iT邦幫忙

0

Cyber security -6 Module1-4 Alert and event management with SIEM and SOAR tools

  • 分享至 

  • xImage
  •  

使用 SIEM 和 SOAR 工具進行警報與事件管理
Alert and event management with SIEM and SOAR tools

  • SIEM is a tool that collects and analyzes log data to monitor critical activities in an organization.
  • SIEM process 運行過程的三個關鍵步驟:
    1. collect and aggregate date 數據收集與聚合
    2. Normalize 正規化 data 數據標準化
    3. analyzed data 數據分析

SIEM process

  1. 數據收集與聚合:
    • 來源:防火牆、伺服器、路由器等。
    • 聚合:將日誌數據集中於單一位置,減少手動數據分析的需求。
    • 解析:將日誌數據轉換成便於人類解讀的格式,提取相關字段與數值。
  2. 數據標準化(Normalize):
    • 將來自多來源的數據轉化成統一結構。
    • 方便搜索與後續處理。
  3. 數據分析:
    • 基於規則與條件檢測可疑活動,並發出警報。
    • 支持相關性分析(correlation),對比多條日誌事件,辨別潛在威脅模式。
  • SOAR :
    • Security orchestration, automation, and response安全協同、自動化與回應
    • SOAR is a collection of applications, tools, and workflows that uses automation to respond to security events.
功能項目 SIEM (Security Information and Event Management) SOAR (Security Orchestration, Automation, and Response)
定義 透過收集與分析日誌數據來監控網路中的關鍵活動,並提供網路威脅的實時概況。 透過自動化技術來分析與回應安全事件,整合自動化流程並同時支援案件跟蹤與管理。
作用 - 收集數據,如IDS/IPS、防火牆、應用程式的日誌等- 將數據集中化處理(數據彙總與歸一化)- 建立規則以辨識潛在威脅;- 輸出具優先級的警報。 - 自動執行安全威脅回應流程,如分析與阻止攻擊;- 將多個事件綜合成案件;- 提供統一介面以便檢視和管理事件。
類比 網路的"儀表板",類似車輛儀表板,用來顯示系統"健康狀況"(例如警示燈)。 將常規與複雜流程自動化,以快速回應安全威脅,且集中多件相關事件至單一案件視圖。
優點 - 適合大規模數據監控- 支援分析多來源、多層次數據- 更精確建立警報 - 提升事件回應效率- 減輕分析師手動處理工作量- 提供案例管理功能
缺點 - 需要大量配置與監控規則- 可能產生大量“誤報”(false positives) - 適用於高度自動化場景,對簡單需求可能過於複雜- 需要與其他工具整合才能發揮完整功能
使用場景 身為威脅偵測工具,主要幫助分析師監控與分析網路系統中的異常活動,判斷問題所在。 身為回應處理工具,專注於加速安全事件響應流程並提升整體效率,適合需支援多流程自動化的環境。

SIEM 工具比較

工具名稱 特色功能
AlienVault® OSSIM 開源平台,專注於中小企業應用
Chronicle 支援快速、即時的日誌檢索功能
Elastic 支援對大規模日誌數據的高效處理
Exabeam 主打用戶行為分析 (User Behavior Analytics, UBA)
IBM QRadar 提供全面的企業安全解決方案以及良好的擴充性
LogRhythm 集成事件監控及威脅響應功能,方便整合進企業的 IT 系統
Splunk 擁有業界領先的搜索、分析與可視化能力

圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言