前面幾天的文章都著重在 Log 產生及彙整管理,管理也可以用 Graylog 或 Loggly 這些很棒的工具,但需要進行資安分析,需要的就會是 SIEM,除了 SEIM 以外最近還有很紅的 EDR,其中 Elastic Endpoint Security 就是一套類似 EDR 的解決方案。
上面看到很多名詞很陌生嗎? 這篇文章將淺談端點安全、EDR、SIEM、Elastic Endpoint Security 的基礎概念。
大家還記得前陣子 Garmin 遇到資安事件全球大當機三天、讀冊生活資料外洩等等最近的資安事件嗎? 近十年來由於 IT 相關產業快速的發展,資安問題也越來越多,資安工程師常會遇到的問題可能如下:
所以這時候就會需要一套可偵測管理、持續性監看、簡單配置的端點安全系統。
一套 SIEM 主要結合了:
SIEM 彙整並監控各種伺服器的日誌、網路安全資訊,像是防火牆、網路流量、路由器的紀錄等等,然後產生報表,SIEM 架構可以簡單分成三個部分:
看起來這三個部分是不是有點熟悉,當把 Elasticsearch 該裝的該設定處理好其實也就是一套 SIEM,但 SIEM 並未內建回應機制,只是一項偵測工具。
最近 Endpoint 防禦的觀念逐漸普及,EDR (Endpoint Detection and Response) 就是端點偵測與回應的解決方案,國內外資安廠商都有出相關產品,開源的像是 OSSEC、osquery 也很棒。
在讀了網路上的相關知識後幾個相關的名詞解釋如下:
Elastic Endpoint Security 就是一套類似 EDR 的解決方案,透過配置 Sensor 及相關的保護政策來提供 Windows, Linux, Mac 端點保護,一套 Endpoint Security Platform 可以監控 100K 個端點,使用當然就按照 Elastic Endpoint 官方文件進行相關安裝,主要分成三大塊: