最新消息:XAMPP默认安装之后是很不安全的,我们只需要点击左方菜单的 "安全"选项,按照向导操作即可完成安全设置。

Day 17 機器幫你管日誌: SIEM 安全資訊事件管理系統 (3)

XAMPP下载 admin 550浏览 0评论

昨天分享憑單一日誌難以判斷究竟是否屬於異常行為,需要同時比對多個日誌記錄,甚至與來自其他系統、網路設備的日誌交叉比對,建立完整的行為痕跡,藉此確認可疑行為。當SIEM 依內建政策或自訂政策分析、判定異常行為後,難道只能觸發警示嗎?今天繼續介紹SIEM常有的整合功能:

  1. 整合其他資安工具或資安服務

當員工點擊來自郵件的連結,至URL 甲,下載檔案,如何從這ㄧ連串行為產生的日誌中判斷是否有威脅呢?

SIEM可以整合其他資安工具或資安服務,提高判斷準確度,例如匯合資安情資(Threat Intelligence) ,與資安情資的名單比對,如果寄件人、點擊的URL 甲,來自資安情資登記的已知惡意來源,或者下載的檔案Hash是資安情資登錄的惡意檔案,SIEM可以藉此判定為事件並觸發警報。

而當SIEM觸發警訊時,可以自動執行一段script,針對觸發警訊的威脅立即自動反應,依據各系統設備的整合度,運用script 調整系統設備設定。如前面提到的「30秒內,同一帳號於不同主機登入失敗超過共5次」政策,當此條件觸發警報後,可以讓SIEM自動執行script來鎖住帳號,阻止登入,等待資安人員進一步調查;或者將惡意的URL或IP,以script改變Firewall/UTM/Proxy等設定,將惡意URL或IP加入黑名單避免其他人受害、將寄件人加入黑名單阻擋等等。即時介入阻止,避免攻擊影響擴大。

如果與ITSM系統整合,當事件觸發警示後,SIEM便能以script從ITSM系統自動創建ticket 並指派給資安團隊處理,開始調查、處理的流程。如果整合vulnerability Management 漏洞管理系統,當偵測到來自外部的Apache Struts攻擊,SIEM可以交叉比對受攻擊的伺服器是否有該項漏洞,並自動以script創建 ticket 指派人手進行安全更新。

 

SIEM的功能非常多,各家廠商的產品皆有特色,當初在負責專案的時候和各大主流SIEM廠商都有接觸,以上只是盡量就一般廠商皆有的功能做粗概介紹。建議大家選擇SIEM方案前先了解自己的環境,大概有多少伺服器系統和網路設備會產生log日誌?每日約略產生多少日誌?需要多少硬碟容量儲存?日誌需要儲存多久?導入SIEM方案是否有法律或法遵上的需求?是否有日誌分析的經驗?選定產品後,建議先加入最重要的資安設備log日誌如Firewall, IDS/IPS, UTM等等,還有Domain Controller和DNS這些重要系統日誌, 這些日誌能優先提供環境可見度,經過一段時間熟悉產品功能、調整儀表板、創建客制政策後,再逐步加入其他日誌,篩選、過濾以免儀表板擠滿太多用途低的資訊,避免Garbage in Garbage out。下面提供兩個連結為補助資料,讓《IThome》和《網管人》雜誌幫大家介紹不同廠商的SIEM產品。

转载请注明:XAMPP中文组官网 » Day 17 機器幫你管日誌: SIEM 安全資訊事件管理系統 (3)

您必须 登录 才能发表评论!