SIEM DASHBOARD12critical47high183medium2,341low[14:32:01] LOGIN FAILURE user=admin from 203.0.113.99 ×17[14:32:14] LATERAL MOVEMENT detected: workstation-42 → file-server[14:32:30] EXFIL ALERT: 4GB outbound to unfamiliar IP

เสียมและ SOC

11 นาทีอ่านความปลอดภัย

SIEM คือระบบประสาทส่วนกลางของการดำเนินการรักษาความปลอดภัยขององค์กร ซึ่งเป็นแพลตฟอร์มที่รวบรวม เชื่อมโยง และแจ้งเตือนเกี่ยวกับเหตุการณ์ด้านความปลอดภัยจากทั่วทั้งโครงสร้างพื้นฐานขององค์กร SOC คือทีมที่เฝ้าดู SIEM การรวมกันนี้จะกำหนดวิธีการตรวจจับและจัดการเหตุการณ์ด้านความปลอดภัยสมัยใหม่

เนื้อหาบทความฉบับเต็มมีให้เป็นภาษาอังกฤษด้านล่าง

SIEM (ข้อมูลความปลอดภัยและการจัดการเหตุการณ์) เป็นหมวดหมู่ของแพลตฟอร์มที่รวบรวมบันทึกจากโครงสร้างพื้นฐานด้านไอทีขององค์กร ทำให้เป็นมาตรฐาน เชื่อมโยงเหตุการณ์ระหว่างแหล่งที่มา และสร้างการแจ้งเตือนเมื่อรูปแบบข้อกังวลเกิดขึ้น SOC (Security Operations Center) คือทีมที่ตอบสนองต่อการแจ้งเตือนเหล่านั้น

สิ่งที่ SIEM ทำ

  • Log collection. นำเข้าบันทึกจากไฟร์วอลล์ จุดสิ้นสุด เซิร์ฟเวอร์ แอปพลิเคชัน บริการคลาวด์ ผู้ให้บริการข้อมูลประจำตัว อุปกรณ์เครือข่าย — สิ่งใดก็ตามที่สามารถสร้างได้ logs.
  • Normalization. แปลงรูปแบบบันทึกที่หลากหลายให้เป็นสคีมาทั่วไป เพื่อให้สามารถเชื่อมโยงข้ามแหล่งที่มาได้
  • Storage. การเก็บรักษาระยะยาว (โดยทั่วไปคือ 90 วันร้อน, 1+ ปีเย็น) เพื่อให้เป็นไปตามข้อกำหนดและ การสืบสวน
  • Correlation. ใช้กฎและการวิเคราะห์เพื่อระบุรูปแบบจากหลายแหล่ง (การเข้าสู่ระบบล้มเหลวจากผู้ใช้ A ในประเทศ X ตามด้วยการเข้าสู่ระบบสำเร็จจากประเทศ Y ตามด้วยการขัดขวางการขโมยข้อมูล)
  • Alerting. สร้างการแจ้งเตือนเมื่อมีกฎความสัมพันธ์ fire.
  • อินเทอร์เฟซการตรวจสอบ เครื่องมือสำหรับนักวิเคราะห์ในการเจาะลึกเหตุการณ์เฉพาะ โดยเปลี่ยนทิศทางไปในสตรีมเหตุการณ์
  • Reporting. แดชบอร์ดสำหรับผู้บริหาร รายงานการตรวจสอบสำหรับหน่วยงานกำกับดูแล

Major SIEM ผลิตภัณฑ์

  • Splunk — ผู้นำตลาด ภาษาคิวรีที่มีประสิทธิภาพ (SPL) ความครอบคลุมแหล่งข้อมูลในวงกว้าง มีราคาแพงตามขนาด
  • Microsoft Sentinel — คลาวด์เนทีฟ (Azure) การผสานรวมที่ดีกับ Microsoft 365 telemetry
  • Elastic SIEM (เดิมคือ Elastic Security) — สร้างขึ้นบน Elastic Stack ซึ่งเป็นที่นิยมสำหรับทีมที่ทำงานอยู่แล้ว it.
  • Google Chronicle / SecOps — ข้อเสนอของ Google ที่แข็งแกร่งในการบูรณาการข้อมูลภัยคุกคาม
  • IBM QRadar — ก่อตั้งมายาวนาน ผสานรวมกับระบบรักษาความปลอดภัยที่กว้างขึ้นของ IBM
  • LogRhythm, Securonix, Exabeam — ข้อเสนอระดับสองพร้อมตัวสร้างความแตกต่างที่หลากหลาย
  • Wazuh — SIEM แบบโอเพ่นซอร์ส ซึ่งเป็นที่นิยมสำหรับองค์กรที่มีงบประมาณจำกัด

SOC โครงสร้างทีม

A โดยทั่วไป SOC องค์กรขนาดใหญ่จะมีการแบ่งระดับชั้น นักวิเคราะห์:

  • Tier 1. Triage. การตรวจสอบการแจ้งเตือนเบื้องต้น ตัดสินใจว่าควรค่าแก่การยกระดับหรือไม่ ปริมาณมาก ผลบวกลวงจำนวนมาก การตรวจสอบ
  • Tier 2. เจาะลึกการแจ้งเตือนที่ระดับ 1 ทวีความรุนแรงขึ้น เชื่อมโยงข้ามแหล่งที่มา พิจารณาว่ามีเหตุการณ์จริงหรือไม่
  • Tier 3. การตอบสนองเหตุการณ์และการค้นหาภัยคุกคาม การสืบสวนเชิงรุก การประสานงานกับทีมอื่นๆ การค้นหาเชิงรุกสำหรับภัยคุกคามที่ซ่อนอยู่
  • SOC manager. ดูแลทีม ประสานงานกับ IT และการจัดการในวงกว้าง
  • Engineers. รักษา SIEM เขียนกฎการตรวจจับ ปรับแต่ง ลายเซ็น

องค์กรขนาดเล็กแบ่งสิ่งนี้ออกเป็นหนึ่งหรือสองบทบาท ซึ่งมักจะเสริมด้วยผู้ให้บริการการตรวจจับและตอบสนอง (MDR)

ปัญหาความล้าของการแจ้งเตือน

SIEMสร้างปริมาณการแจ้งเตือนขนาดใหญ่ SIEM ขององค์กรขนาดใหญ่โดยทั่วไปจะสร้างการแจ้งเตือนหลายพันรายการต่อวัน ส่วนใหญ่เป็นผลบวกลวงหรือมีความรุนแรงต่ำ งานของนักวิเคราะห์ระดับ Tier-1 ทำหน้าที่กรองสัญญาณรบกวนแทนที่จะจับภัยคุกคามที่แท้จริง

SIEM สมัยใหม่และผลิตภัณฑ์ที่อยู่ติดกันกล่าวถึงสิ่งนี้:

  • ความสัมพันธ์ที่ดีกว่า ลดสัญญาณรบกวนผ่านบริบท
  • การเรียนรู้ของเครื่อง เพื่อให้คะแนนลำดับความสำคัญในการแจ้งเตือน
  • SOAR (การจัดการด้านความปลอดภัย ระบบอัตโนมัติ และการตอบสนอง)แพลตฟอร์ม ที่ทำงานระดับ 1 โดยอัตโนมัติ
  • UEBA (ผู้ใช้ และการวิเคราะห์พฤติกรรมเอนทิตี) ที่ตรวจจับความผิดปกติเทียบกับกฎดิบ
  • XDR (การตรวจจับและการตอบสนองแบบขยาย) ที่รวม SIEM, EDR, NDR สำหรับความสัมพันธ์ข้ามโดเมน

SOC เทียบกับ MDR เทียบกับ MSSP

  • SOC — ทีมภายในที่ใช้งาน SIEM ภายใน การควบคุมสูงสุด ต้นทุนสูงสุด องค์กรขนาดใหญ่
  • MSSP (Managed Security Service Provider) — การดำเนินการด้านความปลอดภัยจากภายนอก ให้การติดตามและการตอบสนองขั้นพื้นฐาน คุ้มค่าสำหรับองค์กรขนาดกลาง
  • MDR (Managed Detection and Response) — MSSP ที่ซับซ้อนยิ่งขึ้นซึ่งทำหน้าที่ค้นหาภัยคุกคามและการตอบสนองต่อเหตุการณ์ที่เกิดขึ้น ต้นทุนสูงกว่า MSSP ต่ำกว่า SOC.

ภายใน ตัวเลือกที่เหมาะสมขึ้นอยู่กับขนาดองค์กร โปรไฟล์ความเสี่ยง ข้อกำหนดด้านกฎระเบียบ และงบประมาณ องค์กรส่วนใหญ่ที่มีพนักงานต่ำกว่า 500 คนใช้ MSSP หรือ MDR แทนที่จะสร้าง SOC ภายใน

สิ่งที่ได้รับการตรวจสอบ

แหล่งข้อมูล SIEM มาตรฐาน:

  • บันทึกเหตุการณ์ของ Windows / บันทึกระบบ Linux จากเซิร์ฟเวอร์และเวิร์กสเตชันทุกเครื่อง
  • บันทึกไฟร์วอลล์ (Palo Alto, Fortinet, Cisco)บันทึก
  • VPN
  • Iบันทึกของผู้ให้บริการข้อมูลประจำตัว (Okta, Microsoft Entra)
  • บันทึกการตรวจสอบ Cloud (AWS CloudTrail, บันทึกกิจกรรม Azure, บันทึกการตรวจสอบ GCP)
  • บันทึกความปลอดภัยของอีเมล
  • EDR การแจ้งเตือน
  • พร็อกซีเว็บ logs
  • บันทึกแอปพลิเคชัน (ขึ้นอยู่กับว่าแอปใดมีความสำคัญ)

ปริมาณข้อมูลมีขนาดใหญ่ขึ้นอย่างรวดเร็ว องค์กรขนาดกลางสร้างข้อมูลบันทึก 100GB+/วัน องค์กรขนาดใหญ่สร้าง TBs/วัน การกำหนดราคา SIEM มักเกี่ยวข้องกับปริมาณการบริโภค สิ่งนี้สร้างความตึงเครียดทางวิศวกรรมที่แท้จริงระหว่างการรวบรวมทุกอย่างและการจัดการต้นทุน

สำหรับบุคคล

SIEM และ SOC เป็นเครื่องมือระดับองค์กร แนวคิดที่เทียบเท่ากันสำหรับบุคคล: ให้ความสนใจกับการแจ้งเตือนด้านความปลอดภัยจากผู้ให้บริการอีเมล ธนาคาร บัญชีคลาวด์ของคุณ ผู้ให้บริการผู้บริโภครายใหญ่มีเวอร์ชัน light ในตัวของสิ่งที่ SIEM ทำเพื่อองค์กร โดยจะแจ้งเตือนคุณเกี่ยวกับกิจกรรมที่น่าสงสัย ปฏิบัติต่อการแจ้งเตือนเหล่านั้นตามที่คุณต้องการให้นักวิเคราะห์ SOC ปฏิบัติต่อการแจ้งเตือนจริง: ตรวจสอบแทนที่จะยกเลิก

คำถามที่พบบ่อย

ธุรกิจขนาดเล็กจำเป็นต้องมี SIEM หรือไม่?
ไม่จำเป็น. สำหรับธุรกิจขนาดเล็ก (พนักงานต่ำกว่า 50 คน) บริการ MDR หรือแม้แต่ EDR ที่ดีพร้อมการรายงานบนคลาวด์ก็อาจเพียงพอแล้ว SIEM จะมีคุณค่าเมื่อปริมาณบันทึกและความหลากหลายของแหล่งที่มาเกินกว่าที่การแจ้งเตือนในตัวของเครื่องมือแต่ละตัวจะสามารถรองรับได้
SIEM และ EDR แตกต่างกันอย่างไร?
EDR มุ่งเน้นไปที่อุปกรณ์ปลายทาง — แล็ปท็อป เซิร์ฟเวอร์ และบางครั้งก็เป็นอุปกรณ์พกพา SIEM รวบรวมจากทุกแหล่งรวมถึงจุดสิ้นสุด เครือข่าย คลาวด์ และแอปพลิเคชัน พวกมันเสริมกัน ผลิตภัณฑ์ XDR สมัยใหม่ผสานรวมเข้าด้วยกัน
SOC ทำงานเป็นเส้นทางอาชีพที่ดีหรือไม่?
ใช่ — ความต้องการสูง เส้นทางการเติบโตของเงินเดือนที่ดี การเปิดรับโดเมนความปลอดภัยมากมาย ระดับที่ 1 เกิดขึ้นซ้ำๆ และมีแนวโน้มว่าจะเหนื่อยหน่าย โดยปกติเส้นทางจะย้ายไประดับ 2/3 ภายใน 1-3 ปี และจากที่นั่นไปสู่ความเชี่ยวชาญพิเศษ (ข่าวกรองภัยคุกคาม วิศวกรรมการตรวจจับ การตอบสนองต่อเหตุการณ์)
SIEM สามารถตรวจจับการโจมตีแบบซีโรเดย์ได้หรือไม่
บางครั้งผ่านรูปแบบพฤติกรรมมากกว่าลายเซ็นเฉพาะ การขโมยข้อมูลจำนวนมาก การเคลื่อนไหวด้านข้างที่ผิดปกติ หรือพฤติกรรมของบัญชีที่ผิดปกติสามารถตรวจพบได้ แม้ว่าจะไม่ทราบช่องโหว่ที่เฉพาะเจาะจงก็ตาม อัตราการจับขึ้นอยู่กับคุณภาพวิศวกรรมการตรวจจับเป็นอย่างมาก ไม่ใช่แค่ความสามารถของ SIEM เท่านั้น
SOC เก็บบันทึกไว้นานเท่าใด
ทั่วไป: 90 วันร้อน (สอบถามได้ทันที), 1 ปีเย็น (เก็บถาวรแต่สามารถเข้าถึงได้), มักจะ 7 ปีเย็นสำหรับบริบทการปฏิบัติตามข้อกำหนด (บริการทางการเงิน, การดูแลสุขภาพ) ค่าใช้จ่ายในการเก็บรักษาเพิ่มขึ้น หลายองค์กรลดการเก็บรักษาที่ร้อนแรงเพื่อจัดการต้นทุน SIEM
อธิบาย SIEM และ SOC: องค์กรต่างๆ ดูเครือข่ายของตนในเวลากลางคืนอย่างไร