iT邦幫忙

2025 iThome 鐵人賽

DAY 22
0
Security

30 天 TryHackMe 實戰系列 第 22

Day 22 防禦專題,SIEM 基礎與威脅關聯分析

  • 分享至 

  • xImage
  •  

昨天,我們完成了 Wazuh 的學習,了解了主機端(Agent)如何收集日誌和警報。今天,我將我的視角提升到 安全監控的頂層:SIEM (Security Information and Event Management) 系統

SIEM 是現代安全營運中心(SOC)的基石。它負責將 Wazuh 等 HIDS 系統、防火牆、網路設備等所有安全數據,集中到一個地方,並進行智慧化分析。今天,我專注於 SIEM 的核心原理學習,這直接連動到我實習的 XDR 解決方案。


SIEM 的核心運作機制

SIEM 的價值在於「整合」與「關聯」:

  • 資料彙整(Aggregation): SIEM 接收來自數百個不同來源(如 Wazuh、網路日誌、雲端服務)的海量數據。
  • 正規化(Normalization): 將所有格式不一的日誌,轉換成統一的數據格式。這一步是實現分析的基礎。
  • 關聯分析(Correlation): 這是 SIEM 的靈魂。它能將看似不相關的單一事件串聯起來,發現只有在整體視野下才能看見的複合式、多階段攻擊。
  • 告警與可視化: 根據分析結果,生成高優先級的警報,並透過儀表板(例如 Kibana)將威脅態勢視覺化呈現。

Wazuh 與 SIEM 的專業連結

Wazuh 與 SIEM 是完美搭檔:

  • Wazuh: 負責在「點」(主機)上進行細膩的數據收集和初步偵測。
  • SIEM: 負責在「面」(整個企業網路)上,接收 Wazuh 的警報,並將其與來自防火牆、網路流量等其他維度的數據進行關聯分析,最終判斷是否為真正的安全事件。

今日挑戰心得:防禦策略的決策中心

今天的學習讓我意識到,SIEM 不僅是一個工具,更是 SOC 的決策中心。它讓我們從被動地回應單一警報,轉變為主動地進行威脅狩獵(Threat Hunting)。我的目標不再是「找到錯誤」,而是「找出正在發生的故事」,這是一個專業安全分析師必須具備的宏觀思維。


上一篇
Day 21 防禦實戰,Wazuh HIDS 部署與安全監控
系列文
30 天 TryHackMe 實戰22
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言