傳統 SIEM 的事件回應

昨天我們介紹了事件回應在框架的光譜位置，
也談到關於告警跟跟正式產生一個資安事件後，
作為事件回應會發生什麼樣一連串的調查與行動。
基本上在傳統的 SIEM 定位上都是為了日誌保存與合規，
且過去網路威脅跟攻擊手法沒有這麼推陳出新時，
以中樞大腦的指揮官角色來控管一個企業而言，
也是能夠做到整體組織的資安防護的機制。

而慢慢的，隨著網路生態成為我們更賴以為生的場域時，
更多的新型態的攻擊、詐騙、資料竊取都開始「推陳出新」，
此時端點 (Endpoint)包含我們的電腦、手機與終端裝置，
都成為進階式持續攻擊 (APT) 試煉的最好場域。

目前市場上主流的無論是國內或國外的端點偵測與回應(EDR)，
均是秉持：端點偵測、情資研究與分析，以及事件回應 (IR)，
等三大核心主軸來服務企業客戶，
讓原先傳統 SIEM 比較「鞭長莫及」的血管末稍，
加入了即時偵測與應處的監控與作動器，
讓資安防護能夠盡可能的貼近到戰場的第一線。

現代 SIEM 的事件回應

有鑑於此，開始 SIEM 本身也開始因應 DR 的趨勢浪潮，
開始在原先日誌收集與威脅偵測的基礎下，
更加強化了與外部、第三方資安解決方案的整合與連動聯防，
或是針對自身威脅偵測的能力進行強化開發，
除了原先關聯分析機制與規則之外，
也開始導入以 AI 為基底的機器學習模型，
來開始逐步實現以風險為中心的安全管控。

以下我們逐項來看一下各個現代 SIEM 在事件回應方面，
所做的優化、改善與應用：

資訊安全應用市集與生態系 (Marketplace)

比如說各主流 SIEM 平台，都會有其本身的「應用市集」，
可以讓各家資安廠商上架自身的資安解決方案擴充app，
來讓 SIEM 的管理員可以直接下載安裝後，
達到更緊密的整合，甚至事件回應能夠呼叫相關功能執行保護。
像是 SplunkBase 或是 IBM App Exchange，
都是可以找到在其 SIEM 解決方案 周邊生態系的資安解決方案擴充套件。
除了極少數可能需要額外付費之外，絕大多數都是屬於免費使用的。
可以想像一台航空母艦，身上可以逐步搭載更多的戰鬥機的感覺，
讓 SIEM 可以變得更加 Powerful 可以支援與整合更多的資安解決方案。

用戶行為分析 (User behavior Analytics, UBA)

前面在 關聯分析的進階篇 有談到，
關聯分析與動態風險(Dynamic Risk)的部分內容，
而在事件回應的角度，
當我們有了用戶行為的風險基準與高低峰表現時，
我們就能夠針對觸發的告警與資安事件，開始針對特定用戶，
開始加強蒐集該用戶所有相關的端點、閘道端與應用程式的完整紀錄。
而要達成這樣的深入剖析各別用戶行為的前提，
就是 SIEM 要能滿足與達到上面提的生態系整合，
當它需要調動相關資源進行深入勘查時，
它要有能夠可以接取或介接各式應用方案，
也才能發揮屬於「動態」的用戶行為分析模組。

關於「用戶行為分析」的細節，我們後面幾天會來細細介紹。

整合 MITRE ATT&CK 攻擊矩陣

越來越多的事件回應的程序一環，
會將調查過程當中找到的疑似可疑物件 (Artifacts)，
拿去 VirusTotal 等外部情資網站搜尋與比對，
除了想知道它是不是既定通報的 CVE 或是 MD5 之外，
其實現在越來越多 SOC 資安監控中心，
或是端點的 EDR 解決方案，會開始結合攻擊矩陣的資訊，
來在第一時間告警時，知道該攻擊事件關聯的技法、程序或組織，

這可以在我們事件回應當中的「回覆 (Recovery)」階段，
有效檢視目前威脅偵測機制與策略，
是否有哪邊需要強化與補足的地方，
讓整體資安防禦策略能夠在事件回應的最後，
將寶貴的資安事件經驗回饋至既有的 SIEM 進行強化。

現代 SIEM 事件回應小結

在目前主流的 SIEM 市場發展與解決方案精進中，
目前的方向與特點都是為了解決一些現況的挑戰，例如，

資安分析師人力不足、被過多資安告警淹沒
過往單獨存在的資安功能開始與 SIEM 合併
上雲趨勢以及在雲環境的合規與偵測需求
內部用戶活動威脅偵測的需求

故在現代化的事件回應程序中，
已經不單單只是看 SIEM 本身的關聯規則與告警機制，
而是更多地在廣度面會整合不同解決方案，
在深度面，可以更自動化聯動聯防去應對一起資安威脅事件。

未來的 SIEM 的事件回應

現在市場上開始興起「XDR」的潮流與趨勢，
無論是趨勢科技從端點角度出發的 XDR；
或是 PaloAlto 從閘道端角度出發的 XDR，
或是 IBM 自己從 SIEM 角度出發的 XDR，
無論各家論述的 XDR 策略、平台或機制為何，
都有一個共通性的目的都是為了結合：端點到中央管控機制的整合與可視化

從端點、閘道、應用程式之間，
佈滿著設備、閘道、應用程式與雲端服務等，
在這過程除了原先的系統日誌蒐集與監測之外，
其實還有更多像是 OT 或是 5G 應用下的資安防護需求，
這過程都會有原始網路流量的監控、異常偵測與回應等關鍵需求，
故跨不同設備、應用與場域的 「XDR」，
已是目前資安市場開始興起風潮的一股趨勢在這。

明日預告

今天我們從過去、現在與未來的 SIEM 的角度，
來看看在不同時期的事件回應的做法與機制。
可以看到 SIEM 慢慢趕上與彌補，
在過去事件回應速度與時間不足的缺點。

明天我們會就 SIEM 在做事件回應時，
如何使用有效率的回應工具來協助我們節省維運成本，
透過自動化、協作、合規與滿足 SLA 的前提下，
來完成資訊安全事件的回應與響應。