前面幾天的文章都著重在 Log 產生及彙整管理，管理也可以用 Graylog 或 Loggly 這些很棒的工具，但需要進行資安分析，需要的就會是 SIEM，除了 SEIM 以外最近還有很紅的 EDR，其中 Elastic Endpoint Security 就是一套類似 EDR 的解決方案。

上面看到很多名詞很陌生嗎? 這篇文章將淺談端點安全、EDR、SIEM、Elastic Endpoint Security 的基礎概念。

端點安全簡介

大家還記得前陣子 Garmin 遇到資安事件全球大當機三天、讀冊生活資料外洩等等最近的資安事件嗎? 近十年來由於 IT 相關產業快速的發展，資安問題也越來越多，資安工程師常會遇到的問題可能如下:

• 公司內部電腦目前安全狀況如何?
• 怎麼偵測到被忽視的攻擊?
• 怎麼發現一些潛在的危險事件或行為?
• 各式各樣端點傳來的 Log 該怎麼整合怎麼判斷?
• 這次的攻擊是怎麼發生的?

所以這時候就會需要一套可偵測管理、持續性監看、簡單配置的端點安全系統。

SIEM

一套 SIEM 主要結合了:

• SIM (security information management)
• SEM (security event management)

SIEM 彙整並監控各種伺服器的日誌、網路安全資訊，像是防火牆、網路流量、路由器的紀錄等等，然後產生報表，SIEM 架構可以簡單分成三個部分：

• 事件收集器 (connector)
• 日誌管理系統 (logger management)
• 事件關連分析平台 (correlation)

看起來這三個部分是不是有點熟悉，當把 Elasticsearch 該裝的該設定處理好其實也就是一套 SIEM，但 SIEM 並未內建回應機制，只是一項偵測工具。

EDR

最近 Endpoint 防禦的觀念逐漸普及，EDR (Endpoint Detection and Response) 就是端點偵測與回應的解決方案，國內外資安廠商都有出相關產品，開源的像是 OSSEC、osquery 也很棒。

在讀了網路上的相關知識後幾個相關的名詞解釋如下:

• EDR (Endpoint Detection and Response): 端點偵測及回應，行為特徵的彙整，資訊的蒐集與辨識，來讓相關人員或防毒軟體做出反應
• XDR: Cross Detection and Response 全面偵測及回應，除了端點訊息以外再提供更多一些，可以想像是跨平台的 EDR (Network, Endpoint, Server, messaging, 3rd party logs)
• EPP: 端點防護平臺 Endpoint Protection Platform，高度整合的防護平台，透過固定的特徵碼識別機制處理問題

Elastic Endpoint Security

Elastic Endpoint Security 就是一套類似 EDR 的解決方案，透過配置 Sensor 及相關的保護政策來提供 Windows, Linux, Mac 端點保護，一套 Endpoint Security Platform 可以監控 100K 個端點，使用當然就按照 Elastic Endpoint 官方文件進行相關安裝，主要分成三大塊:

• 建立保護政策 (Protection Policy)
  • threats: 透過行為分析與機器學習來辨識
  • adversary behaviors: 透過蒐集本機 event data 來辨識
• 建立 Sensor Profile
  • 連接的 IP or domain name
  • 使用的 proxy
  • 套用哪個保護政策
  • 要監控哪些類型的檔案是否有被修改
  • Local 要存多大容量的事件 Log
• 建置發佈 Sensor 到機台上
  • In-band: 只能用在 windows 平台，需要啟用 WinRM (Windows Remote Management)
  • Out-of-band: 透過 SCCM, BigFix, PDQDeploy 等工具
    • 下載相關 Sensor Profile
    • 執行相關指令