SIEM

為什麼藍隊需要 SIEM

網路攻擊越來越複雜
傳統的資安防禦措施已不足以應對
企業需要整合來自不同來源的安全資訊
才能有效地偵測和回應威脅

SIEM 的目標是協助資安團隊更有效率地識別和應對安全威脅

SIEM 如何運作？

SIEM 整合了 SIM 和 SEM 的功能

1. 收集資料： SIEM 從各種來源（如網路設備、伺服器、網域控制器、入侵偵測系統、防毒軟體和防火牆）收集安全資料
2. 分析資料： SIEM 將收集到的資料進行儲存、標準化、彙總和分析，並利用規則和統計關聯來識別潛在威脅
3. 協助團隊： SIEM 協助資安團隊偵測威脅、管理事件回應和進行鑑識調查

SIEM 的優點

• 提高效率： SIEM 將所有安全資訊集中到單一平台，使資安團隊能夠更有效率地監控和分析資料
• 加強威脅可見性： SIEM 透過關聯來自不同來源的資料，提供更全面的威脅可見性，協助識別可能被忽視的複雜攻擊
• 加快事件回應速度： SIEM 提供即時警報和自動化回應功能，使資安團隊能夠更快地應對安全事件
• 簡化合規性報告： SIEM 協助企業收集和整理必要的安全資料，以滿足合規性要求

SIM 和 SEM 的區別

• SIM 主要負責收集、監控和分析來自各種安全設備的資料和事件日誌，並生成報告以供審查
• SEM 則專注於即時威脅管理，透過監控、評估和關聯系統中的事件和警報來識別和應對安全事件

其他功能

• SIEM 還可以提供其他功能
  • 資料儲存
  • 日誌管理和保存
  • 案例管理
  • Ticket 系統
• 選擇 SIEM 平台時
  • 企業應考慮自身需求、預算和技術能力
• SIEM 的實施和管理需要專業知識和經驗
  • 企業可能需要聘請專業人員或尋求外部協助

常見 SIEM 平台

可自行使用 Google 尋找 SIEM

• siem github

Graylog 介紹

• Graylog
  • 提供免費的開源版本和付費的企業版本
    • 開源版本適合預算有限的組織
    • 企業版本則提供更多進階功能和支援對於每天處理事件量少於 5 GB 的小型組織
    • Graylog Enterprise 有免費的使用限制
  • 威脅覆蓋
    • Graylog Illuminate 內容
    • 警報和事件管理
    • 風險評分功能
  • 高效資料管理
    • 資料分層儲存
    • 索引欄位類型設定
    • 強化歸檔效能
  • 引導式分析師工作流程
    • 安全導向的使用者介面
    • 資產追蹤和日誌訊息強化
    • 異常偵測功能
    • 警報和調查小工具
    • 強化調查工作流程和工作區
    • 搜尋查詢字串歷史記錄
    • 儀表板功能
    • SOAR 整合能力

ArcSight 介紹

1. 高效能事件處理：整合Event Broker (基於Apache Kafka)
2. 彈性資料流架構：從N:1架構升級為N:M架構
3. 開放性
   • 整合開源軟體如Kafka、Kubernetes、Zookeeper等
   • 提供400多種資料來源連接器
   • 可與現有資料來源、分析工具整合
4. 主要元件
   • ArcSight Management Center (ArcMC):集中管理平台
   • Event Broker:事件處理引擎
   • Logger:長期資料儲存與分析
   • SmartConnectors:資料來源連接器
   • Load Balancer:負載平衡

IBM QRadar 功能

• 即時蒐集、處理、彙整及儲存網路資料
• 透過以下方式管理網路安全
  • 提供即時資訊
  • 監控
  • 警報
  • 攻擊偵測
  • 對網路威脅的回應
• SIEM 特性
  • 模組化架構
  • 提供 IT 基礎設施的即時可見性
  • 用於威脅偵測及優先順序設定
  • 可調整以符合日誌和流量蒐集及分析需求
  • 可新增整合模組
    • QRadar Risk Manager
    • QRadar Vulnerability Manager
    • QRadar Incident Forensics

LogRhythm 介紹

1. 資料品質:有效擷取和正規化資料，實現更精確的搜尋和分析
2. 可擴展性:隨組織成長而擴展，收集、正規化和分析不斷增加的資料量
3. 彈性部署選項
   • SaaS (軟體即服務)
   • 雲端部署
   • 內部部署
4. 進階功能
   1. 威脅情報
   2. 使用者實體和行為分析 (UEBA)
   3. 網路流量分析 (NTA)
   4. 端點監控
   5. 安全編排、自動化與回應 (SOAR)

Splunk 介紹

• Splunk 是業界最受歡迎的 SIEM 平台之一
• 功能
  • 自動因應措施 (Adaptive Response Actions)
    • 加速企業對資安事件調查的效率
    • 在關聯性分析後提供管理者相關資料
    • 功能偏重於初步通報事件給其他管理者
  • 與 Splunk UBA (使用者行為分析系統) 整合
    • 提供更多可分析的資料
    • 可直接將相關分析結果傳送到 Splunk UBA
  • 自動回應機制
    • 寄送電子郵件通知管理者
    • 尋找疑似異常的電腦
    • 使用 PING 指令確認電腦網路連線狀態
    • 取得電腦的 IP 位址、電腦與網域名稱
  • 關聯性調查加強
    • 可指定初步因應措施
    • 可將結果交由 UBA 進行內部威脅分析
    • 根據資料來源針對資產或使用者身分進行分析
    • 可將資產與所有人的使用者帳號連結

Wazuh

• 
• https://github.com/wazuh/wazuh
• 特點
  • 端點安全代理程式:安裝在被監控的系統上
  • 管理伺服器:收集並分析代理程式蒐集的資料
  • 雲端安全
    • 監控 API 層級的雲端基礎設施
    • 整合模組可從 AWS、Azure 或 Google Cloud 等雲端服務提供商提取安全資料
  • 容器安全
    • 提供 Docker 主機和容器的安全可視性
    • 監控映像檔、卷宗、網路設定和執行中的容器

選擇 SIEM 平台

• 選擇 SIEM 平台時，應考慮組織的需求、預算和技術能力
• SIEM 的實施和管理需要專業知識和經驗
  • 可能需要聘請專業人員或尋求外部協助
• 考慮組織現有的網路和安全策略
  • 並規劃如何從這些點收集日誌資訊
  • 也是架設 SIEM 工具的必要步驟

參考來源

• https://www.ithome.com.tw/review/112476
• https://github.com/wazuh/wazuh
• https://github.com/TonyPhipps/SIEM/tree/master
• https://graylog.org/products/security/
• 節省哥的 開源記錄集中管理系統：Graylog (二)

總結

安全資訊和事件管理（SIEM）系統是資安常見的產品與解決方案。隨著網路攻擊日益複雜，SIEM 整合了來自多個來源的安全資訊，幫助企業更有效地偵測和應對威脅。

SIEM 透過收集、分析資料並協助團隊行動來提高安全效率、加強威脅可見性、加快事件回應速度，並簡化合規性報告。

本文介紹了 SIEM 的工作原理、優點，以及幾個常見的 SIEM 平台，包括 Graylog、ArcSight、IBM QRadar、LogRhythm、Splunk 和 Wazuh。選擇合適的 SIEM 平台時，組織需要考慮自身需求、預算和技術能力。

小試身手

1. SIEM 的主要目標是什麼？
   A. 僅收集日誌資料
   B. 只生成安全報告
   C. 協助資安團隊更有效率地識別和應對安全威脅
   D. 取代所有其他安全工具

   答案：C
   解析：SIEM 的主要目標是整合多種安全資訊來源，幫助資安團隊更有效地識別和回應安全威脅，而不僅僅是收集日誌或生成報告。

2. 以下哪項不是 SIEM 的主要功能？
   A. 收集資料
   B. 分析資料
   C. 開發新的安全軟體
   D. 協助團隊應對威脅

   答案：C
   解析：SIEM 主要負責收集和分析資料，並協助團隊應對威脅。開發新的安全軟體不是 SIEM 的主要功能。

3. SIM 和 SEM 的主要區別是什麼？
   A. SIM 專注於即時威脅管理，SEM 負責收集和分析日誌
   B. SIM 負責收集和分析日誌，SEM 專注於即時威脅管理
   C. 它們是完全相同的系統
   D. SIM 只用於大型企業，SEM 只用於小型企業

   答案：B
   解析：SIM（安全資訊管理）主要負責收集、監控和分析安全日誌，而 SEM（安全事件管理）專注於即時威脅管理和事件回應。

4. 以下哪項不是選擇 SIEM 平台時應考慮的因素？
   A. 組織的需求
   B. 預算
   C. 技術能力
   D. 平台的顏色主題

   答案：D
   解析：選擇 SIEM 平台時，應考慮組織的具體需求、可用預算和現有的技術能力。平台的顏色主題通常不是一個關鍵的決策因素。

5. Graylog 的哪個版本適合預算有限的小型組織？
   A. 企業版
   B. 開源版
   C. 專業版
   D. 雲端版

   答案：B
   解析：Graylog 提供免費的開源版本，這對預算有限的小型組織來說是一個很好的選擇。企業版提供更多功能，但需要付費。

藍隊下一步清單

1. 評估組織的資安需求和現有基礎設施
2. 研究並比較不同的 SIEM 解決方案，考慮功能、成本和可擴展性
3. 選擇適合的 SIEM 平台並進行試用
4. 制定 SIEM 實施計劃，包括資料源整合和警報設定
5. 培訓資安團隊使用和管理 SIEM 系統
6. 逐步部署 SIEM，從關鍵系統開始
7. 持續調整和優化 SIEM 設定，以提高檢測效率和減少誤報
8. 定期審查 SIEM 效能，並根據新的威脅和組織需求進行更新