重新檢視SIEM工具

• SIEM是一個收集和分析日誌數據工具以監控組織中關鍵活動的應用程式。它通過收集、分析並報告來自多個來源的安全數據來實現這一點。
• SIEM工具通過NORMALIZING標準化數據，幫助安全分析師閱讀和分析。原始數據經過處理後，格式一致且僅包含相關的事件信息，然後SIEM工具對數據進行索引INDEX ，便於搜索，讓所有事件都能輕鬆訪問。

Log sources and log ingestion

日誌來源和日誌攝取

SIEM過程概述

Collect and aggregate data
Normalize data
Analyze data/ index data
順序：日誌轉發器 → 日誌攝取 → SIEM工具

1. Log forwarders 日誌轉發器

• 定義：日誌轉發器是一種軟件，負責自動收集和發送來自各種來源的日誌數據。
• 它可以從伺服器、應用程式或其他設備收集日誌，並將這些日誌數據傳送到SIEM工具。
• 使用方式：
  • 可以手動上傳數據或使用軟件來幫助收集數據。
  • 手動上傳可能效率低下，因為網絡中可能包含成千上萬的系統和設備。
  • 許多操作系統具有內置的日誌轉發器，若沒有，則需安裝第三方日誌轉發軟件

2. log ingestion

• log ingestion是將日誌數據從日誌轉發器或其他來源收集並導入到SIEM工具中的過程。
• SIEM會創建接收事件數據的副本，並將其保留在自己的存儲中，這樣可以分- 析和處理數據而不會直接修改原始日誌。
• 收集的事件數據提供了一個集中平台，供安全分析師分析數據和響應事件。

SIEM工具

1. 收集和聚合數據：SIEM工具從各種數據來源收集事件數據。
2. 數據標準化：將收集的事件數據轉換為標準格式，使其結構一致，便於閱讀和搜索。
3. 數據分析：分析和關聯數據以識別顯示異常活動的共同模式。