iT邦幫忙

2022 iThome 鐵人賽

DAY 28
0
Security

【 30 天成為 SIEM 達人】系列 第 28

Day 28: 寫在結束 - SIEM 整合應用精華篇

  • 分享至 

  • xImage
  •  

寫在開頭

在今天鐵人文章,我們要來回顧幾個在整合應用階段,
幾個我們談到關於部署 SIEM 之後的與之關聯的應用。

我們先談了各自在地端、雲端的部署上,
應當考慮什麼樣的問題與專案規劃?
再來看到 SIEM 作為 SOC 的核心大腦,
包含從人員、流程與工具的面向梳理介紹。

然後針對 MSS/MDR 的資安代管服務,
也看到 SIEM 如何用以當作服務核心,
來對資安服務委託外部專業團隊實現時的應用。
以及 SIEM / EDR 之間的相輔相成之處。

在應用篇部分,我們最後以零信任的三部曲,
從網路、身份到資料,顆粒度逐級縮小,
除了談其本身應當注意的面向之外,
以都各別談到與 SIEM 的整體整合與應用。

今天的精華篇我就快速帶各位邦友回顧相關的重點。

SIEM 規劃部署與實施

SIEM 作為組織集大成的資安工具,
可以說是整合了企業最多面向的平台,
換句換說也就得從資安單位出發,
向上、向下與橫向的相關部門整合,
而這一塊組織面的考量通常都是採購工具前,
在流程與人員協調整合比較難或比較少著墨的地方。

專案部署考量

整理幾個常見在部署實施階段會遇到的問題:

有多少資訊系統需要納入監控?
有無既有的日誌保存環境需要轉移?
本次購置硬體的計算與儲存資源夠不夠?
本次購買的授權是否足夠這次專案範圍使用?
SIEM 的哪些核心功能是必要的?
SIEM 部署過程要監控的範疇有多大?
SIEM 架構是一體式還是分散式架構?
SIEM 架構有無 HA/DR 或資料保存條件?

而在部署實施後的長期營運該考量的地方,

  • 包含相關日誌收集是否如預期運作?
  • 關聯規則機制是否盡可能涵蓋組織威脅面向?
  • 相關告警機制有無正常運作?
  • 整體運營的效能表現與系統狀態?
  • 有無遺漏或專案範疇外尚待精進的項目?

地端或雲端考量

而除了專案本身規劃部署與實施,
考慮部署在地端、雲端環境也會有相關延伸性的議題,
上雲的優勢在於 SIEM 彈性資源的擴充,
以及雲資源使用的計價模型:資本支出 vs 用量支出,
都會在跟地端部署而言,比較不同。
最後就是日誌的傳輸是出雲或入雲的差異,
也會在長期的雲資源使用計價會有不同。

延伸閱讀:

  1. Day 14: 寫在當下 - SIEM 規劃部署與實施(地端篇)
  2. Day 15: 寫在當下 - SIEM 規劃部署與實施(雲端篇)

SIEM 在 SOC 的角色

SOC (Security Operation Center)
資訊安全作業維運中心,或是稱呼為「資安中心」,
係專門作為一個企業、組織資安集中化控管實施的場所,
就像是資安戰情中心角色監控企業所有資訊系統的運作有無異常,
同時集結「威脅偵測」與「威脅回應」發生的所在地。

在一個典型的 SOC 會提供以下的功能:

  • IT 系統的資產管理:能保護什麼?又該如何保護?
  • 威脅研究與預防措施:最新的攻擊手法?偵測機制調整?
  • 持續主動性的監控:透過 SIEM/SOAR/XDR/EDR 監控
  • 威脅回應:隔離端點、關閉程序、刪除有害檔案
  • 恢復與補救:資安事件後的系統回復與修補
  • 日誌管理:長期的日誌蒐集與保存
  • 事件根因調查:準確瞭解事件發生根因,改善偵測策略
  • 資安成熟評估與演練:成熟度評估、紅藍隊演練
  • 法規與合規性管理:遵守內、外稽核與領域法規要求

而 SIEM 工具即是扮演 SOC 的核心平台與指揮官的角色,
來協助提供各種各式樣的業務需求與相關功能。

延伸閱讀:
Day 16: 寫在當下 - SIEM 與 SOC 的關聯

SIEM 與 MSS/MDR

SIEM 作為資訊安全監控的核心,
基本上各家提供 MSS 的業者都有自己擅長與慣用的 SIEM 工具,
以此來打造各具獨色的資訊安全服務生態系,
來讓有 MSS 需求的企業客戶按需選擇。

而在 MDR 這塊則是採用擅長的 EDR 工具,
輔以人員鑑識調查、威脅獵捕、威脅情資等輔助機制,
來為企業客戶的端點設備來提供資安代管,
至於非端點類的資安設備,例如伺服器、閘道端設備,
可能就會以 EDR + SIEM 提供完整的資安監控服務。

在 SIEM 與 EDR 市場裡,
趨勢發展下彼此的分野會逐漸消融,
也都開始有資安廠家願意在各自核心領域開始整合,
逐漸實現 D.R 的威脅防護戰略:
一方面提升 SIEM 在端點的可視性,
一方面補足 EDR 在非端點設備的監控能力。

延伸閱讀:
Day 17: 寫在當下 - SIEM 與 MSS/MDR 的關聯

SIEM 與 Zero-Trust 網路端

SIEM 作為企業資安監控的中央與核心,
故各閘道端威脅偵測的日誌,
以及透過與防火牆整合的 ZTNA,
相關端點產生的活動與存取日誌,
都可以透過防火牆或端點平台集中收容後,
送到 SIEM 平台關聯分析來偵測相關潛藏風險。

延伸閱讀:
Day 19: 寫在當下 - SIEM 與零信任 (閘道端)

SIEM 與 Zero-Trust 身份端

在 身份認證與存取管控 IAM 各個應用實例裡,
無論是職責分離、最小權限、時效存取與 API 保護,
都需要 IAM 相關工具進行規劃、部署於實施。

在實施後也都需要藉由追蹤各項的存取紀錄,
來即時監控整體組織的身份帳號存取情形,
並且適時結合企業閘道、端點等其他日誌來源,
進行一體式的整體威脅關聯與分析。

如此才能達到身份級別的威脅可視化顆粒度,
也才能將企業最容易遭到利用的身份憑證一環,
納入整體的威脅管理的範疇與監測中。

延伸閱讀:
Day 20: 寫在當下 - SIEM 與零信任 (身份端)

SIEM 與 Zero-Trust 資料端

零信任所提倡的新型網路安全威脅防護概念,
基本上,無論是網路、身份或資料層級,
著重的都是在資料與服務的保護,
同時也擴展到所有企業資產與主體,
資產可能包括裝置、基礎架構元件、應用程式以及虛擬與雲端元件,
而服務則是包括來自使用者、應用程式或機器的資源請求。

當資源(身份)從網路層獲得准許進入後,
針對身份識別、認證與權限授權,
然後適當地存取剛剛好的資料範圍與內容,
如此環環相扣,達到最綿密的資安防護效果。

延伸閱讀:
Day 21: 寫在當下 - SIEM 與零信任 (資料端)

明日預告

今日我們將過去整合應用的相關章節,
摘錄相關的重點彙整於此,讓各位邦友可以溫故知新,
明日我們會繼續就市場購買指南進行精華篇梳理,
我們明日繼續空中相會。


上一篇
Day 27: 寫在結束 - SIEM 核心功能精華篇
下一篇
Day 29: 寫在結束 - SIEM 購買指南精華篇
系列文
【 30 天成為 SIEM 達人】30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言