又是假日了，來個比較輕鬆的主題

剛入職的時候，公司還沒分得這麼細，IT 的監控、資安的巡檢，全都一把抓。
每天一到公司，除了要看 AD、DNS、核心系統有沒有掛掉，還得盯著一堆 log：

• 防火牆有沒有被 scan
• DNS 有沒有異常 query
• 伺服器 CPU/記憶體是不是爆了

說實話，那時候感覺自己像個「24 小時的看門狗」。

從 IT 監控 → 資安巡檢

隨著人力慢慢增加，日常的 IT 監控有同事分攤，我才有時間把重心放到「資安監控」。
現在我的日常大概是：

• Firewall：看有沒有異常流量、爆量連線
• EDR：端點有沒有中惡意程式，哪台電腦一直在爆告警
• SIEM：彙整 log，有沒有奇怪的帳號嘗試登入、異地存取
• Outlook Online：有沒有被意外隔離的信件，需要去釋放的

這些東西，說白了就是 「證據 + 警報」，沒有它們，你根本不知道發生了什麼。

為什麼要留日誌？

ISO 27001 也很明確：日誌與監控是必須的控制措施（Annex A 8.15 / 8.16）。

• 沒有 log → 事情發生後完全追不到
• 有 log 但不看 → 等於白做工
• 有 log 又有監控 → 才能在早期發現異常

想像一下：
一台電腦連續 10 分鐘爆 100 次錯誤登入，如果沒有人發現，可能就是 AD 被暴力破解的開端。

工具再多，還是要有人盯

SIEM、SOAR、AI 偵測再厲害，都只是輔助。
最關鍵的還是：有人要每天打開來看，並且能判斷什麼是真正的威脅。
不然就會落到「工具很多，但都是高級展示品」的窘境。

小結

「沒有監控，你什麼都不知道。」

備份讓資料回得來、災害復原讓系統活得下去，但 沒有監控，你根本不會知道什麼時候該啟動這些計畫。
這就是日誌與監控的價值。

不過說真的還是希望企業注重資安這塊，多請點人
工具是冰冷的，但人的生活是真實的。別讓工程師的假日，綁在一封 EDR 郵件上。