イベント分析

SmartEventによるイベント分析

SmartEvent Software Bladeは、リアルタイムでグラフィカルな脅威管理情報を提供する、統合セキュリティイベント管理および分析ソリューションです。SmartConsole、SmartView、Web Application、SmartEvent GUIクライアントが数十億件ものログを集約し、優先順位を付けたセキュリティイベントとして表示することで、ユーザはセキュリティインシデントに迅速に対応し、必要なアクションを実行して新たな攻撃を防ぐことができます。ユーザにとって最も重要性の高いイベントをモニタリングできるよう、ビューをカスタマイズすることが可能です。概要ビューから詳細なフォレンジック分析まで、数クリックで移動できます。フリーテキスト検索と推奨により、データ分析を迅速に実行して、重大なセキュリティイベントを識別することができます。

イベントとは

イベントはセキュリティインシデントの記録です。1件以上のログと、イベントポリシーで定義されたルールがベースとなります。

1件のログがベースとなるイベントの例:深刻度が高いアンチボットのイベント。深刻度が高のアンチボットログ1つでイベントが記録されます。

1件以上のログがベースとなるイベントの例:イベントを共有する証明書。同じ証明書と異なるユーザを持つ2つのログインログによりイベントが記録されます。

ログがイベントに変換される方法

SmartEventでファイアウォール、VPN、HTTPSインスペクションログでないログを自動的にイベントとして定義します。

1つ以上のログの疑わしいパターンがベースとなるイベントは、SmartEvent相関ユニットで作成されます。相関イベントは、ポリシータブのSmartEventクライアントGUIで定義されます。

ログの大半はファイアウォール、VPN、HTTPSインスペクションのログです。そのため、SmartEvent Serverのパフォーマンスへの影響を避けるため、デフォルトではSmartEventでイベントとして定義されません。

セキュリティゲートウェイR77.Xおよびそれ以前のバージョンからのログ:ファイアウォールのイベントを作成するには、SmartEventポリシータブで、統合セッション>ファイアウォールセッションを有効にします。

SmartEventアーキテクチャ

SmartEventには、セキュリティ脅威を追跡し、ネットワークをより安全にするために連動するコンポーネントがあります。

動作の仕組みは次のとおりです。番号はダイアグラムでの参照です。

  • SmartEvent相関ユニット(3)でログ サーバ(2)のログエントリを分析し、ログサーバがログを保存する同じ方法でイベントを保存します。

  • SmartEvent Server(4)にはイベントデータベース(5)が含まれます。

  • SmartEventとSmartConsoleクライアント(6)でSmartEvent Serverを管理します。

アイテム

内容

目的

 

ログのデータフロー

 

イベントのデータフロー

1

Check Point Security Gateway

ログをログサーバに送ります。

2

ログサーバ

ログを保存します。

3

SmartEvent相関ユニット

イベントを識別:ログサーバからの各ログエントリを分析し、インストールされたイベントポリシーに従ってパターンを確認します。ログには、Check Point製品からのデータや特定のサードパーティデバイスからのデータが含まれます。脅威パターンが特定されると、SmartEvent相関ユニットからイベントがSmartEventサーバに転送されます。

4

SmartEventサーバ

SmartEventサーバ:

  • SmartViewのログインデックス作成

  • イベントポリシーの定義

  • 相関ユニットの管理

5

イベントデータベース

イベントを保存します。SmartEvent Server上。

6

SmartEventクライアント

受信したイベントが表示されます。クライアントを使用して、イベントの管理(イベントのフィルタやイベントを閉じるなど)、微調整、イベントポリシーのインストールを行います。以下のクライアントがあります。

  • SmartConsole

  • SmartView Webアプリケーション

SmartEventコンポーネントは、1つのコンピュータにインストールすることも(スタンドアロン導入)、複数コンピュータとサイトにインストールすることも(分散導入)できます。より多くのログ記録アクティビティを処理するには、分散構成の導入をお勧めします。各SmartEvent相関ユニットは1つ以上のログサーバまたはドメインログサーバからのログを分析することができます。

SmartEvent相関ユニット

SmartEvent相関ユニットはログエントリを分析してイベントを識別します。分析中のSmartEvent相関ユニットでは:

  • 個別に見るとイベントではないが、後に大きなパターンとして識別されるものの中で、その一部となる可能性があるログエントリをマークします。

  • イベントポリシーの条件セットの1つを満たすログエントリからイベントを生成します。

  • アイテムのグループの一部である新しいログ エントリを取得します。すべてが一緒になり、セキュリティイベントになります。SmartEvent相関ユニットで現行イベントに追加されます。

  • イベント条件を満たさないログエントリは破棄されます。

SmartEvent相関ユニットのハイアベイラビリティ

複数の相関ユニットで同じログサーバからのログを読み取ることができます。これにより、1つがフェイルになっても堅牢性を実現できます。相関ユニットが検出するイベントはSmartEventデータベースで複製されます。これらのイベントは、イベントクエリ定義のフィールド別に検出で絞り込んで区別できます。フィールド別に検出では、イベントを検出したSmartEvent相関ユニットを特定します。

SmartView Webアプリケーション

SmartView Webアプリケーションは、お使いの環境で発生するイベントを分析するために使用できるSmartEventクライアントの1つです。環境のセキュリティ情報の概要を表示するためにSmartView Webアプリケーションを使用します。SmartConsoleと同じイベントモニタリングビューと分析ビューを備えています。クライアントをインストールする必要がなく便利です。

SmartView Webアプリケーションを使ってSmartEventにログインするには

次を参照します:

https://<IP Address of Security Management Server >/smartview/

または

https://<Host Name of Security Management Server >/smartview/

- URLは大文字と小文字が区別されます。