昨天從Log Analysis 日誌分析寫到SIEM 安全資訊事件管理系統，今天繼續介紹SIEM的功能：

3. SIEM具備強大的比對Correlation 功能

前幾篇文章提到許多單一的觸發事件：帳號登入失敗、創建新帳號、帳號權限提升等等，這些日誌紀錄下的行為有可能是正常網管運作，也有可能是攻擊行為，如果要人力憑肉眼去檢視、比對所有日誌十分耗時費力，而且極可能出錯，如果針對個別觸發行為設定警示，相信沒多久你的電子郵件信箱就爆滿了，當大家對於警示麻木alarm fatigue，才是最危險的時候。

解決方法之一是建立風險指數(Risk Based Score)， 依可疑性將各種情境及觸發條件分類，讓資安人員優先集中精力處理高風險、極為可能是攻擊的事件。假設在我們的環境裡，系統日誌是設定為自動覆寫，當發現「刪除日誌」這樣的行為，便非常有可能是系統被入侵後，駭客在消除自己痕跡。這部份SIEM通常有內建的政策可以直接啟動套用，或自行設定政策，將各事件分類歸納，進行較為複雜的關聯式分析來偵測、辨識攻擊行為。下面以一個攻擊行為來做例子：

A) 以Brute Force手法嘗試猜測帳號A密碼
B) 登入成功後，創建新帳號B
C) 提升帳號B 權限

這個攻擊行為中每個階段都會產生日誌，如果針對ABC任何單ㄧ行為設定觸發條件，平時網管人員正常運作產生的日誌也都會觸發，很容易造成誤判，但是如果設定「多次登入失敗+登入成功+創建帳號B+提升帳號權限」這樣滿足多重條件的政策，由SIEM自行檢閱日誌觸發警示，這樣的事件風險和可疑性非常高，必須優先調查。

第二個例子是「帳號登入失敗」，如果以這單一行為當做觸發條件，ㄧ般員工忘記密碼登入失敗也會觸發警示。但如果由SIEM比對來自各不同伺服器的日誌，憑「30秒內，同一帳號於不同主機登入失敗超過共5次」的政策，滿足這複雜條件、高風險、可疑性高的事件便會觸發警示。

第三個範例是ㄧ台對外的SFTP伺服器，因為非常容易受到Brute Force Attack猜測帳密，日誌會有大量登入失敗的記錄，但是我們可以設定政策讓SIEM 針對「多次登入帳號A失敗+之後帳號A登入成功」這樣的情況觸發警示，或者讓SIEM比對防火牆Firewall或UTM日誌，針對「外部IP甲進行Port Scan+外部IP甲嘗試登入帳號」這樣的攻擊情境警示。

資安團隊可以依內建或自訂政策讓SIEM自己翻查本身蒐集的各種日誌比對、觸發警示，傳送電子郵件、簡訊等等通知資安團隊，減少誤判，縮小資安人員分析範圍，方便處理高風險、高可疑性事件；對於低風險的日誌事件，可以抽樣檢視，或配合儀表板建立規律(pattern)比對，或結合趨勢分析，從中篩選資料，達到偵測、鑑識的目的。

*截圖來自socexpert.com

關於SIEM的correlation比對功能今天花了比較長篇幅介紹，畢竟這可以說是SIEM的核心，但是再怎麼強大的工具，還是要看資安人員如何去運用它。還記得受訓的時候，很多人問老師該怎麼設定SIEM比較好，要使用什麼政策？老師反問道：「你想要怎麼去進行分析？」因為即使廠商提供的SIEM方案有非常多的內建政策，實際運用上還是會依照佈屬環境不同而需要調整，並非設定好後就沒事了只需靜待警示觸發，資安人員要善用SIEM的功能，進行偵測、調查、鑑識、分析，甚至從被動的Incident Response到主動Threat Hunting。

「佈局千變萬化，從來沒人可以準確預測對手的下一步。」- -《火鳳燎原》

明天將繼續介紹SIEM，接著將介紹提升SIEM功能，加強資安分析的幾個整合性措施。