寫在開頭

在今天鐵人文章，我們要來回顧幾個在整合應用階段，
幾個我們談到關於部署 SIEM 之後的與之關聯的應用。

我們先談了各自在地端、雲端的部署上，
應當考慮什麼樣的問題與專案規劃？
再來看到 SIEM 作為 SOC 的核心大腦，
包含從人員、流程與工具的面向梳理介紹。

然後針對 MSS/MDR 的資安代管服務，
也看到 SIEM 如何用以當作服務核心，
來對資安服務委託外部專業團隊實現時的應用。
以及 SIEM / EDR 之間的相輔相成之處。

在應用篇部分，我們最後以零信任的三部曲，
從網路、身份到資料，顆粒度逐級縮小，
除了談其本身應當注意的面向之外，
以都各別談到與 SIEM 的整體整合與應用。

今天的精華篇我就快速帶各位邦友回顧相關的重點。

SIEM 規劃部署與實施

SIEM 作為組織集大成的資安工具，
可以說是整合了企業最多面向的平台，
換句換說也就得從資安單位出發，
向上、向下與橫向的相關部門整合，
而這一塊組織面的考量通常都是採購工具前，
在流程與人員協調整合比較難或比較少著墨的地方。

專案部署考量

整理幾個常見在部署實施階段會遇到的問題：

有多少資訊系統需要納入監控？
有無既有的日誌保存環境需要轉移？
本次購置硬體的計算與儲存資源夠不夠？
本次購買的授權是否足夠這次專案範圍使用？
SIEM 的哪些核心功能是必要的？
SIEM 部署過程要監控的範疇有多大？
SIEM 架構是一體式還是分散式架構？
SIEM 架構有無 HA/DR 或資料保存條件？

而在部署實施後的長期營運該考量的地方，

• 包含相關日誌收集是否如預期運作？
• 關聯規則機制是否盡可能涵蓋組織威脅面向？
• 相關告警機制有無正常運作？
• 整體運營的效能表現與系統狀態？
• 有無遺漏或專案範疇外尚待精進的項目？

地端或雲端考量

而除了專案本身規劃部署與實施，
考慮部署在地端、雲端環境也會有相關延伸性的議題，
上雲的優勢在於 SIEM 彈性資源的擴充，
以及雲資源使用的計價模型：資本支出 vs 用量支出，
都會在跟地端部署而言，比較不同。
最後就是日誌的傳輸是出雲或入雲的差異，
也會在長期的雲資源使用計價會有不同。

延伸閱讀：

1. Day 14: 寫在當下 - SIEM 規劃部署與實施(地端篇)
2. Day 15: 寫在當下 - SIEM 規劃部署與實施(雲端篇)

SIEM 在 SOC 的角色

SOC (Security Operation Center)
資訊安全作業維運中心，或是稱呼為「資安中心」，
係專門作為一個企業、組織資安集中化控管實施的場所，
就像是資安戰情中心角色監控企業所有資訊系統的運作有無異常，
同時集結「威脅偵測」與「威脅回應」發生的所在地。

在一個典型的 SOC 會提供以下的功能：

• IT 系統的資產管理：能保護什麼？又該如何保護？
• 威脅研究與預防措施：最新的攻擊手法？偵測機制調整？
• 持續主動性的監控：透過 SIEM/SOAR/XDR/EDR 監控
• 威脅回應：隔離端點、關閉程序、刪除有害檔案
• 恢復與補救：資安事件後的系統回復與修補
• 日誌管理：長期的日誌蒐集與保存
• 事件根因調查：準確瞭解事件發生根因，改善偵測策略
• 資安成熟評估與演練：成熟度評估、紅藍隊演練
• 法規與合規性管理：遵守內、外稽核與領域法規要求

而 SIEM 工具即是扮演 SOC 的核心平台與指揮官的角色，
來協助提供各種各式樣的業務需求與相關功能。

延伸閱讀：
Day 16: 寫在當下 - SIEM 與 SOC 的關聯

SIEM 與 MSS/MDR

SIEM 作為資訊安全監控的核心，
基本上各家提供 MSS 的業者都有自己擅長與慣用的 SIEM 工具，
以此來打造各具獨色的資訊安全服務生態系，
來讓有 MSS 需求的企業客戶按需選擇。

而在 MDR 這塊則是採用擅長的 EDR 工具，
輔以人員鑑識調查、威脅獵捕、威脅情資等輔助機制，
來為企業客戶的端點設備來提供資安代管，
至於非端點類的資安設備，例如伺服器、閘道端設備，
可能就會以 EDR + SIEM 提供完整的資安監控服務。

在 SIEM 與 EDR 市場裡，
趨勢發展下彼此的分野會逐漸消融，
也都開始有資安廠家願意在各自核心領域開始整合，
逐漸實現 D.R 的威脅防護戰略：
一方面提升 SIEM 在端點的可視性，
一方面補足 EDR 在非端點設備的監控能力。

延伸閱讀：
Day 17: 寫在當下 - SIEM 與 MSS/MDR 的關聯

SIEM 與 Zero-Trust 網路端

SIEM 作為企業資安監控的中央與核心，
故各閘道端威脅偵測的日誌，
以及透過與防火牆整合的 ZTNA，
相關端點產生的活動與存取日誌，
都可以透過防火牆或端點平台集中收容後，
送到 SIEM 平台關聯分析來偵測相關潛藏風險。

延伸閱讀：
Day 19: 寫在當下 - SIEM 與零信任 (閘道端)

SIEM 與 Zero-Trust 身份端

在 身份認證與存取管控 IAM 各個應用實例裡，
無論是職責分離、最小權限、時效存取與 API 保護，
都需要 IAM 相關工具進行規劃、部署於實施。

在實施後也都需要藉由追蹤各項的存取紀錄，
來即時監控整體組織的身份帳號存取情形，
並且適時結合企業閘道、端點等其他日誌來源，
進行一體式的整體威脅關聯與分析。

如此才能達到身份級別的威脅可視化顆粒度，
也才能將企業最容易遭到利用的身份憑證一環，
納入整體的威脅管理的範疇與監測中。

延伸閱讀：
Day 20: 寫在當下 - SIEM 與零信任 (身份端)

SIEM 與 Zero-Trust 資料端

零信任所提倡的新型網路安全威脅防護概念，
基本上，無論是網路、身份或資料層級，
著重的都是在資料與服務的保護，
同時也擴展到所有企業資產與主體，
資產可能包括裝置、基礎架構元件、應用程式以及虛擬與雲端元件，
而服務則是包括來自使用者、應用程式或機器的資源請求。

當資源（身份）從網路層獲得准許進入後，
針對身份識別、認證與權限授權，
然後適當地存取剛剛好的資料範圍與內容，
如此環環相扣，達到最綿密的資安防護效果。

延伸閱讀：
Day 21: 寫在當下 - SIEM 與零信任 (資料端)

明日預告

今日我們將過去整合應用的相關章節，
摘錄相關的重點彙整於此，讓各位邦友可以溫故知新，
明日我們會繼續就市場購買指南進行精華篇梳理，
我們明日繼續空中相會。