A log is a record of events that occur within an organization's systems and networks log sources include:
- firewall logs
- network logs
- server logs
SIEM tools rely on logs to monitor systems and detect security threats.

firewall logs

防火牆日誌是對來自互聯網的進站流量的嘗試或已建立連接的記錄。它還包括來自網路內部對互聯網的外發請求。A firewall log is a record of attempted or established connections for incoming traffic from the internet. It also includes outbound requests to the internet from within the network.

network logs

網路日誌記錄了所有進出網路的電腦和設備。它還記錄了設備和服務之間的連接。A network log is a record of all computers and devices that enter and leave the network. It also records connections between devices and services on the network.

server logs

伺服器日誌是與服務相關的事件記錄，例如網站、電子郵件或檔案共享。它包括登入、密碼和使用者名稱請求等操作。a server log is a record of events related to services such as websites, emails, or file shares. It includes actions such as login, password, and username requests.

SIEM 工具依賴日誌logs來監控系統並檢測安全威脅。SIEM tools rely on logs to monitor systems and detect security threats.

SIEM security information and event management

安全信息和事件管理（SIEM）工具是一種應用程式，收集和分析日誌數據以監控組織中的關鍵活動。
SIEM 工具保留、分析並搜尋組織的 log data 以提供安全資訊和警報。SIEM tools retain, analyze, and search an organization's log data to provide security information and alerts.

Q:SIEM 工具的一些主要好處是什麼？

• 最小化需要手動審查的日誌數量Minimize the number of logs to be manually reviewed
• Increase efficiency 提高效率並節省時間
• Deliver automated alerts 提供自動警報
• 它提供實時可見性、
• 事件監控和分析，並將所有日誌數據存儲在集中位置。
• SIEM 工具必須被配置和定制，以滿足每個組織獨特的安全需求。SIEM tools must be configured and customized to meet each organization's unique security needs.
• 隨著新的威脅和漏洞的出現，組織必須不斷自訂其SIEM工具，以確保能夠檢測並迅速處理這些威脅。
• SIEM 工具也可以用來創建儀表板。您可能在手機或其他設備上的應用中遇到過儀表板。它們以易於理解的格式呈現有關您的帳戶或位置的信息。
• 就像天氣應用程式幫助人們根據數據迅速作出明智的決策一樣，SIEM 儀表板幫助安全分析師快速而輕鬆地以圖表、圖形或表格的形式訪問他們組織的安全資訊。
• 透過使用儀表板，安全分析師能夠快速查看登入嘗試的時間線、位置以及活動的確切時間的視覺表示，然後判斷該活動是可疑的。

除了提供與安全相關數據的全面摘要外，SIEM 儀表板還為利益相關者提供不同的metrics指標。

Metrics 指標

• A security professional evaluates a software application by reviewing key technical attributes including response time, availability, and failure rate. What are they using to assess performance? "Metrics 指標"是關鍵技術屬性，包括響應時間、可用性和故障率，用於評估軟體應用程式的性能。SIEM 儀表板可以自訂以顯示相關指標。

After receiving an alert about a suspicious login attempt, a security analyst can access their SIEM tools dashboard to gather information about the alert.

Explore common SIEM tools

types of SIEM tools :

• 自架式 Self-hosted:自我托管的SIEM工具要求組織使用自己的實體基礎設施（如伺服器容量）安裝、運營和維護該工具。自架式SIEM工具要求組織使用自己的物理基礎設施安裝、運行和維護，這些應用程式由組織的IT部門管理，而非第三方供應商。當組織需要對機密數據保持物理控制時，自架式SIEM工具是理想的選擇。
• 雲端託管 cloud-hosted: are ideal for organizations that don't want to invest in creating and maintaining their own infrastructure.
  雲端託管的SIEM工具由提供商維護和管理，透過互聯網存取，適合不想投資建設和維護自己基礎設施的組織。
• 混合 hybrid solution:組織可能會選擇混合SIEM解決方案，以利用雲端的好處，同時仍然對機密數據保持實體控制。

Open-source tools

• 開源工具通常免費且易於使用，旨在通過公眾的協作來提供安全性更高的軟體。
• 使用者可以進行更大的自訂，從相同的開源軟體包中建構出多種新服務。
• 軟體工程師創建開源專案以改善軟體並使其對所有人可用，並且源代碼及相關訓練資料均可供使用者使用，方便他們進行修改和改進。
  • Linux: 廣泛使用的開源操作系統。它允許您使用命令行界面來根據您的需求定制操作系統。操作系統是計算機硬體與使用者之間的界面。它用於與計算機的硬體進行通信並管理軟體應用程序。
    有多個版本的 Linux 存在，以完成特定任務。Linux 及其命令行界面將在證書課程的後面詳細討論。
  • Suricata: 開源的網路分析和威脅偵測軟體，用於檢查網路流量，識別可疑行為並生成網路數據日誌。它能找出用戶、電腦或IP地址間的活動，以幫助發現潛在的威脅、風險或漏洞。Suricata由開放資訊安全基金會（OISF）開發，該基金會致力於確保Suricata項目的開源性，讓其自由且公開使用。Suricata在公私部門廣泛應用，並能與多種SIEM工具及其他安全工具整合。後續將進一步討論Suricata。

Proprietary tools 專有工具

• 專有工具是由個人或公司開發和擁有的，使用者通常需要支付使用和培訓的費用。
• 專有工具的擁有者是唯一可以訪問和修改源代碼的人。這意味著使用者通常需要等待軟體更新，有時他們可能需要為這些更新支付費用。
• 專有軟體通常允許使用者修改有限數量的功能，以滿足個人及組織的需求。
• 專有工具的範例包括 Splunk® 和 Google SecOps (Chronicle) SIEM 工具。

  • 谷歌的 Chronicle
    谷歌的 Chronicle。Chronicle 是一種雲原生工具，旨在保留、分析和搜尋數據。Chronicle 提供日誌監控、數據分析和數據收集。與雲託管工具類似，雲原生工具也由供應商完全維護和管理。但雲原生工具專門設計用來充分利用雲計算的能力，如可用性、靈活性和可擴展性。Chronicle可以根據特定資產、域名、用戶或IP地址來收集和分析日誌數據。
    Chronicle dashboards and their purposes:
    1.Enterprise insights dashboard
    2.Data ingestion and health dashboard
    3.IOC matches dashboard
    4.Main dashboard
    5.Rule detections dashboard
    6.User sign in overview dashboard

  • Splunk
    Splunk是一個數據分析平台，其中Splunk Enterprise提供SIEM解決方案，是一種自我託管的工具，用於保留、分析和搜索組織的日誌數據，以實時提供安全信息和警報。Splunk Cloud是一種雲端託管工具，用於收集、搜索和監控日誌數據，特別適合運行混合或僅雲端環境的組織。這些工具可以讓您在儀表板上查看組織的數據，幫助安全專業人員通過收集、搜索、監控和分析來自多個來源的日誌數據，實現對組織日常運作的全面可見性。

    • Splunk® Enterprise和
    • Splunk® Cloud。
    • Splunk dashboards and their purposes:
      1. Security posture dashboard:安全姿態儀表板專為安全運營中心（SOC）設計，顯示組織過去24小時的顯著安全事件和趨勢，幫助安全專業人員評估安全基礎設施和政策的效能。安全分析師可以利用此儀表板即時監控和調查潛在威脅，如來自特定IP地址的可疑網絡活動。
      2. Executive summary dashboard:執行摘要儀表板分析並監控組織的整體健康狀況，幫助安全團隊改善安全措施以降低風險。安全分析師可能使用該儀表板向利益相關者提供高層次的見解，例如生成特定時間範圍內的安全事件和趨勢摘要。
      3. Incident review dashboard:事故回顧儀表板允許分析師識別事件發生時的可疑模式，並突顯需要立即審查的高風險項目，提供事件發生前的視覺時間線，對分析師非常有幫助。
      4. Risk analysis dashboard:風險分析儀表板幫助分析師識別每個風險對象的風險，例如特定用戶、電腦或IP地址。它顯示風險相關活動或行為的變化，例如用戶在非正常工作時間登錄或特定電腦的網絡流量異常高。安全分析師可以使用這個儀表板分析關鍵資產中漏洞的潛在影響，幫助他們優先考慮風險緩解工作。