今天的內容一樣是網路防護，講完了防火牆、VPN、數位版權管理後，今天要講跟記錄檔有關的網路防護手段。

記錄檔、監控與 SIEM

大家都知道資訊安全對企業來說非常重要，也應該知道企業必須透過某些方法來建置他們的網路防護系統。
而在建置網路防護系統前，我們要先了解記錄檔。

幾乎所有網路上或連接到網路的系統都會產生記錄檔，企業要決定哪些東西應該被寫入記錄檔，可能包括：嘗試登入、網路流量、封包、已採取的行動，甚至是使用者的每一個按鍵輸入。至於判斷哪些東西該被寫入記錄檔的方法，應該要根據企業對風險的擔心程度、資產的機敏程度，以及系統的漏洞而定。

以下所有系統應該都會產生記錄檔：

網路上的系統

• 路由器與交換器
• IDS 與 IPS
• 防火牆

連接至網路的系統

• 伺服器
• 筆記型電腦
• 攝影機
• 桌上型電腦與手機
• 資料庫
• 所有物聯網 (IoT) 裝置

這麼多的裝置所記錄的事件數量加起來相當可觀，並且如果要從這麼多的資料當中找某些特定事物，就必須將這些記錄檔 (同時也是稽核記錄) 傳送至一個集中地點，例如：Syslog 伺服器。
當記錄檔集中到 Syslog 伺服器後，就能利用一套資安事件管理 (SIEM) 系統來加以分析。

資安事件管理系統 SIEM

SIEM 是一種解決方案，能協助組織在威脅傷害到企業的營運前，搶先偵測、分析和回應安全性威脅。

而 SIEM 唸作 “sim”，它結合了安全性資訊管理 (SIEM) 和安全性事件管理 (SEM)，成為一個安全性管理系統。SIEM 技術會從各種來源收集事件記錄檔資料、透過即時分析識別與規範有所不同的活動，並採取適當動作。
簡單點來說，SIEM 讓組織能了解其網路內的活動，組織就可以迅速回應潛在的網路攻擊，並滿足合規性要求。過去十年來，SIEM 技術已經過演化，能透過人工智慧來更聰明、更快速地偵測威脅與回應事件。

SIEM 的各個系統在功能上各有不同，但一般都會提供這些核心功能：

• 記錄管理：SIEM 系統會將大量資料集中在一個地方，並整理和判斷資料是否有威脅、攻擊或入侵的跡象。
• 事件關聯性：系統會先排序資料，再將這些被排序過的資料作整理，識別其關係和模式，來快速偵測和回應潛在的威脅。
• 事件監控和回應：SIEM 技術會跨組織網路監控安全性事件，並提供與事件相關的所有活動警示與稽核。

SIEM 系統可以透過各種使用案例來緩解網路風險，像是偵測可疑的使用者活動、監控使用者行為、限制嘗試存取並產生合規性報告。