鐵人賽已經到了第15天，還剩一半繼續加油吧！前兩篇提到log Analysis 日誌分析，所謂工欲善其事，必先利其器，想從日誌中挖出有用、有價值的資料，沒有ㄧ個好工具很難進行，以之前分享的《網管人》雜誌文章為例，雖然用script 將伺服器日誌集中在一個地方，避免日誌流失或佔據該伺服器空間，達到稽核要求，但是用Windows Event Viewer ㄧ個個開啟檔案十分耗時，而且當查詢的時間點不明確，很難橫跨時間ㄧ次查詢。（例如查詢「ㄧ個月內所有登入失敗的記錄」。）

另外，不同網路設備的日誌格式不同，Windows Event Viewer就沒辦法開啟Linux系統的日誌，而且當系統開始記錄稽核日誌Audit Log，每天產生的日誌十分驚人(還只是單一伺服器而已)，所以一般至少要運用Log Management日誌管理工具來分析日誌，很多開源、免費的工具例如Graylog, Loggly等等都十分好用，但如果要深入進行資安分析，往往需要ㄧ套功能完善的Security Information and Event Management (SIEM) ，安全資訊事件管理系統。

SIEM的功能和一般日誌管理工具類似，都會將來自不同伺服器和設備的日誌和事件紀錄集中在一個地方 (通常是Log server伺服器本身硬碟或特定的儲存池Storage pool)，避免日誌和紀錄隨著機器故障遺失，符合稽核要求，可以進行關鍵字或日期查詢，所以也有人直接用日誌管理工具來進行分析，成為資安分析師之前我就是被主管指派，學習用一套Log Management日誌管理工具來分析各種日誌，但是幾個月過去後總覺得工具有一些不足的地方，直到我們選購、轉換到一套正式的SIEM平台。SIEM本身有獨特的功能性，除了強化資安分析，大部分的SIEM皆有以下功能：

1. 彙整、解讀多項系統設備日誌

無論是從網路設備的syslog 、Windows 伺服器日誌、Linux Log、 IDS/IPS 、防火牆Firewall、router/switch log 等等，甚至Netflow等等flow data，只要產品支持，SIEM都能讀取、分類索引、正規化 (normalize) 並即時查詢，無須登入不同產品的管理平台閱讀個別日誌，所有資訊都在你面前的SIEM儀表板，方便查詢、分析與鑑識。

例如收到SIEM的電子郵件警訊回報，一台電腦上發現惡意程式，這是來自端點防毒軟體日誌有紀錄電腦IP，接著我們可以憑該電腦的IP查詢Firewall,、UTM、IPS/IDS,、Proxy Server、flow data等等所有的log查閱「所有符合該IP的紀錄」來找出該電腦的瀏覽紀錄，比對DNS log找出URL，再用URL查詢「所有曾經造訪該URL的電腦IP」，看是否有其他台電腦造訪、下載惡意程式，再繼續根據找到的電腦IP搜尋「所有來自該電腦IP的紀錄」，研究是否電腦有受到感染？是否有異常行為？而這反覆比對、查詢、擴大搜尋範圍、縮小搜查內容的過程中，皆在同一個SIEM平台執行。

2. 資料圖形化

將日誌紀錄轉化為圖形在儀表板上呈現，方便建立規則比對，做出趨勢分析，圖形化介面可以偵測「短時間內產生大量日誌」這樣的異常行為，或針對「過去7天最多登入失敗的帳號」深入調查。同時SIEM有內建各式報表，可以定期產生法規遵循相關報表，或分析類報表方便進行分析。主管最喜歡看著儀表版問「今天怎麼樣啊？」不然就是對著報表點頭(偶爾會搖頭)，畢竟圖形化後的資料較為淺顯易懂，能快速掌握重點。

*示意圖來自網路。(大家都想像他這樣輕輕鬆鬆監控^^)

(未完明天待續)

「軍師若要盡展所長，除了洞悉敵人之計，還要對我軍一切瞭如指掌。」陳宮《火鳳燎原》

你有使用SIEM的經驗嗎？歡迎留言討論。