寫在開頭

非常剛好的，在最後五天鐵人賽，
剛好配到週一至週五的時間，
心裡覺得非常開心，覺得是很好的安排，
讓我可以每天一篇精華篇，回顧我過去 20 幾天的筆記，
看看哪些大家看得多、看得少的；
哪些我還可以再增增減減的讓它們可以更完整。

今天是「寫在結束」的第一篇，
我們分別在頭幾天的時間裡：
在 Day 1：瞭解為什麼這次鐵人賽的主題原因
在 Day 2：瞭解 SIEM 前世今生誕生的過程
在 Day 3：瞭解 SIEM 核心特色在企業內應用
在 Day 4：瞭解在方法架構層面 SIEM 如何與之呼應

在「寫在之前」的系列，
主要是替閱讀者可以先建立一個 SIEM 的概念，
包含它是什麼、從哪來、在做什麼，
以及這套工具是座落在資安領域的哪個光譜。

今天我們透過精華篇來回顧一下各篇的重點：

SIEM 前世今生

SIEM ，資訊安全資訊與事件管理解決方案，
主要用途與關鍵核心功能，
係作為：日誌收容、關聯分析跟事件回應等應用。

SIEM 處於資安的成熟市場，
但其本身仍持續在不斷演進與強化
最早它的出現距此約莫 20 年上下，
而在此之前 SIEM 是由 SIM (安全信息管理) 與 SEM (安全事件管理）組合提供的，
SIM 負責處理「日誌的蒐集與保存」而 SEM 負責「事件關聯分析與告警」。

SIEM 核心特色

從「威脅管理 Threat Management」 概念出發，
到「威脅偵測 Detection」與「威脅回應 Response」響應階段，
最後「日誌管理」、「關聯分析」、「威脅調查與回應」與之因應。
一言以蔽之，很快的濃縮與梳理 SIEM 的核心邏輯。

• 日誌蒐集與保存
  持續蒐集、正規化來自企業內、外部的資訊系統日誌，
  甚至包括雲端環境的應用程式或雲端服務的日誌。

• 威脅偵測與調查
  實現即時或歷史的關聯分析 (Correlation) 機制，
  來偵測 (Detect)日誌中潛藏的威脅事件或符合預定義的事件告警；
  而在偵測到告警 (Alert)之後，針對疑似資安事件進行釐清、調查與確認。

• 事件回應與緩解
  將觸發的告警事件 (Incident) 進入事件調查或回應 (Response) 程序，
  釐清與確認該事件對組織的影響程度以及後續緩解措施 (Mitigation) 的實施。

透過 SIEM 安全分析平台，
我們可以對異常事件進時偵測與告警，
以及調查與回應資安事件，
對上百種各種不同類型的數據源進行威脅追蹤，
例如網路、身份、端點、應用程式和其他安全相關來源的日誌，
一方面合規稽核保存，另方面亦可在即時或歷史查找相關紀錄。

SIEM 與 威脅管理

威脅管理，本質是一個方法框架，
用以整個企業資安威脅的生命週期管理，
以期能有秩序、結構與循環式的因應相關資安威脅，
同時結合組織的人員、流程與與工具 (技術)，
來讓組織持續保持良好的威脅偵測與回應的機制。

參照 NIST CSF 網路安全框架，援引 IBM X-Force 框架分享：

• 洞察(Insight)：通過 7x24 內、外威脅監測，提供獨特適用自身企業的監控服務。
• 可見性(Visibility)：提供組織威脅環境可視性，從內到外整合資訊與資安各式日誌紀錄。
• 偵測(Detect)：通過進階偵測功能或威脅情報偵測組織的各種資安威脅。
• 調查(Investigate)：針對事件狀況與根因進行調查與進階威脅成因分析。
• 回應(Response)：包含橫跨人員、流程和技術的協調與整合以妥適回應資安事件。

SIEM 是屬於除了閘道端、端點保護以外的第三塊核心領域分類，
同時也是座落在最豐富與多樣的「威脅管理」(Threat Management) 範疇，
透過 SIEM 在資安戰情中心的位置，
能有效「承上啟下」的實踐框架方法與實際執行作業。

SIEM -> XDR

而現今市面最為流行的「XDR」，
便是基於想要改善傳統 SIEM 的偵測與回應的效果，
而應用而生的基於「端點」的偵測保護的威脅防護策略。

包含趨勢、微軟、PaloAlto、CrowdStrike，
或是 IBM Security QRadar XDR，
均是 XDR 市場的主要玩家，
XDR 策略與平台解決方案，
係基於提供地端、雲端、網路、端點與身份的綜合性監控，
輔以事件回應 (IR) 或自動化編排 (SOAR) 整合工具，
提供給企業組織一套完善、涵蓋端到端的威脅防護解決方案。

明日預告

今日針對 SIEM 基本介紹系列進行精華回顧，
讓各位邦友在看了前面比較細目的文章內容後，
可以透過這篇精華篇、比較提綱挈領式摘要重點出來，
強化與加深對 SIEM 得角色、作用與層級關係。

明天繼續我們的 SIEM 核心功能精華回顧篇，
期待明天與你/妳繼續空中相見。