Why SIEM

• 即時接收來自各種來源的日誌
• 事件關聯分析：將不同來源的事件進行關聯
• 日誌搜尋：快速查找相關事件
• 事件調查與快速回應
• 異常行為警報
• 24/7 監控與可視性
• 資料洞察與可視化圖表
• 可追溯與調查過去的事件

日誌來源:

• 以主機為中心（Host-Centric Log Sources）：
  • Windows 事件日誌（Event Logs）
  • Sysmon
  • Osquery
• 主機型日誌的範例包括：
  • 使用者存取檔案
  • 使用者嘗試驗證（登入）
  • 程式執行活動
  • 程式新增、編輯或刪除登錄機碼或其數值
  • Powershell 指令的執行
• 以網路為中心（Network-Centric Log Sources）
• 進行通訊或存取網際網路時所產生的
• 常見的網路協定包括：
  • SSH
  • VPN
  • HTTP/S
  • FTP
• 網路型事件的範例包括：
  • SSH 連線
  • 透過 FTP 存取檔案
  • 網頁流量
  • 使用者透過 VPN 存取公司資源
  • 網路檔案共享活動

LOG儲存

• Windows:可以透過Event Viewer工具查看。系統會為每種類型的事件分配一個唯一的事件 ID。

所有來自 Windows 端點的這些日誌都可以被轉發至 SIEM 系統。

• Linux :Linux 作業系統會儲存所有相關的日誌，這些日誌接著會被導入 SIEM 系統以進行持續監控。
• 基本上都存在/var/log/內，且有不同的分類
  • httpd：儲存 HTTP 請求/回應與錯誤日誌
  • cron：儲存與 cron 排程任務相關的事件
  • auth.log & secure：儲存與認證相關的日誌
  • kern：儲存與kernel有關的事件
• Web Server:在Linux中，常見的路徑為
  • /var/log/apache
  • /var/log/httpd

日誌擷取

每個 SIEM 系統都有自己的日誌擷取方式，如:

• Agent / Forwarder:部分系統會提供一個輕量級工具可安裝在端點設備上，設定為擷取重要日誌，並將其傳送至 SIEM 伺服器。
• Syslog 協定:是一種廣泛使用的協定，用於從各種系統收集資料，並將即時資料發送至集中式目的地。
• 手動上傳:某些系統允許使用者匯入離線資料以進行快速分析。
• Port-Forwarding: SIEM可設定為監聽特定的網路埠，端點設備會將資料透過這個埠轉發到 SIEM 系統中進行分析。

SIEM 的功能

常見的包括：

• 事件關聯分析：可將來自不同日誌來源的事件進行關聯比對
• 全面可視性：同時提供主機層面與網路層面的活動監控
• 威脅調查與快速反應：協助分析人員調查最新威脅並即時回應
• 威脅狩獵：針對尚未被規則偵測出的威脅進行主動搜尋

運作方式

SIEM 工具會透過agent、port forwarding等方式收集所有與安全相關的日誌。

這些日誌被擷取後，SIEM 便會根據分析人員所設定的規則條件，尋找日誌中的異常行為或可疑模式。

如果條件被滿足，規則就會被觸發，進而啟動事件調查流程。

儀表板

• 任何 SIEM 系統中最重要的功能之一
• 日誌被標準化並擷取之後，SIEM 會將資料以分析結果的方式呈現出來，這些結果通常以「可採取行動的洞察」呈現在多個儀表板上。
• 常見的儀表板資訊包括：
  • 警報摘要
  • 系統通知
  • 系統健康警示
  • 登入失敗嘗試清單
  • 擷取的事件總數
  • 被觸發的規則
  • 最常造訪的網域

關聯規則

關聯規則使分析人員能夠及早採取行動。規則基本上是預設的邏輯條件式，當條件成立時就會觸發。如:

• 若同一用戶在一定時間內登入失敗達特定次數以上 → 觸發警報：多次登入失敗
• 若多次登入失敗後又成功登入 → 觸發警報：多次失敗後成功登入
• 偵測到使用者插入 USB → 觸發警報：USB 裝置接入

警報調查

在使用 SIEM 監控時，分析人員大部分時間會在儀表板上操作，因為它以摘要方式呈現了大量網路活動的關鍵資訊。

• 當某條警報被觸發時，分析人員會：
  • 檢視與該警報相關的事件與流量
  • 確認是哪條規則被觸發、條件為何
  • 判斷該警報是誤報還是真正警報
• 可能採取的動作：
  • 誤報 → 調規則，避免未來產生相似的誤報
  • 真警報 → 調查該事件
  • 聯繫資產擁有者，確認是否為合法操作
  • 確認為可疑活動 → 隔離感染主機
  • 封鎖可疑的 IP 位址