昨天,我們完成了 Wazuh 的學習,了解了主機端(Agent)如何收集日誌和警報。今天,我將我的視角提升到 安全監控的頂層:SIEM (Security Information and Event Management) 系統。
SIEM 是現代安全營運中心(SOC)的基石。它負責將 Wazuh 等 HIDS 系統、防火牆、網路設備等所有安全數據,集中到一個地方,並進行智慧化分析。今天,我專注於 SIEM 的核心原理學習,這直接連動到我實習的 XDR 解決方案。
SIEM 的價值在於「整合」與「關聯」:
Wazuh 與 SIEM 是完美搭檔:
今天的學習讓我意識到,SIEM 不僅是一個工具,更是 SOC 的決策中心。它讓我們從被動地回應單一警報,轉變為主動地進行威脅狩獵(Threat Hunting)。我的目標不再是「找到錯誤」,而是「找出正在發生的故事」,這是一個專業安全分析師必須具備的宏觀思維。