前言

昨天跟大家分享了為何我會分享 Log analysis 作為資安的第一系列文章，知道 Log file 跟有實際操作過分析過還是有很大的差別的～當然現在越來越多線上工具、應用程式提供給我們做分析，根本就不用大費周章自己手動花費大量時間分析，為什麼我們不直接學會使用那些工具就好呢？這其實就跟你學統計，你會用 SPSS 就好了，為什麼我們還要學什麼是研究方法、各種檢定分配？

我個人認為只是基本流程的問題，學任何東西都先了解一個領域的基本知識、核心理念後，再去練習實作，最後透過實用工具去協助、強化知識的構建。當然每個人意見各異，況且我有時候也覺得在某些領域、情況先去實作抓到重點，從錯誤中學習也可以學得更快；因此，純看個人的選擇。

那廢話不多說，我們就開始今天的內容：進一步認識企業/政府實務常用的 Log 分析工具，以及當發現異常時，資安人員會怎麼處理。

企業、政府常用的 Log 分析工具介紹

📍 SIEM 平台

在企業與政府的資安防護體系中，SIEM（Security Information & Event Management）平台扮演著核心角色。SIEM 的主要功能，就是將組織內各種設備、系統、應用程式所產生的大量 Log（日誌）集中收集、儲存、關聯分析，並「即時 real-time 偵測」、「追蹤異常事件」。透過 SIEM，資安人員能夠更有效率地監控整個網路環境，即時發現潛在威脅或入侵行為。

為什麼大企業、政府機關都要部署 SIEM？

1. 集中管理：資料來源多元（如防火牆、伺服器、終端設備），集中管理才能有效比對、分析。
2. 即時偵測異常：SIEM 能設置規則，自動發現異常行為並發送警示。
3. 事件追蹤與鑑識：發生資安事件時，可快速還原事件經過，協助調查。
4. 符合法規要求：許多法規（如ISO 27001、GDPR）要求必須保存、審查 Log（越來越嚴格）！

常見 SIEM 工具及特色

個人就推薦其中幾個我認識且比較常見的，因為工具真的非常多百百種，我也只有 Splunk、ELK 有使用過而已 ><，所以如果有其他專家或資安人沒有看到自己覺得更好用的分析工具請見諒 QQ，當然也歡迎下方留言分享給我 🙏

1. Splunk（已於 2024 併入 Cisco 旗下）

第一個我就推薦它，因為我實際用下來的結果確實很好用，UI 方面也做得很好！缺點就是如果需要大量分析，就會很貴 👻（以流量計費！）但如果需求不高的話，是一個不錯的選擇！

• 特色：功能強大、介面直觀、支援海量資料即時搜尋與視覺化分析，擴充性高。
• 適合：中大型企業、對即時分析與自訂報表有需求的組織。

網路截取自 splunk log observer connect

詳細具體使用可以參考：Edureka!的 Splunk log analysis tutorial！
簡單版教學：Splunk Basics Tutorial for Beginners | Cyber Security

2. ELK Stack（Elasticsearch, Logstash, Kibana）

開源的日誌管理平台，並採用分散式架構，可以擴展以處理大量資料，同時還具有許多自定義選項。我個人也使用過，也是個很好的分析工具～ 🤩

• 特色：開源、彈性高，容易根據需求客製化，社群活躍，元件可獨立或合併使用。
• 適合：預算有限、自有IT人力的企業，或需要高度自訂化的環境。

3. IBM QRadar

• 特色：強大的威脅分析與關聯規則引擎，適合整合多種資安設備，具備自動化應變能力。
• 適合：金融、政府等資安要求極高、規模龐大的單位。

4. Mircrosoft Azure Sentinel
沒有特別使用，大家可以去看看官網自己研究研究～

• 特色：微軟推出的雲端 SIEM，與 Azure 生態系統無縫整合，支援雲端與混合雲場景，具備快速自動化回應（SOAR）的功能。
• 適合：使用 Azure 雲服務的企業或想快速建置 SIEM 的組織。

5. Graylog
同上！另外，如果大家有使用過的經驗也歡迎分享！日後如果我有使用到這些工具，也會再出工具的實用經驗分享！

• 特色：開源、易於部署及操作，支援多種資料來源與即時搜尋、視覺化。
• 適合：中小企業、需要彈性與成本效益的團隊。

小結

總結來說，SIEM 平台已經是現代資安防護不可或缺的基礎建設。依據組織規模、預算、合規需求與技術能力，可以選擇最合適的 SIEM 工具，進一步強化資安監控與事件應變能力。當然個人在學習上只要使用體驗免費版練習就非常足夠了，進入公司多半也會由公司協助提供這些工具，所以目前來說還不用太過擔心！