前情提要

在上一篇「Day 2: 寫在之前 - SIEM 的起源」裡，
我們提到「可視化」是無論對資訊維運或資安監控都是首要之務。

在今天的鐵人賽文章裡，我們就要開始 Zoom-in 到更專注在資安領域的 SIEM 的角色與功用，
很快地知道它是如何幫助我們在企業組織裡偵測威脅、響應資安事件，
以及它是如何作為 SOC 裡最重要的那顆大腦角色。

SIEM 的核心任務

在我們做完「可視化」的首要工作之後，
接下來就是 SIEM 如何利用已經集中收容的日誌平台來進行相關的資安維運工作，
因此概略來說，SIEM 主要會有三大核心任務需要滿足跟實現：

1. Logger：持續蒐集、正規化來自企業內、外部的資訊系統日誌，甚至包括雲端環境的應用程式或雲端服務的日誌。
2. Detect&Investigation：實現即時或歷史的關聯分析 (Correlation) 機制，來偵測 (Detect)日誌中潛藏的威脅事件或符合預定義的事件告警；而在偵測到告警 (Alert)之後，針對疑似資安事件進行釐清、調查與確認。
3. Response：將觸發的告警事件 (Incident) 開始進入所謂的事件調查或事件回應 (Response)程序，來釐清與確認該事件對組織的影響程度，以及後續緩解措施 (Mitigation) 的實施。

簡而言之，作為一個擁有組織內、外部全部日誌的平台，它肩負的任務與目標就是：在基於日誌可視化的前提下，運用各式關聯分析機制、規則或方法，來偵測任何已知、潛藏或甚至預測可能發生的網路資安風險

接下來的內容，我們開始來針對各個關鍵的部分，來進行細節的說明與分享。

SIEM 日誌可視化 (Visibility)

典型的 SIEM 工具可以支援上百、上千種日誌來源的識別、剖析與正規化，
從端點、網路設備、伺服器、作業系統或防火牆等等，
或上雲趨勢下的各公有雲環境的 IaaS、PaaS 跟 SaaS機 制的日誌收容，
也開始是最新的 SIEM 解決方案會著墨的地方。

因為在一個正常的企業環境組織內，
絕對或多或少會部署好幾個或數十個資訊解決方案，
透過內建、原生支援 (Out-of-box) 的 SIEM 原生整合與支援，
可以讓資安人員省下很多正規化的工夫，
包含欄位解析、事件記錄的調整等，讓不管擁有多少複雜、多樣資安工具的企業，
可以透過 SIEM 來集中收容全部的日誌後，提供在單一平台進一步的操作分析。

SIEM 偵測機制 (Detection)

SIEM 的核心引擎，
也就是我們專業上會稱呼的「關聯分析」(Correlation) 機制，
它扮演的角色舉足輕重，它會決定一個資安維運單位是否能夠有效發揮資安維運作業的效率，
以及是否能享受好的 SIEM 工具帶來的效益，
因此，可以說關聯分析機制，就是整套 SIEM 解決方案的靈魂所在。

而在所謂的偵測機制 (Detection)，
基本面就是利用靜態規則 (Stastic Rule) 或是關聯政策 (Policy)，
在「看到」什麼樣的日誌，以及相對應之間關係條件 (if..then...)時，
決定是否告警；而威脅情資 (IoC) 的外部餵入，
也是在提供有問題的 IP/URL/HASH/MD5等等的威脅指標，
也讓 SIEM 去查找內部是否有相同的指標出現在企業內部，藉此檢查是否有相應的資安事件。

而進階點的關聯機制，
便是利用 AI 裡面的機器學習機制，進行基準模型 (baseline) 建模、建立常規模型，
藉此來預測相關事件是否在趨勢上跟過去一週、一個月的平均有所差異，
藉此來幫助資安單位預測以及區隔出高、中、低風險的連線行為。

SIEM 調查機制 (Investigation)

當我們的 SIEM 工具透過我們定義的規則或進階機制告警後，
接下來就是進行該告警的 (Alert) 的細部調查，
通常首要之務都是需要先蒐集相關資訊或證據，
來決定這起告警是否真的是一起確定的「資安事件」(Incident)。

舉例來說，如果今天收到一封釣魚郵件、夾帶著可疑的網路連結，
此時用戶點擊、觸發了 SIEM 相關可疑網站的監控機制，
此時我們的第一線資安作業人員，便需要先就該告警先檢視：人、事、時、地、物

釐清誰點了郵件？
發生什麼事？
什麼時候發生的？
哪些端點設備觸發的？
遺失或被竊取了什麼資訊？

再來就是透過 SIEM 整合的第三方資安解決方案，
例如防火牆、端點監控機制等，去蒐集相關連線紀錄，
當判斷有具體危害時，就會正式進入到資安事件回應 (Incident Response) 的處理階段。

SIEM 回應機制 (Repsonse)

當進到此階段時通常確定已經是資安事件，
也表示該事件已經或多或少也造成了組織一定的危害，
因此便要開始一連串的回應機制，包含：

當下的處置、隔離、移除等立即性措施，
因此相關設備日誌的證據蒐集、
該事件影響的 IT 範圍有多廣？
用戶受影響層級有多高？
資安事件的三級通報
相關法務、會計、法務等有關單位的通知等等，

這些都會在一個正式事件回應程序裡明確規範。

通常目前事件回應的機制多是透過人工來滿足達成，
但現在也越來越多考量採用資安協調、自動化與回應（Security Orchestration, Automation and Response，SOAR）解決方案來協助企業，減輕事件回應繁雜的程序、急迫的時效與多面向的協調，
這部分我們會在後面的「整合應用」章節時，會談更多的細節分享。

明日預告

今天我們談了「SIEM 的核心角色」，
從可視化、威脅偵測、調查與回應做了概略的說明與介紹。

明天，我們會就 SIEM 解決方案位在市場哪個光譜位置，以及它的解決方案的好處與壞處來分享。
在這之後，我們就會結束「寫在之前」的科普系列，
開始針對「寫在啟程」的篇章、就 SIEM 解決方案本身來進行詳細的介紹與說明。

謝謝各位捧友支持，希望看到這邊，目前你／妳都還喜歡這個系列分享，感恩。