QRadar と Splunk の違い、比較表

スポンサード リンク

このページではQRadar と Splunk の違いに関して説明します。
最近ではLinuxやWindows サーバを構築すると、運用フェーズではそのログをSIEMサーバへ送付する運用が多くなりました。SIEM上でログを分析させるためです。

(1)一台、一台のログ分析では気が付かない脅威に関しても、SIEM側に寄せて分析することにより発見されることもあるためです。例えばとあるユーザの認証失敗ログが出力されていたとします。この失敗ログが多数のサーバで同時に発生している場合は、何か不正なbotがネットワーク内に侵入して活動しているのではと気が付くことが可能となる訳です。

(2)また「ブラックリストIPアドレス」のようなリストもあります。外部からサーバにアクセスしてきているIPアドレスをチェックし、「ブラックリストIPアドレス」に合致していなかチェックすることも重要です。これもSIEMの役割の一つです。


スポンサード リンク

(注意)分かりやすく簡単に記載しており、一部の環境や分野では記載内容が異なる可能性があります。あくまでも参考程度でお読みください。

比較表

比較は以下の表の通りとなります。

説明QRadarSplunk
読み方きゅー れー だーすぷらんく
概要セキュリティに特化した相関分析システム。

機器データ、マネージメントシステム。
これをセキュリティログ相関ログ分析に応用することが可能。
特徴相関ルールのテンプレートが多数用意されている。
組織の特性に合った相関ルールの設計が必要。
導入導入は簡単。

設計が必要。
細かいルール
あまり詳細なルールは作るのが困難。
企業の特性、業務フローに即した詳細なルールまで作成可能。
スタートスモールスタートが適している。
本格的な大規模システムに適している。
開発元IBM が Q1 Labs より買収。
独立系。
メリット・構築、設定がとても簡単。
・視覚的に分かりやすい。
・パケットフロー、およびログから脅威の検出。
・SIEM以外にもネットワークフロー分析、セキュリティ・脆弱性診断、資産管理(アセットマネージメント)などの機能もあり。セキュリティの機能が豊富。
・IBM X-Force(脅威情報)の使用が可能。
・ログ分析機能に特化した製品だけあって、機能が豊富。
・ログの検索機能が豊富。
・視覚的に分かりやすい。
・他のソースから脅威情報の取得が可能。
デメリット・カスタマイズに限界ありか。
・SIEMとしての事前定義ルールが少ないか。
・本格的な開発には技術の取得が必要か。








【注意】本ページは著作権で保護されています。内容は何人も補償しません。時間的あるいは金銭的損失等、一切保証しません。

理解しやすく記載されており、一部不正確な記載がある可能性があります。ご自身の責任で参考にしてください。