『那如果,有用sysmon呢? 我們再來看一下,同樣的步驟,但有Sysmon之誤差異。』
『建立一個 vss之後。』
『用Windows指立,建立一個新的使用者帳號之後。』
『所以,Sysmon 可以補足Windows Event ,讓Windows Event更完整。
就像資安部門,可以讓資訊更完整...不過,科技始終來自於人性就是了......』
「Allen 如果有了這樣的記錄可以查詢,下一步呢?」
『下一步啊...就是往SIEM平台送資料啊。』
(等一下,你說送就送啊!?)
『我那敢.....不是妳們說要建置SIEM平台的嗎?』
(我的意思是...所有的Log全送嗎?)
『應該沒有吧...這我能決定嗎?』
(當然不能,怎麼可能讓你決定這種事。 但你要說,要送什麼Log吧?)
其實我是有點聽不懂,她在說什麼。
『一般基本的就是像Windows Event, Linux, Unix的 登出登入記錄檔、開關機記錄、history記錄、服務下上的記錄之類的。』
(那不就是全送?)
『沒有吧,真的要把Log 系統全開,應該不只這些吧。』
(那為什麼不全開?)
『當然可以全開,這只是設定上的閥值。』
(那為什麼要全開?)
『我沒有說要全開啊,我說的是可以全開,但要不要全開,資訊長,不是您們集團要決定的嗎?』
(為什麼我們要決定,你不是我們集團請來的顧問嗎? 你不是該提建議嗎?)
她今天沒有吃錯藥,這才是她原來的樣子。
『資訊長,日誌收容這件事,要從藝術的角度來看,收容的好,會很棒。收容的不好,則是一場災難。
凡是含有,可以危害到貴集團的Log,應該是都要收容。』
(我們這整間會議室的人,就聽你來講廢話? 你應該要告訴我,
為什麼要Full Audit 為什麼不要Full Audit,為什麼要全送? 為什麼不要全送...不是嗎?
我們集團請你來講廢話的嗎? )
天啊...不是她要一直引導我講廢話的嗎?
『SIEM 同時做兩件事,日誌收容,日誌分析。這句廢話裡,有很多重點。
日誌收容,不是問題,問題是要收到那裡? 要有多大的儲存空間?
儲存空間的準備量,決定於送Log進來的量、處理後的結果和線上查詢時間,
資訊長,如果儲存空間不是問題,那全收也可以。
如果儲存空間會是問題,剛開始的時候,也可以全收,再持續觀察,有沒有什麼是不需要收容的。』
(你們這種顧問,就是欠人罵...一開始講不就好了嗎?)
『一開始? 資訊長,妳不是這樣問的啊。』
(滾動式修正,沒聽過嗎? 你要持續修正你的想法啊...你到底懂不懂女人?)
『鍵盤之前,不分男女。系統之前,人人平等...資訊長,您現在的言論,已經是歧視男性囉! 我可以去檢舉哦。』
(你去啊...去過我們機房沒,看過機房裡那些主機系統,正常的燈號沒? 告訴你,顏色對,什麼都對,好嗎?)
『聽不太懂這句話的意思,請開釋。』
(我是資訊長,我說對,是我對。我說錯,也是我對, 叫你回答,你就是要回答,
你不用知道我真正想問的是什麼,但你要回答我真正想問的。)
現場除了天樂、Asuka沒笑,其他人都在笑我,連剛剛那位小左,都在笑我...
這會還要開多久,等下換我含淚衝出會議室了嗎?
(待)
2020/09/30 SunAllen