TOP > ソリューション > CSIRTサポート
 
 

 SOCシステム構築

  
SIEMとして、オープンソースをベースとしたSOCEngine®を自社開発して、運用・監視サービスをMSS(Managed Security Service)として提供しています。

 

   

CSIRTを効果的に運用するには、インシデントの検知や分析を行うSOCシステムが必要となります。SOCシステムとしてSIEM(Security Information and Event Management)を導入することによりネットワーク上の様々なログの相関分析ができるようになります。

 

SOCシステムには、アナリストが分析するためのSIEMがあり、さらに、そのシステムを運用・監視する必要があります。 S&JのSOCEngine®は、オンプレミスでお客様のデータセンターなどに設置する「SOCEngine® オンプレミス」と、S&JのデータセンターのSOC Engine®を利用する「SOCEngine®クラウド」を選択することができます。

 

「SOCEngine® オンプレミス」では、お客様のデータセンターなどにS&Jの提供するアプライアンス機器を設置し、収集するログに対して最適な検知ロジックを設計し、3ヶ月程度のチューニングを行います。 SOCEngine®の構築においては、お客様の環境やご要望によりきめ細かな対応を行う「SOCEngine® プロフェッショナル」と、S&Jが提供するテンプレートを用いる「SOCEngine® スタンダード」を選択することができます。十分なセキュリティ人材を有し、高度な監視や対応を望まれる組織では、 「SOCEngine® プロフェッショナル」が適しており、検知ロジックやアラート通知を細かくカスタマイズすることができます。短期間にSIEMを構築し、ログの収集・蓄積を開始し、S&Jに検知ロジックやアラート通知などをテンプレートを用いて運用を開始する組織では「SOCEngine® スタンダード」が適しています。



 

SOCシステム運用 

 
CSIRTが機能するためには、検知や分析を行うSOCシステムが欠かせません。一方で、SIEMを中心とするSOCシステムにおいては、大量に検知されたアラートに対応する能力が必要になります。膨大なログから抽出される大量のアラートの対応に追われて疲弊してしまう、という状況にならないためには、無駄な対応を除外して減らすためのホワイトリスト作成が必要となります。
 
しかし、どのアラートを除外していいのかの判断は高度な知識と経験が必要となります。S&Jでは、 SOCEngine®から抽出されるイベントから必要なアラートに絞り込みます。また、インシデントとして対応しなければならないアラートを特定しお知らせします。
 
お客様のCSIRTでSOCシステムを運用・監視を行うには、十分なスキルを持ったアナリストを適正人数配置する必要があります。しかし、本来のCSIRTの業務は、インシデントハンドリングと社内調整、経営者とのコミュニケーションです。日常のアラート対応に忙殺されることの無いよう、S&JがSOCEngine®の監視とアラート分析を行い、CSIRTが本来の業務に専念できるように支援します。
 
インシデントとして対応が必要な場合、サーバや対象PCのフォレンジックなどの分析を行います。S&Jでは、フォレンジックに要する時間を短縮し、CSIRTが対応に必要な項目に絞って短時間で速報をお知らせします。そして、必要であれば詳細なフォレンジックを行います。多くのお客様で、短時間のフォレンジックが好評となっています。