在弓箭手村的資安修練第 19 天，弓箭手村進入了高警戒狀態，村外的草叢傳來異動，敵人可能已經潛入！這時，村莊的資安防禦系統全面啟動——SIEM 中央指揮中心開始分析各地回報的異常訊號，入侵偵測系統（IDS）像巡邏兵一樣監控每個角落，而入侵防禦系統（IPS）則是村門的自動防禦機關，發現可疑就立刻反擊。
同時，防毒軟體像是村醫師，定期檢查每位村民身上是否藏有病毒，防火牆則是守在村口的大門，嚴格審查每一位進出的人與資料。
今天的任務，就是學會這些防禦工具的角色與差異，讓你能在第一時間識破敵人、主動防禦，守住村莊的每一寸土地！

1. 識別

安全資訊與事件管理 (Security Information and Event Management, SIEM)

• SIEM 就像是資安界的「中央指揮中心」，它會從各種不同的來源（像是伺服器、網路設備、防火牆、應用程式等等）收集大量的日誌和事件資料，然後幫你整理、分析，甚至主動發出警告，這樣一來，當有異常行為或潛在攻擊發生時，你就能第一時間掌握狀況。
• 簡單來說，SIEM 就是幫你把所有資安資訊集中起來，讓你不會漏看任何可疑動作。

入侵偵測系統 (Instrution Detection system, IDS)

• IDS 是一種用來「抓小偷」的工具，它會監控系統或網路的活動，看看有沒有異常或可疑的行為，像是有人試圖闖入、掃描漏洞、或執行不尋常的程式，IDS不會主動封鎖。
  • IDS 分成兩種主要類型：
    • 主機型入侵偵測系統（Host-Based IDS，HIDS）
      • HIDS 是安裝在單一設備上的偵測系統，像是伺服器或個人電腦，它會監控該主機的系統日誌、應用程式日誌、安全性事件，甚至是主機防火牆的紀錄，它還能追蹤攻擊者使用的程序（process），像是某個奇怪的程式突然在背景執行，這種方式比較深入，但只針對單一設備。
    • 網路型入侵偵測系統（Network-Based IDS，NIDS）
      • NIDS 則是部署在網路中，像是路由器或交換器旁邊，它會監控整個網路的流量，分析封包內容，看看有沒有異常的行為，不過它有個限制，就是沒辦法看加密流量的內容（像是 HTTPS），也無法深入監控某些設備內部的活動，它比較像是「守門員」，負責看誰在網路上走來走去。

2. 預防

入侵防禦系統 (Intruction Prevention System, IPS)

• IPS 就像是你家的自動門禁系統，不只會發現有可疑的人靠近，還會直接把門鎖起來、甚至報警，它會即時分析網路上的流量，判斷哪些是正常的、哪些可能是攻擊行為，只要發現有問題，它就會立刻擋掉那些封包，不讓它們進來，IPS會主動封鎖。
  • 與IDS相同分為HIPS、NIPS。

防毒軟體 (Antivirous)

• 防毒軟體就像是你電腦的保健醫師，專門負責掃描系統裡有沒有病毒、惡意程式，它會比對已知的病毒特徵碼，也會觀察程式的行為，像是某個程式突然開始加密檔案、偷資料、或偷偷連到奇怪的網站，就會跳出警告。
  • 防毒軟體主要分成兩種偵測方式：
    • 已知威脅偵測：透過病毒特徵碼來比對，這種方式快但只能抓到已知的病毒。
    • 未知威脅偵測：透過行為分析或機器學習來判斷程式是否可疑，這種方式可以抓到新型病毒，但有時會誤判。

防火牆 (Firewall)

• 防火牆就像是你家的大門，負責決定誰可以進來、誰要被擋在外面，它會根據你設定的規則來控制網路流量，像是只讓某些 IP 或連接埠通過，或是限制某些應用程式的存取權限。
  • 防火牆可以是硬體設備，也可以是軟體程式，甚至你電腦裡就有內建的防火牆，現在很多防火牆都很聰明，不只看 IP 和連接埠，還能分析封包內容、辨識應用程式，甚至整合 IPS 功能，變成「下一代防火牆（NGFW）」。