セキュリティモニタリングの全体像についてです。
通常以下の5ステップからなります。

1. アセットの検知と登録
2. ログの収集
3. セキュリティ情報の統合
4. レポート、アラート設定
5. イベントの調査とインシデント対応

AlienVaultのフリー版OSSIMでもこれらの機能が利用可能です。


1. アセットの検知と登録
マニュアル登録、ポートスキャンを使った自動検知と登録、収集したシスログから自動登録

2. ログの収集
syslogだけでなく、WMI, sqlなどを使った収集も可能。
OSSIMにlinux,win用のエージェントが付属しているので、それをインストールすればアプリケーションログ、tripwire的にファイルの変更ログなども収集可能。
対応ログは、unix系syslog, network機器、windows event log, McAfeeなどアンチウイルスソフト系、database, web log, IPS, Firewall だいたい必要なものは網羅している。
netflowも受け付けることが可能。

3. セキュリティ情報の統合
ログの分析エンジンで、関連付け、リスクの重み付けを計算可能。
さらに、OTXというセキュリティコミュニティのreputation情報を元にblack list IPからの攻撃はリスク値を上げるなど外部ソースとの連携も可能。
脆弱性スキャナー機能が備わっているので、脆弱性情報をアセットに登録し、攻撃パターンと脆弱性の有無からもリスクの計算が可能。

4. レポート、アラート設定
OSSIMはテンプレートが限定的です。サイバーセキュリティレポート、内部統制レポートのテンプレートは利用可能。
USMではISO27001, PCI-DSS, HIPPA, Malware対策など豊富なテンプレートが利用可能です。

5. イベントの調査とインシデント対応
フリー版だと機能が限定されていますが、収集したログに電子署名を施して保存することが可能。

私も全て使っていますが、驚くほど効果的です。
興味がある方がいらっしゃるでしょうか？
使い方などを解説しようと思いますが、スクリーンショットの採取など手間がかかるのでどうしようか決めかねています。