今天的鐵人文章來到了全新的章節,
我們開始要來談 SIEM 的規劃、部署與實施,
談到 SIEM 在整體的資安解決方案的複雜度而言,
可以說它是最複雜的部署實施也不為過,
因為幾乎全部組織的資訊系統都可以跟它發生關聯,
也因此在部署建置時客戶都會能透由 SIEM 角色統合全局。
因此其實 SIEM 的角色其實真的是在資安領域重中之重的角色定位。
在部署實施後,
SIEM 的角色通常是擔任 SOC 大腦核心的角色,
相關各式各樣事件在其中錯綜交連,
當需要做事件回應時,幾乎都是得從 SIEM 出發,
蒐集各種事件、細節、證據、可疑物件後,
才能夠提供企業關於資安事件威脅的全貌,
也因此在它的規劃、部署與實施,都會有非常多方方面面需要考量的地方。
基本上 SIEM 的系統部件 (Components)
會基本區分日誌蒐集、聚合、關聯分析、視覺化、告警、資料保存等部分,
可能每個廠家作法跟用例不同,但基本元素大致會有這些,
這邊分享 exabeam SIEM 的領導品牌官網架構圖,
可以很清楚地看到一個自建的 SIEM 系統會有哪些組成:
Reference: https://www.exabeam.com/explainers/siem/siem-architecture/
部署之前,最重要的就是客戶環境的現況掌握,
如果能透過 POC 或基本訪談瞭解客戶現況的話,
對整體架構、授權、資源、用量等等的規劃,
都會比較容易評估整體部署的時程與技術成本。
常見在部署 SIEM 前會遇到的問題大概會是:
客戶端有多少資訊系統需要納入監控?
有無既有的 SIEM 環境需要轉移?
本次購置的硬體計算與儲存資源夠不夠?
本次購買的授權夠不夠這次專案範圍使用?
SIEM 的哪些核心功能是必要的?
SIEM 部署過程要監控的範疇有多大?
SIEM 架構是一體式還是分散式架構?
SIEM 架構有無 HA/DR 或資料保存條件?
當然還有往往在部署前會比較忽略的:就是人員與程序的整備。
因為 SIEM 跟端點解決方案,或是閘道端解決方案不同,
它不是買完、部署完,就能像 FW/EDR 這樣不需太多更動的維護,
相反的,它需要很大量的關注、時時確認與調整相關機制,
也因此它需要專責的人力來持續的操作、營運它,
也需要因應每次事件回應經驗微調相關偵測機制。
可以說是必須得從資安單位出發,向上、向下、向旁邊部門單位整合,
而這一塊組織面的考量通常都是採購工具前,比較難或少著墨的地方,
而這常也是 SIEM 工具最後「年久失修」的緣故。
故人員與流程面的規劃,如果行有餘力,
應該也要納入一起協助客戶思考相關的資源配置與規劃為宜。
事前專案規劃完善之後,
基本上就是按照專案項目與時程規劃進行,
開始安裝 SIEM 軟體與相應的系統架構,
包含軟體程式、延伸模組、啟用授權、HA機制等等,
這段屬於比較細節的工作層面,
就會按照整體專案規劃來實施部署。
比較常會在部署階段遇到的專案風險或問題,
通常會是規劃面沒有考慮到的系統臨時說要加入,
這通常會直接導致授權不夠、效能不如預期等意外影響,
這一段是幾乎所有 SIEM 導入時普遍都會遇到的專案風險。
通常 SIEM 部署的專案都是按階段進行,
第一階段做到哪個範疇、第二階段做到哪個範疇...等等
系統運作效能就是因為部署初期,資料量還未收集完全,
相關日誌蒐集機制的效能、峰值還沒達到最高峰,
因此軟、硬體表現還需要日誌慢慢完整收集、
以及愈趨完整的關聯分析規則運作後才能夠比較明朗,
除了日誌收集與各式關聯功能,
包含特別延伸應用的擴充模組、用戶行為分析,
或是情資接收等等的機制是否如預期正常運作?
這些都需要搭配相關機制進行驗證確認。
這段在實務專案經驗經常會遇到的是,
該收的日誌來源的正規化出現問題,
有預期外或非預期的事件欄位出現、未正確處理,
或是日誌來源的對應上出現差異,A日誌認成B日誌等等。
或是關聯分析規則運作不如預期,
該有的告警未告警,或是誤告警頻發生等等,
也可能則過於寬鬆,可能案例庫 Use Cases 未定義清楚。
導致關聯分析機制不如預期,
這一段也是除了調整日誌之外,最耗費時間與功夫的地方。
部署完 SIEM 也驗證相關功能後,
基本上就是除了在執行既有維運之外,
持續就 SIEM 系統本身的軟體版本更新與不定期的漏洞修補。
當然隨著新的資訊系統不斷上線、日誌數量不斷更新,
相關的日誌源管理、關聯規則維護、事件回應與告警機制的確保,
都會納入在部署與實施 SIEM 之後需要多著墨的地方。
再者就是專案執行過程中遇到的預期外需求,
都可以在部署階段結束後,納入後續的精進階段持續規劃執行。
今天我們就 SIEM 的部署實施分享一些實務經驗,
希望能讓邦友們可以一窺在部署階段會發生的人事物,
明天我們會再開啟就這個主題再談一篇部署實施,
包含公有雲的資源使用、分散式架構與 HA/DR 機制等概念介紹。
期待明日與您再相見,謝謝!