日本IBMは2023年6月8日、ログ分析ソフトウェア製品群「IBM Security QRadar Suite」を発表した。同年4月から提供している。これまでQRadarブランドで提供してきたSIEMや統一管理ビュー製品などを機能強化しつつパッケージ化した。新たに、SIEMよりも簡易に運用可能なログ分析ツール「QRadar Log Insights」を追加した。スイート製品だが、必要なソフトウェアだけ選んで購入が可能。
日本IBMの「IBM Security QRadar Suite」は、情報システムやネットワーク機器などが出力するログデータを収集して分析するソフトウェア製品群である。これまでQRadarブランドで提供してきたSIEM(セキュリティ情報イベント管理)やEDR(エンドポイント検知・対処)、SOAR(セキュリティ運用自動化)、統一管理ビュー製品などをパッケージ化した。新たに、SIEMよりも簡易に運用可能なログ分析ツール「QRadar Log Insights」を追加した(図1)。
拡大画像表示
中核となるQRadar SIEMは、米IBMが2011年に買収した米キューワンラボ(Q1 Labs)が開発した、個々のログデータやネットワークのフロー情報など複数の情報を収集して分析するSIEMソフトウェアである。複数のログ情報を突き合わせて相関を分析する。本来の動きや普段の動きとは異なるふるまいをリアルタイムに検出し、重要度を重み付けして提示する。
EDRやNDRやSIEMなどの複数のセキュリティツールに接続し、これらの統合ビューとして機能するツール「XDR Connect」についても機能を強化した。そのうえで、管理GUIを提供する共通コンポーネント「Unified Analyst Experience」(UAE)としてQRadar Suiteにバンドルしている。スイートを構成するSIEMやEDRなど各種ツールに共通する統合ビューとして利用可能である(図2)。
拡大画像表示
UAEは、セキュリティ分析担当者の声を反映して機能を強化した。従来は、ツールごとに複数のUIを使い分ける必要があったが、1つの共通の使い勝手でこれらのデータを分析できるようにしたという。分析のアウトプットも、相関分析から脅威を検出して優先度を提示するだけでなく、これまで人が行っていた調査を自動化し、推奨する対処の内容も提示する。
SIEMを補完する新たなログ収集・分析アプリケーション「QRadar Log Insights」を追加した(図3)。SIEMとは独立した別アプリケーションであり、専任のSIEM担当者がいなくても運用可能。データソースの選択や分析クエリーの発行などが容易だという。クエリー言語には検索に特化した「KQL」(Kusto Query Language)を採用した。
拡大画像表示
QRadar Log Insightsは、「SIEMは必要としていないが、ログを収集して検索による分析がしたいユーザー」に向く(図4)。QRadar SIEMとは異なり、脅威のリアルタイム検知やユーザーの行動分析、ネットワークの脅威分析などはできない。提供形態としては、まずはAmazon Web Services(AWS)上でSaaSの形態で提供する。オンプレミス型での提供も予定する。
拡大画像表示