今天鐵人賽來到精華篇最後一篇,
我們要把在知名市調機構 Gartner / Forrester,
上面所提到關於 SIEM 的核心特點做梳理,
以及我們可以依據什麼指標來挑選核心產品?
SIEM 適用的管理方法與框架,
即為「威脅管理 Threat Management」,
進而有「威脅偵測 Detection」與「威脅回應 Response」威脅階段,
最後則是工具層面的「日誌管理」、「關聯分析」、「威脅調查與回應」。
在日誌管理的範疇的幾個關鍵功能,
包括日誌蒐集、識別與管理等核心功能,
包含支援各式日誌來源的蒐集、識別與正規化,
類型包括 Logs/Events/Metrics/Flow 等等。
另外像是日誌儲存量、索引(Index)、儲存位置、
線上 / 離線搜尋、壓縮儲存、長期保存與稽核需求等。
在關聯分析裡,
包含關聯規則的撰寫、維護與威脅偵測,
通常工具都會有開箱即用的規則集可以運用,
但每個客戶環境均不相同,故都需要精細調整的階段,
以及逐漸新增、微調規則來適應客戶進一步的要求。
當長期蒐集組織日誌,
透過完整關聯規則進行威脅比對時,
一旦符合相關告警即進入到威脅調查與回應階段。
因此核心的功能模組會有,
告警 (Alarm) 與報表 (Report) 兩大核心功能,
以及提供威脅調查或進階威脅獵捕的工具與機制,
還有整合外部威脅情資、C2 或是 Malware 資訊,
或是 MITRE ATT&CK® 的攻擊矩陣相關整合。
在 Gartner 評比裡關於 SIEM,即為:
Gartner Magic Quadrant for Security Information and Event Management
而關於如何閱讀魔力象限報告,
通常報告內都會揭露在世界上該解決方案的主要玩家,
然後簡介其解決方案背景、特色以及著墨的點,
再以 Strengths 跟 Cautions 兩個區塊,
分別介紹各解決方案的優勢點與應注意的地方,
可以在很快的時間內,了解各方案的優勢概況。
Day 23: 寫在返航 - SIEM 與市調機構(Gartner)
Forrester 主要提供市場研究、諮詢與相關研討活動,
在其研究與分析報告之中,提供三大區塊來讓報告閱讀者參考:
包括洞察區域 (Insights Area)、
客戶興趣主題 (Customer Obsession content)、
標誌性研究主題 (Signature research themes)等等。
Forrester Wave™ 評估裡,
使用領導者 (Leaders)、表現出色者 (Strong Performers)
競爭者(Contender)和挑戰者 (Challengers),
來對市場上各個解決方案供應商的評估,
但因為不是全部供應商都會納選,
所以報告通常不代表整個供應商狀況。
Day 24: 寫在返航 - SIEM 與市調機構(Forrester)
核心的 SIEM 係作為 SOC 中心,
在資訊安全維運中心提供整體合規、告警與回應。
同時整合企業組織所有的日誌事件,
包含來自網路、端點、身份、應用程式與其他安全日誌,
提供快速事件關連分析、威脅調查與事件回應,
輔以提供各種案例庫(Use Cases)的威脅偵測工具,
來讓資安專業人員能在專業、集中、單一平台,
來因處資訊安全作業生命週期裡的資安事件。
使用者用戶行為分析 (UBA),
是透過機器學習演算法計算用戶風險基準,
來提供相關離峰值或異常情形的判斷依據,
開始針對「內部威脅」進行威脅防禦與著墨。
SIEM 主流支援上百家各家應用日誌識別與收集為主,
而資安維運 Security Operation 則牽涉更多、更緊密,
與周邊第三方解決方案的深度整合與應用,
更關鍵的是能否提供彈性、動態的劇本或 Script,
來適應每一家企業組織的用例與特性,亦是至關重要的。
在在均顯示出從原本傳統地端應用模式,
如何能夠結合雲端的彈性優勢,
成為目前各家業者在競逐的一塊市場。
因此無論是 SIEM in Cloud 的 SaaS,
還是 SIEM on Cloud 基於託管形式的應用,
整合雲端彈性、靈活數據儲存,成為目前市場熱門的議題。
在現在主流的授權定價機制,
有訂閱制 (Subscription) 與買斷制(Perpetual),
以及依據不同 SIEM 功能進行授權定價的模式,
像是之前介紹過的基於日誌攝取量的計價模式,
或是基於每秒多少事件數的 (EPS) 做計價,
都會因應不同的企業環境特性,需要妥善規劃適合的買法。
明天就是鐵人賽的第 30 天,
真的很感謝各位朋友與邦友的支持,
明天就來梳理這三十天的心路歷程,
鐵人賽最後一天,讓我們明天見!