iT邦幫忙

2022 iThome 鐵人賽

DAY 22
0
Security

【 30 天成為 SIEM 達人】系列 第 22

Day 22: 寫在返航 - SIEM 核心特色梳理

  • 分享至 

  • xImage
  •  

寫在開頭

最後八天的鐵人賽,
終於我們從「之前」、「啟程」與「當下」,
準備要進入到我們的「返航」與「結束」的篇章。

在「返航」章節的四天裡我們預計會談到:

  • SIEM 工具功能與特色
  • SIEM 與市調機構評估
  • SIEM 未來發展與趨勢
  • SIEM 商售與開源方案

在今天的鐵人文章裡,
我們把過去 20 天介紹的 SIEM 工具盤點整理,
讓接下幾天的市調、選購與實際商售或開源產品時,
能有基本原則能夠遵循或參照。

SIEM 核心定位

從鐵人賽一開賽甫始,
我們從 SIEM 的核心領域開始展開:
「威脅管理 Threat Management」 出發,
從此領域開始區分出偵測與回應的:
「威脅偵測 Detection」「威脅回應 Response」
而為了滿足偵測與回應的需求,
我們接著又往下分解出三個核心功能領域:
「日誌管理」「關聯分析」「威脅調查與回應」
很好記憶的口訣就是:「一生二、二生三、三生萬物」。

當我們內心建立這樣的「視角」時,
再來看坊間各個 SIEM 解決方案的功能圖時,
就不會被不同名詞、眼花撩亂的搞糊塗,
就像心中有拿到藍圖般,
會知道各模組對應到「領域」「階段」或「核心功能」的位置。

SIEM 工具特色

SIEM 的三個核心功能領域:
「日誌管理」「關聯分析」「威脅調查與回應」
我們來簡單總結各個核心的特色。

日誌蒐集與管理

在日誌管理的範疇的幾個關鍵功能,
重要的會有:日誌蒐集、識別與管理等核心功能,
包含支援各式日誌來源的蒐集、識別與正規化,
類型包括 Logs/Events/Metrics/Flow 等等。

而在日誌管理部分,
像是日誌儲存量、檢索設定 (Index)、儲存位置、
線上 / 離線搜尋、壓縮儲存、長期保存與稽核需求等。

最後是提供友善的管理介面與儀表板監測,
包含視覺化顯示日誌蒐集情形、
授權使用情況、日誌搜尋語法與規則等等。

關聯分析

在關聯分析的領域裡,
重要的核心功能是各家工具如何實現關聯分析引擎,
包含規則 (Rule) 的撰寫、維護、偵測與效能,
都會因設計與工具核心引擎而有所差異。

通常工具都會有開箱即用的規則集可以運用,
但每個客戶環境均不相同,故都需要精細調整的階段,
以及逐漸新增、微調規則來適應客戶進一步的要求。
少則數十條、多則數百條的關聯規則,
來提供威脅偵測的核心需求。

威脅調查與回應

當長期蒐集組織日誌,
透過完整關聯規則進行威脅比對時,
一旦符合相關告警即進入到威脅調查與回應階段。

因此核心的功能模組即有,
告警 (Alarm) 與報表 (Report) 兩大核心功能,
以及提供威脅調查或進階威脅獵捕的工具與機制,
還有整合外部威脅情資、C2 或是 Malware 資訊,
或是 MITRE ATT&CK® 的攻擊矩陣相關整合。

SIEM 整合應用

作為企業日誌集中化的威脅管理平台,
除了日誌管理、關聯分析與威脅調查與回應之外,
還有與其相關聯的地端、雲端部署的環境考量,
或是集中式與分散式的可擴充性的架構面設計
也都是相對要考量的部署面向。

日誌蒐集議題

例如日誌長期的存管與保存,
在地端會與 IT 基礎設施產生關聯,
而在雲端則是相關的儲存體資源會有關聯;
而在日誌收集途徑,
除了透過既有通訊協定將系統日誌導向 SIEM 之外,
日誌蒐集機制的確保、Agent 的可用性監控,
以及有無相關日誌流量的瓶頸或限制,
也都是在日誌蒐集層面會面臨的議題。

日誌授權議題

日誌收集的過程需不需要授權,也會影響整體規劃,
尤其對對高監管單位需蒐集全部日誌的法規要求,
亦是影響工具採購與長期授權維護的一個考量點。

當然也會有免費、開源的 ELK 機制來因應,
但同時團隊就需處理相關日誌識別、處理與維護,
對人力有限的資安團隊而言,
就需評估有效人力的分配與使用。

關聯分析機制維護

除了靜態規則 (Rule-Based) 撰寫之外,
在動態威脅的偵測或風險管控方面,
也會有如機器學習的 ML 機制,
或是用戶行為分析 (UBA),
來協助內部威脅來做身份風險管控。

而在關聯機制的有效性來看,
也可以透過配合 MITRE ATT&CK® 攻擊矩陣的參照,
來檢視目前在偵測特定類型的病毒/勒索攻擊時,
涵蓋的範圍是用比較高效或低效的方式在偵測,
藉此來持續優化與精進關聯分析涵蓋率與關聯分析效能。

SIEM 生態系整合

在功能與整合應用層面之外,
鑑於 SIEM 方方面面需要適配不同解決方案,
故能否廣泛獲得各家資安原廠的支持與主動整合的生態系資源,
也是一個 SIEM 能否有良好的發展、精進的推動力量,
在資安威脅日新月異的威脅趨勢發展,
SIEM 本身功能亦在推陳出新,
能否深度與周邊例如閘道、網路、端點、身份與資料的整合,
是讓 SIEM 在企業組織內運行時,
能否更好的節省、高效運行的關鍵。

明日預告

今天我們把 SIEM 的核心與功能特色做了梳理,
幫助各位邦友回憶與快速的綜覽全貌,
明天我們會就主要的市調機構,
如 Gartner 或 Forrester,
來看看專業分析公司如何評比目前主流的 SIEM 解決方案。

期待明天繼續與各位空中相見。
同時 CYBERSEC 2022 期間,
我也在 B57 與邦友實體與空中相會。


上一篇
Day 21: 寫在當下 - SIEM 與零信任 (資料端)
下一篇
Day 23: 寫在返航 - SIEM 與市調機構 (Gartner)
系列文
【 30 天成為 SIEM 達人】30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言