昨天，我們完成了 Wazuh 的學習，了解了主機端（Agent）如何收集日誌和警報。今天，我將我的視角提升到 安全監控的頂層：SIEM (Security Information and Event Management) 系統。

SIEM 是現代安全營運中心（SOC）的基石。它負責將 Wazuh 等 HIDS 系統、防火牆、網路設備等所有安全數據，集中到一個地方，並進行智慧化分析。今天，我專注於 SIEM 的核心原理學習，這直接連動到我實習的 XDR 解決方案。

SIEM 的核心運作機制

SIEM 的價值在於「整合」與「關聯」：

• 資料彙整（Aggregation）： SIEM 接收來自數百個不同來源（如 Wazuh、網路日誌、雲端服務）的海量數據。
• 正規化（Normalization）： 將所有格式不一的日誌，轉換成統一的數據格式。這一步是實現分析的基礎。
• 關聯分析（Correlation）： 這是 SIEM 的靈魂。它能將看似不相關的單一事件串聯起來，發現只有在整體視野下才能看見的複合式、多階段攻擊。
• 告警與可視化： 根據分析結果，生成高優先級的警報，並透過儀表板（例如 Kibana）將威脅態勢視覺化呈現。

Wazuh 與 SIEM 的專業連結

Wazuh 與 SIEM 是完美搭檔：

• Wazuh： 負責在「點」（主機）上進行細膩的數據收集和初步偵測。
• SIEM： 負責在「面」（整個企業網路）上，接收 Wazuh 的警報，並將其與來自防火牆、網路流量等其他維度的數據進行關聯分析，最終判斷是否為真正的安全事件。

今日挑戰心得：防禦策略的決策中心

今天的學習讓我意識到，SIEM 不僅是一個工具，更是 SOC 的決策中心。它讓我們從被動地回應單一警報，轉變為主動地進行威脅狩獵（Threat Hunting）。我的目標不再是「找到錯誤」，而是「找出正在發生的故事」，這是一個專業安全分析師必須具備的宏觀思維。