベント発行システムは、強く望まれてきましたが、それを実現する際には慎重を期さなければなりません。

今や我々は、次の問題に直面しているのです。データの海とも言える大量のデータから、必要な情報をどうやって抽出するかです。データから情報を抽出する方法は分析と相関しかありませんが、これは中央処理装置 (CPU) とメモリを大量に消費します。 そこで、Micro Focusがビッグデータ市場に満を持して投入するのが、ArcSight ESMプラットフォームです。その特長を紹介する前に、少し前に戻って、データ処理の制限に対処するための2つの手法についてお話しする必要があります。

スケールアップとスケールアウト

アーキテクチャーを設計する際には、「スケールアップ」と「スケールアウト」の選択が伴うのが普通です。スケールアップとは、物量作戦のことです。オタクがMMOゲームの合間に自慢する、無意味に豪華なハードウェアスペックの、むやみに大きくて強力なカスタムマシンのようなものです (ご存じない方のために、MMOというのはMassively Multiplayer Onlineの略です)。 この方法はアプリケーションによっては有効ですが、問題はコストです。アップグレードのたびにハードウェアを総入れ替えしていたのでは、コストがかかりすぎて現実的ではありません。GoogleやFacebookなどの先駆者は、これとは異なる「スケールアウト」という手法を採用しました。 この手法では、クラスター化された複数のシステムの間で負荷を分散します。システムの構築には、コモディティハードウェアが用いられることもよくあります。この手法には、クラスターが大きくなるほど、耐障害性と可用性が向上するという利点もあります。では、このことは、セキュリティ情報およびイベント管理 (SIEM) アプリケーションとその相関エンジンに、どのような関係があるのでしょうか。 ある有名なソフトウェアエンジニアは、「コンピューターサイエンスのあらゆる問題は、間接化のレベルを追加することによって解かれる」と言いました。 これは単純化して言えば、さまざまな関数が相互作用し合うことで、複雑な問題を解決するモジュール型のソフトウェアデザインを意味しています。 これを適切に行えば、核となるソフトウェアコンポーネントを分離して、場合によっては複数のハードウェアシステムに分散することができます。これはたとえば、何も止めることができない軍隊アリの集団や、咆哮を上げながら突進する象の群れのようなものです。

SIEMの内部の仕組み

ArcSight ESMは、内部的にはこれまでもずっと、独立したサービスによってイベントをリアルタイムで処理し、分析してきました。 イベントのフローは、次のようになります。コネクター (イベントコレクター) → パーシスター (CORREデータベース) → コリレーターサービス (ルールフィルター) → アグリゲーターサービス (時間ウィンドウとイベント一致数) = 相関イベント (インテリジェンス)。 これまで、これらはすべて「マネージャー」と呼ばれる使いやすいパッケージにまとめられていました。

マネージャーは、タコが脚を操るように、ルールやデータモニターから、データベースやアクティブリストの読み書きまでのすべてを管理しています。 経験の長いSIEMエンジニアならご存じのように、これらのサービスのどれか1つだけでも、マネージャーを辟易させるには十分です。 ルールの書き方が適切でなかったり、アクティブリストが膨れ上がったりしたために、CPUやメモリが枯渇してしまうのはよくあることです。 それを解決するにはどうすればいいでしょうか。 これらのマネージャーサービスを、クラスター化された複数のホストの間に分散すればいいのです。 近いうちに、コリレーターやアグリゲーターのサービスの複数のインスタンスを多数のホスト上で実行して、マネージャー (パーシスター) を本来の仕事 (CORREデータベースに対するイベントの書き込みと取得) に専念させることが可能になります。

ESM分散相関アーキテクチャー.png

それぞれのサービスの性質上、コリレーターはCPU負荷が高く、アグリゲーターはメモリ負荷が高く、パーシスターはディスクI/Oの負荷が高くなります。したがって、分散相関を利用すれば、SEIMをさまざまな方法でスケールアウトして、最も負荷の高いニーズや複雑なユースケースに対応させることができます。もちろん、コンパクトなオールインワンのマネージャーインスタンスも引き続き選択可能です。

ArcSightコマンドセンターからみたクラスタビュー.png

相関エンジンにより多くのデータを投入

ネットワークスループットの向上、より堅牢なストレージオプション、より強力な処理ハードウェアがあったとしても、ほとんどの組織にとっては、一元化されたSIEMおよび分析ツールへのイベント取り込みのコストパフォーマンスは常に気になる問題です。 分散相関を使えば、相関エンジンにより多くのデータを投入できるようになります。相関エンジンは、それに応じて関心のあるイベント (EOI) を返します。 従来なら量が多すぎて処理できなかった、エンドポイントログ、脅威インテリジェンスの一致、DNSログ、ネットフローといったイベントを相関ロジックで使用できるようになるので、EOIに関するコンテキストデータを増やして、アラートルールの忠実度を高めることができます。 これらの相関イベントは、さまざまなストレージ保持ポリシーを使用することで、元のイベントよりも長く保持することができます。これにより、ESMとその相関エンジンをふるいとして利用しながら、未処理データにリアルタイムでセキュリティコンテキストを付加して、ただちに解析に利用可能にすることができます。 これは設計上、ArcSightの新しいEvent Brokerとの組み合わせで威力を発揮します。すでに説明したように、Event Brokerをスケールアップすることで、これまで不可能だったイベント処理速度をESMで実現できます。

まとめると、分散相関には次の効果があります。

  • コンテキスト内のイベント分析の強化による相関の忠実度の改善
  • ESMが動的にEOIを識別することによるリソース使用の効率化
  • ESMの可用性と冗長性の改善
  • コストパフォーマンスの柔軟性の向上
  • 拡張とキャパシティ計画に関する柔軟性
  • 既存のルールやコンテンツとの後方互換性
  • 既存のセキュリティツールやイベントから得られる価値の増加

インテリジェントなSOCの中心となるのは、データから効率的にインテリジェンスを抽出する能力です。 分散相関は、SIEMの分析とイベント相関のエンジンを高いコスト効率でスケールアウトするための強力な新しい方法となります。

革新的なArcSight SecOpsソリューションに関しては、今後もこのブログの記事でお伝えしていきます。 Apache Kafkaに基づいて作成されたすばらしいオープンアーキテクチャーメッセージバスであるEvent Brokerの詳細については、新しいArcSight Data Platformの情報をご覧いただくか、以下のホワイトペーパーを参照してください。

Chas Clawsonは、Micro Focus Government Solutionsのシニアアーキテクトです。 過去にはNSA (米国家安全保障局) レッドチームのメンバー (文官) だったことがあり、またSIEMアーキテクトとして、現在はOptivと呼ばれているMSSPにより、フォーチュン500企業をサポートした経験もあります。

(本ドキュメントは、以下のBlogドキュメントの日本語訳となります)

The Evolution of SIEM: Why Distributed Correlation is so Critical

https://community.softwaregrp.com/t5/Protect-Your-Assets/The-Evolution-of-SIEM-Why-Distributed-Correlation-is-so-Critical/ba-p/1628760#.Wouz1mYUng8

タグ:
カテゴリ: