[ホーム] > [間違えやすい類語 IT編一覧] > [QRadar と Splunk の違い、比較表]
このページではQRadar と Splunk の違いに関して説明します。
最近ではLinuxやWindows サーバを構築すると、運用フェーズではそのログをSIEMサーバへ送付する運用が多くなりました。SIEM上でログを分析させるためです。
(1)一台、一台のログ分析では気が付かない脅威に関しても、SIEM側に寄せて分析することにより発見されることもあるためです。例えばとあるユーザの認証失敗ログが出力されていたとします。この失敗ログが多数のサーバで同時に発生している場合は、何か不正なbotがネットワーク内に侵入して活動しているのではと気が付くことが可能となる訳です。
(2)また「ブラックリストIPアドレス」のようなリストもあります。外部からサーバにアクセスしてきているIPアドレスをチェックし、「ブラックリストIPアドレス」に合致していなかチェックすることも重要です。これもSIEMの役割の一つです。
(注意)分かりやすく簡単に記載しており、一部の環境や分野では記載内容が異なる可能性があります。あくまでも参考程度でお読みください。
| 説明 | QRadar | Splunk |
| 読み方 | きゅー れー だー | すぷらんく |
| 概要 | セキュリティに特化した相関分析システム。 | 機器データ、マネージメントシステム。 これをセキュリティログ相関ログ分析に応用することが可能。 |
| 特徴 | 相関ルールのテンプレートが多数用意されている。 | 組織の特性に合った相関ルールの設計が必要。 |
| 導入 | 導入は簡単。 | 設計が必要。 |
| 細かいルール | あまり詳細なルールは作るのが困難。 | 企業の特性、業務フローに即した詳細なルールまで作成可能。 |
| スタート | スモールスタートが適している。 | 本格的な大規模システムに適している。 |
| 開発元 | IBM が Q1 Labs より買収。 | 独立系。 |
| メリット | ・構築、設定がとても簡単。 ・視覚的に分かりやすい。 ・パケットフロー、およびログから脅威の検出。 ・SIEM以外にもネットワークフロー分析、セキュリティ・脆弱性診断、資産管理(アセットマネージメント)などの機能もあり。セキュリティの機能が豊富。 ・IBM X-Force(脅威情報)の使用が可能。 | ・ログ分析機能に特化した製品だけあって、機能が豊富。 ・ログの検索機能が豊富。 ・視覚的に分かりやすい。 ・他のソースから脅威情報の取得が可能。 |
| デメリット | ・カスタマイズに限界ありか。 | ・SIEMとしての事前定義ルールが少ないか。 ・本格的な開発には技術の取得が必要か。 |
[ホーム] > [間違えやすい類語 IT編一覧]
,