iT邦幫忙

2018 iT 邦幫忙鐵人賽
DAY 15
2
Security

資安分析師的轉職升等之路系列 第 16

Day 15 機器幫你管日誌: SIEM 安全資訊事件管理系統 (1)

  • 分享至 

  • xImage
  •  

鐵人賽已經到了第15天,還剩一半繼續加油吧!前兩篇提到log Analysis 日誌分析,所謂工欲善其事,必先利其器,想從日誌中挖出有用、有價值的資料,沒有ㄧ個好工具很難進行,以之前分享的《網管人》雜誌文章為例,雖然用script 將伺服器日誌集中在一個地方,避免日誌流失或佔據該伺服器空間,達到稽核要求,但是用Windows Event Viewer ㄧ個個開啟檔案十分耗時,而且當查詢的時間點不明確,很難橫跨時間ㄧ次查詢。(例如查詢「ㄧ個月內所有登入失敗的記錄」。)

另外,不同網路設備的日誌格式不同,Windows Event Viewer就沒辦法開啟Linux系統的日誌,而且當系統開始記錄稽核日誌Audit Log,每天產生的日誌十分驚人(還只是單一伺服器而已),所以一般至少要運用Log Management日誌管理工具來分析日誌,很多開源、免費的工具例如Graylog, Loggly等等都十分好用,但如果要深入進行資安分析,往往需要ㄧ套功能完善的Security Information and Event Management (SIEM) ,安全資訊事件管理系統。

SIEM的功能和一般日誌管理工具類似,都會將來自不同伺服器和設備的日誌和事件紀錄集中在一個地方 (通常是Log server伺服器本身硬碟或特定的儲存池Storage pool),避免日誌和紀錄隨著機器故障遺失,符合稽核要求,可以進行關鍵字或日期查詢,所以也有人直接用日誌管理工具來進行分析,成為資安分析師之前我就是被主管指派,學習用一套Log Management日誌管理工具來分析各種日誌,但是幾個月過去後總覺得工具有一些不足的地方,直到我們選購、轉換到一套正式的SIEM平台。SIEM本身有獨特的功能性,除了強化資安分析,大部分的SIEM皆有以下功能:

  1. 彙整、解讀多項系統設備日誌

無論是從網路設備的syslog 、Windows 伺服器日誌、Linux Log、 IDS/IPS 、防火牆Firewall、router/switch log 等等,甚至Netflow等等flow data,只要產品支持,SIEM都能讀取、分類索引、正規化 (normalize) 並即時查詢,無須登入不同產品的管理平台閱讀個別日誌,所有資訊都在你面前的SIEM儀表板,方便查詢、分析與鑑識

例如收到SIEM的電子郵件警訊回報,一台電腦上發現惡意程式,這是來自端點防毒軟體日誌有紀錄電腦IP,接著我們可以憑該電腦的IP查詢Firewall,、UTM、IPS/IDS,、Proxy Server、flow data等等所有的log查閱「所有符合該IP的紀錄」來找出該電腦的瀏覽紀錄,比對DNS log找出URL,再用URL查詢「所有曾經造訪該URL的電腦IP」,看是否有其他台電腦造訪、下載惡意程式,再繼續根據找到的電腦IP搜尋「所有來自該電腦IP的紀錄」,研究是否電腦有受到感染?是否有異常行為?而這反覆比對、查詢、擴大搜尋範圍、縮小搜查內容的過程中,皆在同一個SIEM平台執行。

  1. 資料圖形化

將日誌紀錄轉化為圖形在儀表板上呈現,方便建立規則比對,做出趨勢分析,圖形化介面可以偵測「短時間內產生大量日誌」這樣的異常行為,或針對「過去7天最多登入失敗的帳號」深入調查。同時SIEM有內建各式報表,可以定期產生法規遵循相關報表,或分析類報表方便進行分析。主管最喜歡看著儀表版問「今天怎麼樣啊?」不然就是對著報表點頭(偶爾會搖頭),畢竟圖形化後的資料較為淺顯易懂,能快速掌握重點。

https://ithelp.ithome.com.tw/upload/images/20180103/20084806Cz3pzE0EXv.jpg
*示意圖來自網路。(大家都想像他這樣輕輕鬆鬆監控^^)

(未完明天待續)

「軍師若要盡展所長,除了洞悉敵人之計,還要對我軍一切瞭如指掌。」陳宮《火鳳燎原》

你有使用SIEM的經驗嗎?歡迎留言討論。


上一篇
Day 14 傾聽日誌的聲音 : Log Analysis & Monitor日誌分析與監控 (2)
下一篇
Day 16 機器幫你管日誌: SIEM 安全資訊事件管理系統 (2)
系列文
資安分析師的轉職升等之路32
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 則留言

0
彭偉鎧
iT邦研究生 1 級 ‧ 2018-01-03 16:58:31

SIEM跟圖像化,只是方法,真正的稽核要運用到統計學抽樣的概念,每天有幾千萬筆的事件產生,而稽核再處理這類事情,可能僅會抽樣調查,好比說,駭客攻擊IP,每天都有一堆無聊的人再掃IP,我們無法針對這些很LOW的事件去處理,只能由你的方法去觀察樣本,如果樣本數集中於某項端口做攻擊,此時,就得要立刻處理。

但其實工程師本來也應該有第一線稽查的能力,既然有辦法利用SIEM歸類並找出樣本,就要進行樣本分析,可是很多工程師並沒有分析能力,所以很容易出包!

分析能力真的很重要,不然很難從資料中找出真正有用的訊息。受訓的時候,很多人問老師該怎麼設定SIEM比較好,老師也是反問:你想要怎麼去進行分析?雖然有很多內建的政策,也正如您所說的只是在方法上簡化、自動化,如果有概念自上而下進行正確分析,才能善用、發揮工具100%效能

SIEM和一般Log Management其中一個差別便是能做複雜的關聯性比對(correlation),讓機器幫你工作,明天會繼續介紹。

我要留言

立即登入留言