SIEMのコスト削減とパフォーマンス向上(誤検知防止)の技-その1.フィルター(Add filter)

螺子です。今回は、「SIEMのコスト削減とパフォーマンス向上(誤検知防止)の技」と題して、SSBの機能を利用して、SIEMのコストを削減する方法およびSIEMのパフォーマンスを向上(誤検知防止)させる方法について、何回かにわたって投稿したいと思います。

はじめに

セキュリティインシデント対策として、ログを長期間保存すると共にSIEMに転送しているお客様は数多くいるのではないでしょうか?

多くのSIEMは受信したログ容量で課金されています。システムのデバッグログをフィルターし、SIEMへのデバッグログを転送しなくしたところ、ログ量が削減され、コストが大幅に削減されたという話を聞いたことがあります。

SIEMのコストを削減するには、必要なログのみSIEMに転送し、SIEMへのログ量を削減することが有効な方法となります。

本記事では、主に不要なデバッグログをフィルターし、SIEMへのログ量を削減する方法について説明します。

フィルター(`Add filter`による)設定

SSBのフィルター(`Add filter`フィールドによる)設定を、以下に示します。

ここでは、ログをSIEMへ転送する設定(パス、ディスティネーションなど)は既に設定済みであるものとします。転送設定については、過去記事「次世代ファイアウォールPalo Alto(Prisma)のログをSOCへ転送!」が参考になりますので、ご参照ください。

`Add filter`フィールドのコンボボックスから`priority`を選択します。

図1. `Add filter`設定-1

Syslogメッセージには、メッセージのヘッダー部に`ファシリティー`値と`セベリティー`値が含まれています。詳細については、「BSD-syslog(RFC 3164)メッセージフォーマット」をご参照ください。

ここでは、`セベリティー`(SSBでは`priority`と呼んでいる)値が`7:Debug`、つまりデバッグログをフィルターし、SEIMへ転送しないようにします。

をクリックします。

図2. `Add filter`設定-2

`Add filter`が`priority`に変わり、条件を設定できるようになります。

図3. `Add filter`設定-3

条件(演算子)として`is not`を選択します。

図4. `Add filter`設定-4

条件値に`Debug`を指定します。

図5. `Add filter`設定-5

これで、プライオリティが`Debug`以外のログをフィルターできます。[Commit]をクリックして設定を保存します。

図6. `Add filter`設定-6

ログ容量の確認

それでは、受信したログ量を確認・比較してみます。今回は、Kiwi Syslog Message Generatorを使用してプライオリティをランダムに生成してログを送信しています。

フィルター無効時のログ数は218,500メッセージです。

図7. フィルター無効時のログ数

受信したログのプライオリティを参照すると、プライオリティ値7のDebugログが含まれています。

図8. フィルタ無効時のプライオリティリスト

フィルター有効時のログ数は191,313メッセージとなりました。

図9. フィルター有効時のログ数

プライオリティを参照すると、プライオリティ値7のDebugログは含まれていません。

図10. フィルター有効時のプライオリティリスト

保存したログファイルの容量は、フィルター無効時は22MBでフィルター有効時は19MBとなりました。

# du -h messages.log
22M     messages.log
# du -h messages.log
19M     messages.log

ログ数で12.4%、ログ容量で13.6%を削減できていることがわかります。

おわりに

いかがでしたでしょうか。フィルター機能を利用してSIEMへ不要なログを転送しないことで、ログ容量を削減できるようになりました。これにより、SIEMコストの削減できる可能性があることがわかりました。

SSBでは、フィルターでSIEMへ転送したログを含むすべてのログを長期的に保存します。SSBは、データディスクなどに必要な保存容量を割り当てることでログを長期保存でき、保存したログにインデックス付けすることで高速検索が可能です。そうすることで、SIMEに保存されていないログを閲覧・検索および調査する必要が出てきた場合でもログを横断的に調査できます。

ログの長期保存と高速検索の必要性

SIEMには、長期的にログは保存されません。その為、ログサーバーでログを長期的に保存することは有益です。
標的型攻撃等では、最初の攻撃から認知までに1年近くを要する場合もあり、インシデント発生時に原因究明を適切に行うために、過去に遡った調査も必要にることからログは十分な期間保存しておくことが必要だからです。
また、ログを迅速に検索できないと、サイバー攻撃やその他の脅威への対応に時間がかかる可能性があります。

SSBの機能

本記事で使用したSSBの機能は以下の通りです。

  • フィルター(Add filter)

参考資料

フィルター設定の詳細については、syslog-ng Store Box 7 LTS管理者ガイドの「10.3 メッセージのフィルター」を参照してください。

また、フィルターについては、過去記事「フィルターを使用して、必要なログのみ保存してみる!」でも紹介していますので合わせてご参照してください。

「リモートアクセスログを調査」連載記事リスト

「syslog-ng Store Box大活用連載企画」連載記事リスト



SSBは、高信頼ログ管理アプライアンスです。様々なデバイスおよびアプリケーションからログメッセージを収集、分類、フィルタリング、正規化して安全に保存可能です。ログデータの信頼性を担保し、膨大なログが発生する高負荷環境、あるいはログロストが許されない企業・組織のログ管理に最適です。

syslog-ng Store Boxについての詳細は、製品紹介ページ・製品ガイドをご参照ください。

こんな記事も読まれています

最新記事

おすすめ記事

  1. 産業スパイを発見し、防ぐ方法とは

  2. Flexible NetFlowとは?を5分で理解する

  3. WinSyslog 使い方ガイド#2 受信時刻とデバイスタイムスタンプ両方を出力する

製品カテゴリー

JTC IT用語集
TOP