上篇文章提到，藉由SIEM安全資訊事件管理系統平台，整合本身公司環境內各項設備，彙整資訊，打造自己的資安艦隊，今天繼續介紹幾項值得招募的艦隊成員。

5. Network monitoring網路監控

網路監控一般是監測網路效能，藉著網路監控系統，或者分析路由器和交換器的NetFlow或sFlow等 Flow Data，針對網路故障、中斷、或效能降低等異常情況做出警示，其實在資訊安全上也有重要應用。NetFlow提供封包來源及目的地、網路服務種類、協定等資訊，我們可以依據平時網路監測結果，建立正常網路流量基準，做趨勢分析，當發現異常網路流量時，透過SIEM的整合，比對來自其他設備的日誌和資訊，調查異常原因，或在偵測異常行為後，進一步分析，例如系統感染惡意程式後，橫向感染同網段內的系統時，透過網路監控可以偵測這類異常行為加以警示。

這裡想提醒一點：來自路由器和交換器的Syslog可能和NetFlow資訊重覆，建議仔細閱讀相關官方文件，確定logging level，如果有重覆的資訊，可以調整設定，避免SIEM收到過多訊息，模糊焦點，徒然耗費儲存空間。如果環境內有設置Network Intrusion Detection System (NIDS)，也可能從NIDS日誌中得到一些重覆訊息，建議調整設定過濾。

監控Wi-Fi網路，也可以偵測是否有未經允許的AP出現，避免入侵者設置自己的惡意AP，假冒為正常AP，進行man-in-the-middle attack中間人攻擊。

我們甚至可以針對異常流量來源進行Packet Analysis 封包分析。本次鐵人賽，邦友WILLO有介紹知名的Wireshark網路封包分析工具，可以參閱：鯊魚咬電纜：30天玩Wireshark 系列
https://ithelp.ithome.com.tw/users/20107304/ironman/1258

6. Vulnerability management弱點掃描管理系統

整合Vulnerability Management 弱點掃描管理系統後，當偵測到來自外部的攻擊，SIEM可以交叉比對受攻擊的伺服器是否有該項漏洞，加以警示。一 般的弱點掃描管理系統同時有資產管理的功能，可以偵測、發現環境內新增的電腦系統資產，如前幾篇文章提到，與ITSM系統整合後，當資安事件觸發警示，SIEM便能以script從ITSM系統自動創建ticket 並指派給資安團隊處理，開始調查、處理的流程，指派人員對新增系統或遭受攻擊的系統進行安全更新，或針對弱點掃描管理系統發有弱點的系統補強。

7. File integrity monitoring 檔案完整性監測

File integrity monitoring 檔案完整性監測通常用於確認檔案是否有改變，進而判斷是經過同意、正常的運作或異常的變更行動，如果資料庫、系統檔案、Registry等等有異常變更，觸發警示後，資安團隊可以進一步調查是否該系統主機被入侵、或被植入惡意程式；或者與Configuration Management組態管理系統結合，同樣加強偵測系統是否有未經同意、不正常的更改變動，警示資安團隊進一步調查。

*攝於RSA Conference Asia Pacific & Japan

上圖展示的四個螢幕是結合SIEM安全資訊事件管理系統和Network Monitoring網路監測系統而成的SOC資通安全防護管理中心。左邊兩個螢幕是RSA NetWitness的SIEM平台，右邊兩個螢幕正是資安團隊運用Cisco StealthWatch進行網路流量監測。只要系統能整合，可以運用其他廠牌的SIEM和不同的網路監測系統結合，甚至Open Source開源軟體，建立自己的管理中心。

以上大略介紹一些整合既有系統設備，建立SOC的方向，但這些都只是硬體設備，有了SOC，還是要依靠資安團隊來進行各項運作，沒有稱職的資安工程師、資安分析師在螢幕後努力，打造的資安艦隊沒有人掌舵指揮，發揮的能力也有限。如果一心想打造完美整合環境，以SIEM的政策自動偵測、鑑識、反應，或者想靠廠商提的Machine Learning機器學習來保護，建議每天還是要花一定時間進行分析，尤其是來自Threat Intelligence資安情資和Honeypot蜜罐的資訊，將會帶來很大的幫助。

「只要你相信你的卡組，卡組就會回應你的希望。」--不動遊星《遊戲王5DS》

如果我有什麼遺漏的地方，歡迎留言補充。