從第15天到第17天都在介紹SIEM安全資訊事件管理系統，雖然它有強大的功能幫助我們偵測攻擊事件，但它不是萬靈丹，若沒有資料來源提供資訊，發揮的效能也有限，如果小公司預算有限，優先投資一個好的UTM或次世代防火牆應該比投資在SIEM效益高；若是本身環境已經有多樣資安設備，除了彙整日誌，提供資料分析比對的引擎，SIEM可以提供一個整合平台，將散布於各處的資安設備合為一隻完整的資安艦隊，打造屬於自己的Security Operation Center(SOC) 資通安全防護管理中心。

沒錯！SOC！提到SOC可能很多人會想起電影裡一間黑黑暗暗的大房間，電視牆上顯示密密麻麻的各種儀表板，房間裡每個人低頭研究眼前螢幕，不時抬頭和電視牆上的儀表板比對，好像是大型資料中心、銀行、大公司等等才有的專權，其實如果將本身環境內已有的各項設備透過SIEM整合，我們也可以打造屬於自己的SOC，進行監控、偵測、分析、反應、鑑識。以下介紹幾樣常見的整合資訊：

1. Threat Intelligence資安情資
   昨天提到，當匯合資安情資(Threat Intelligence) 後，SIEM可以與資安情資的名單比對，如果寄件人、URL、IP、檔案等等來自資安情資登記的已知惡意來源，能加強偵測，提升判斷準確率。

2. Honeypot蜜罐
   對於蜜罐的解釋，本次鐵人賽已有邦友Fu-Sheng介紹，可以參閱：
   資安的學習心得及分享系列DAY 23 蜜罐(honeypot)
   https://ithelp.ithome.com.tw/articles/10193941

資安情資(Threat Intelligence)是來自外部的資訊，依照情資來源，可能包含來自全球的資料，當本身環境內有Honeypot，它提供的是直接關於本身環境的情資，告訴我們現在正試著入侵我們系統的人在做什麼，如果發現入侵者正在試Apache Struts，那我們趕緊確認是否相關動都補齊，或者主動阻擋入侵者IP；如果發現入侵者在試cross-site scripting，那趕緊確認WAF有好好擋住。藉由Honeypot誘捕，蒐集入侵者手法資訊，從被動反應轉為主動防禦。

3. UEBA使用者行為分析系統
   所謂千防萬防，家賊難防，我們千辛萬苦希望把入侵者擋在門外，對於來自內部的威脅自然也不能掉以輕心。UEBA分析使用者行為，對於內部的使用者異常行為提出警示，如果有人短時間內在不同電腦系統插入USB隨身碟，執行批次檔，是不是有點奇怪？也許這只是網管人員在執行正常維護工作，但是若那些主機系統之後出現其他異常行為，例如批次檔和Threat Intelligence 比對是登記在案的惡意檔案，或者主機之後開始對外聯繫，聯繫的IP是比對Threat Intelligence下判斷的C&C Center，那USB隨身碟也許被感染了，必須盡快處理避免感染更多系統。

4. Network Access Control(NAC)網路存取管制系統
   這類系統通常用於管制內部存取行為，同時在符合安全政策下，提供訪客存取內部網路資源的方便，有時也作Network Access Protection網路存取保護系統。公司有訪客、外部顧問需要暫時存取內部網路資源，常常使用自己的筆電，整合NAC之後，如果發現這些筆電有惡意行為，資安團隊可以從SOC下指令，由NAC設備停止該筆電的網路資源存取，

(未完下篇待續)

*攝於RSA Conference Asia Pacific & Japan

以上圖片攝於本次2017年在新加坡舉辦的亞太區RSA Conference，會場旁設置的SOC展場，可以見到大家對於SOC的興趣濃厚。

「聚集的群星化為一體時，新的羈絆將照亮未來，成為光芒閃耀的道路吧！同步招喚！」--不動遊星《遊戲王5DS》

您有建立SOC的經驗嗎？明天將繼續介紹應該整合進SOC的系統設備，歡迎分享經驗。