ファイアウォールログの監視・監査の方法について

インターネット経由で、ある1カ所の拠点向けにWebサービスを提供しているシステムの運用をしているものです。
ファイアウォールを設置しておりますが、IDS・IPSは導入しておりません。
このシステムでは、1拠点にしかサービスを提供していないので、その拠点からのアクセス以外は全てファイアウォールでドロップしております。
上司から、ファイアウォールのログの監視の運用を確立するように指示がありました。
下記の案を考えてみたのですが、どんな物を検知・集計するのが有効なのか、世間一般にはどんな方法があるのかを知りません。どなたかお知恵をください。
・一定時間内に同一ソースからのアクセスを大量にドロップしたものをリアルタイムに検知する。
・定期的(週1回など)同一ソースからのアクセスの集計する。

No.1 回答者： e3tatsu 回答日時： 2014/04/23 21:26

セキュリティを売り物にした企業でなければ、ドロップされた通信ログよりもアクセプトされた通信ログの方が重要です。

一般的にドロップされた通信ログは攻撃が試行された国別統計を出すくらいしか活用用途はありません。
逆にアクセプトされた通信ログは、不正アクセスが発覚した際の調査に役立ちます。
ログはリアルタイムでsyslogサーバに保管します。
さらに必要があればログ解析ツールを導入します。