在上一篇「Day 2: 寫在之前 - SIEM 的起源」裡,
我們提到「可視化」是無論對資訊維運或資安監控都是首要之務。
在今天的鐵人賽文章裡,我們就要開始 Zoom-in 到更專注在資安領域的 SIEM 的角色與功用,
很快地知道它是如何幫助我們在企業組織裡偵測威脅、響應資安事件,
以及它是如何作為 SOC 裡最重要的那顆大腦角色。
在我們做完「可視化」的首要工作之後,
接下來就是 SIEM 如何利用已經集中收容的日誌平台來進行相關的資安維運工作,
因此概略來說,SIEM 主要會有三大核心任務需要滿足跟實現:
簡而言之,作為一個擁有組織內、外部全部日誌的平台,它肩負的任務與目標就是:在基於日誌可視化的前提下,運用各式關聯分析機制、規則或方法,來偵測任何已知、潛藏或甚至預測可能發生的網路資安風險
接下來的內容,我們開始來針對各個關鍵的部分,來進行細節的說明與分享。
典型的 SIEM 工具可以支援上百、上千種日誌來源的識別、剖析與正規化,
從端點、網路設備、伺服器、作業系統或防火牆等等,
或上雲趨勢下的各公有雲環境的 IaaS、PaaS 跟 SaaS機 制的日誌收容,
也開始是最新的 SIEM 解決方案會著墨的地方。
因為在一個正常的企業環境組織內,
絕對或多或少會部署好幾個或數十個資訊解決方案,
透過內建、原生支援 (Out-of-box) 的 SIEM 原生整合與支援,
可以讓資安人員省下很多正規化的工夫,
包含欄位解析、事件記錄的調整等,讓不管擁有多少複雜、多樣資安工具的企業,
可以透過 SIEM 來集中收容全部的日誌後,提供在單一平台進一步的操作分析。
SIEM 的核心引擎,
也就是我們專業上會稱呼的「關聯分析」(Correlation) 機制,
它扮演的角色舉足輕重,它會決定一個資安維運單位是否能夠有效發揮資安維運作業的效率,
以及是否能享受好的 SIEM 工具帶來的效益,
因此,可以說關聯分析機制,就是整套 SIEM 解決方案的靈魂所在。
而在所謂的偵測機制 (Detection),
基本面就是利用靜態規則 (Stastic Rule) 或是關聯政策 (Policy),
在「看到」什麼樣的日誌,以及相對應之間關係條件 (if..then...)時,
決定是否告警;而威脅情資 (IoC) 的外部餵入,
也是在提供有問題的 IP/URL/HASH/MD5等等的威脅指標,
也讓 SIEM 去查找內部是否有相同的指標出現在企業內部,藉此檢查是否有相應的資安事件。
而進階點的關聯機制,
便是利用 AI 裡面的機器學習機制,進行基準模型 (baseline) 建模、建立常規模型,
藉此來預測相關事件是否在趨勢上跟過去一週、一個月的平均有所差異,
藉此來幫助資安單位預測以及區隔出高、中、低風險的連線行為。
當我們的 SIEM 工具透過我們定義的規則或進階機制告警後,
接下來就是進行該告警的 (Alert) 的細部調查,
通常首要之務都是需要先蒐集相關資訊或證據,
來決定這起告警是否真的是一起確定的「資安事件」(Incident)。
舉例來說,如果今天收到一封釣魚郵件、夾帶著可疑的網路連結,
此時用戶點擊、觸發了 SIEM 相關可疑網站的監控機制,
此時我們的第一線資安作業人員,便需要先就該告警先檢視:人、事、時、地、物
釐清誰點了郵件?
發生什麼事?
什麼時候發生的?
哪些端點設備觸發的?
遺失或被竊取了什麼資訊?
再來就是透過 SIEM 整合的第三方資安解決方案,
例如防火牆、端點監控機制等,去蒐集相關連線紀錄,
當判斷有具體危害時,就會正式進入到資安事件回應 (Incident Response) 的處理階段。
當進到此階段時通常確定已經是資安事件,
也表示該事件已經或多或少也造成了組織一定的危害,
因此便要開始一連串的回應機制,包含:
當下的處置、隔離、移除等立即性措施,
因此相關設備日誌的證據蒐集、
該事件影響的 IT 範圍有多廣?
用戶受影響層級有多高?
資安事件的三級通報
相關法務、會計、法務等有關單位的通知等等,
這些都會在一個正式事件回應程序裡明確規範。
通常目前事件回應的機制多是透過人工來滿足達成,
但現在也越來越多考量採用資安協調、自動化與回應(Security Orchestration, Automation and Response,SOAR)解決方案來協助企業,減輕事件回應繁雜的程序、急迫的時效與多面向的協調,
這部分我們會在後面的「整合應用」章節時,會談更多的細節分享。
今天我們談了「SIEM 的核心角色」,
從可視化、威脅偵測、調查與回應做了概略的說明與介紹。
明天,我們會就 SIEM 解決方案位在市場哪個光譜位置,以及它的解決方案的好處與壞處來分享。
在這之後,我們就會結束「寫在之前」的科普系列,
開始針對「寫在啟程」的篇章、就 SIEM 解決方案本身來進行詳細的介紹與說明。
謝謝各位捧友支持,希望看到這邊,目前你/妳都還喜歡這個系列分享,感恩。