資安事件管理 (SIEM) 是一種網路資安解決方案,專門蒐集、分析及交叉關聯來自各種來源的資安資料,以便即時偵測、調查及回應潛在的威脅。
目錄
SIEM 的意義
資安營運中心 (SOC) 在網路資安領域扮演著日益重要的角色。SOC 是一個集中單位,專門負責處理企業內部的資安問題。它是完整網路資安策略不可或缺的一環,專為即時監控、偵測、回應及防範資安威脅而設計。網路攻擊的數量和精密度,已使得 SOC 成為企業保護數位資產、維持強大資安態勢不可或缺的要素。
SIEM 資安功能
SIEM 系統的運作方式是蒐集並彙整記錄檔資料、執行交叉關聯分析來發掘異常狀況,以及為資安團隊產生可化為行動的警報。此外,還提供詳細的報告來協助達成合規與稽核要求。SIEM 是現代化資安營運中心 (SOC) 的基石,能將原始記錄檔資料轉換成可化為行動的情報來強化威脅偵測、事件回應以及整體資安態勢,確保企業主動防範風險。
記錄檔蒐集
SIEM 系統會從 IT 基礎架構的各種裝置和應用程式蒐集記錄檔與警報資料,包括:防火牆、伺服器、端點、資料庫以及雲端。這項彙整作業能確保所有資安相關資訊都儲存在單一位置,簡化可視性並消除孤島。記錄檔可能包含使用者活動、系統錯誤、存取嘗試,以及應用程式相關的事件。從多樣化來源擷取資料的能力,讓 SIEM 能全方位掌握企業的資安情勢。
交叉關聯資安事件
交叉關聯資安事件需要分析眾多記錄檔之間存在的模式與關聯,以發掘潛在的威脅或可疑行為。例如,一次登入失敗並不會引起疑慮,但如果出現多次嘗試登入失敗,接著又從某個不尋常的地點成功登入,那就可能意味著暴力破解攻擊。SIEM 可套用預先定義的規則、機器學習演算法,以及情境感應分析,來發掘這些模式,並判斷這些潛在資安事件的優先次序,以便進行調查。
警報與通知
當偵測到異常活動或潛在的資安事件時,SIEM 系統會根據預先定義的門檻和規則發出警報。這些警報會經由儀表板、電子郵件,或整合式回應工具傳送給資安團隊。比方說,有人在未經授權的情況下存取關鍵的資料庫,或者網路流量異常暴增而可能意味著遭到阻斷服務 (DoS) 攻擊時,就會觸發警報。判斷警報的優先次序,可協助資安人員優先處理最嚴重的問題,改善回應效率。
產生報表
SIEM 平台可產生完整的報表來提供資安事件、趨勢與事件回應的摘要。這些報告對於了解企業的長期資安態勢、達成合規要求,以及提供可化為行動的洞見來改善未來的防禦至關重要。除此之外,還可包含資安事件管理的工作流程,詳細說明資安事件發生之後該如何一步步控制損害、根除問題,並從中復原。報告通常可當成內部檢討與外部稽核的重要文件。
SIEM 工具
SIEM 工具會即時蒐集和分析來自企業端點的大量資料,協助資安團隊偵測及攔截資安威脅。您需要定義一些規則來協助這些團隊並產生警報。
SIEM 工具也有助於:
- 蒐集事件記錄檔來彙整來自眾多來源的資料。
- 為交叉關聯不同記錄檔或來源的事件所得到的原始資料添加情報。
- 將資安警報自動化,絕大多數 SIEM 平台都能讓您設定直接的通知。
SIEM 和資安自動化協同及回應 (SOAR) 工具在將資安事件資料集中、並將回應工作流程自動化方面,發揮了重要作用。儘管這些工具相當實用,但卻必須面臨重大挑戰:
- 資料氾濫:SIEM 平台通常會產生過多的警報通知,讓 SOC 團隊疲於奔命,導致警報疲勞。
- 整合複雜性:SOAR 非常仰賴與各種工具的無縫整合,但這個過程往往既複雜又耗費時間。
- 營運孤島:這兩種技術都需要大量的手動作業來交叉關聯數據並協調回應,導致事件回應的效率不足。
XDR vs. SIEM
XDR 就跟 SIEM 一樣,是一種改善資安與效率的工具,不過 SIEM 與 XDR 之間存在著以下差異:
資料蒐集目標與情境化
- SIEM:蒐集、管理及分析網路或系統內產生的「事件與記錄檔」,其分析主要是根據記錄檔資料來偵測異常活動與攻擊徵兆。
- XDR:蒐集並分析來自各種資料來源 (包括端點、網路及雲端) 的「監測資料」。它不僅會蒐集資安事件,還會蒐集端點的檔案與處理程序資訊、網路流量資料等等。
分析與偵測
- SIEM:根據預先定義的規則和演算法來分析蒐集到的資料。它能偵測異常活動或攻擊徵兆,並產生適當的警報和警告。有些產品有能力在機械記錄檔之間執行交叉關聯分析。然而,要判斷某個事件是否意味著網路攻擊,仍仰賴操作人員的「人類直覺」。
- XDR:根據提供 XDR 的網路資安廠商所擁有的威脅情報 (惡意程式、惡意網站、惡意電子郵件、網路攻擊所使用的攻擊方法等等) 來判斷蒐集到的監測資料是否為網路攻擊的徵兆。
事件回應與自動化
- SIEM:提供資安事件的基本資訊與程序來輔助事件回應,SIEM 的主要重點在於產生警報與執行監控,實際的回應程序可能需要搭配其他的產品。
- XDR:提供自動化與協調功能來支援資安事件的快速回應,可即時分析偵測到的威脅並提供回應指引。
對來源的依賴
- SIEM 解決方案的價值與其取得資訊的來源直接相關。若其涵蓋範圍存在缺口,通常要很晚才發現,甚至根本不會發現。
- 所以,當我們在比較 SIEM 與 XDR 時,也應該知道一件事:在大多數情況下,並非兩者只能選擇其一。更常見的情況是 XDR 和 SIEM 同時並存,因為偵測及回應的記錄檔可以讓 SIEM 發揮最大價值。
- 由於 SIEM 解決方案得仰賴第三方廠商產生高品質的資訊,所以經常出現兩者併用的情況,由 XDR 解決方案先對資料進行交叉關聯之後再傳給 SIEM。
SIEM 的效益
記錄檔可集中管理
導入 SIEM 可讓記錄檔集中管理,如此就不需個別管理每一台裝置的記錄檔,而且還能減少管理上的錯誤和遺漏。此外,SIEM 還具備將蒐集到的記錄檔正規化的功能,並將整個 IT 環境視覺化,提供高效率、全方位的管理。
提早偵測資安事件與威脅
SIEM 可集中管理記錄檔並即時執行交叉關聯分析,進而提早偵測事件和威脅。當發現一個威脅徵兆或事件時,就能迅速做出回應,盡可能避免損害擴大。
防範來自內部的詐騙
不是只有外部網路攻擊才會引起資安事件,預防員工做出不當的行為,對企業來說也是一項重要的資安措施。導入 SIEM,您就能偵測員工的可疑行為以及未經授權的存取。此外,SIEM 也能有效防範來自內部的詐騙。
消除資安人員短缺的問題
採用 SIEM 能讓您簡化資安營運,將一系列的工作自動化 (記錄檔彙整、正規化以及分析等等),進而減少企業資安措施所需的資源。雖然操作 SIEM 需要一定程度的資安知識,但導入這項技術,能讓您比以往更有效率地實施資安措施。
SIEM 在 SOC 當中扮演的角色
SIEM 主要是用於資安營運中心 (SOC),也就是負責監控企業內部資安情況以掌握是否發生網路攻擊與資安事件的單位。SIEM 對資安人員來說是一項很重要的工具,它能透過以下方式來支援高效率的資安作業。
透過整合式記錄檔管理來發出警報通知
SIEM 可整合管理各種記錄檔,偵測異常活動或攻擊的徵兆,並且警示資安人員。例如,除了偵測惡意程式和其他未經授權的行為之外,SIEM 還會在偵測到可疑事件時通知您,例如多次嘗試登入存放關鍵資訊的伺服器,或是使用未經公司准許的雲端服務。
事件調查及回應
SIEM 可根據未經授權事件或可疑事件來調查這是否為網路攻擊 (抑或是正常行為、存取錯誤等等)。如果判定是網路攻擊,就能追蹤攻擊的途徑和範圍 (包括這是來自外部或內部的網路攻擊),進而提供事件回應所需的線索。
產生報表
從中長期的角度將您企業資安政策的違規情況以及網路攻擊的影響視覺化,然後產生一份報表。藉由將企業在一個月、三個月、六個月,以及一年之內等等所遭遇的網路攻擊類型視覺化,企業就能思考接下來該採取哪些資安措施。
前面已提到 SIEM 的主要應用情境,但資安人員能獲得的最大效益其實是能夠快速將來自多種不同產品的事件與記錄檔資訊視覺化,並串連到接下來的行動。
SIEM 的挑戰
雖然 SIEM 能為 SOC 和其他部門帶來效益,但也帶來了以下挑戰:
複雜的建置與組態設定
SIEM 是一套複雜的系統,需要時間和專業知識來建置和設定。資安人員必須不斷努力整合裝置記錄檔和資料來源、設定規則,並且調整警報。
處理大量的記錄檔資料
有大量的記錄檔資料必須處理和分析,因此需要適當的硬體和儲存資源來應付這大量的資料。此外,還必須管理記錄檔資料的保留期限以及資料的壓縮/減量。
需不斷處理誤判與警報氾濫
SIEM 會根據預先定義的規則和模式來產生警報,然而誤判情況 (偽陽或偽陰) 卻在所難免。視組態設定而定,企業可能會收到大量的警報,因此需要持續調整警報並改進使用者端的規則。
偵測到事件之後的回應
當即時偵測到事件時,企業必須確認它是否為真正的資安事件,並加以回應。如果資安人員沒有事先調整好警報的設定,很可能得經常處理各種大大小小的警報,因而降低了營運效率。
技能與資源的要求
SIEM 的妥善建置和營運都需要資安分析與記錄檔管理技能,此外還需要適當的資源 (人力、硬體及軟體)。
哪裡可以取得有關 SIEM 的協助?
正如您所見,SIEM 不應該單獨存在。Trend Vision One™ Security Operations (SecOps) 能交叉關聯來自端點、伺服器、電子郵件、身分、行動裝置、資料、雲端工作負載、OT 以及網路的事件與全球威脅情報來源,整合 XDR、代理式 SIEM 以及 SOAR 來提供完整的情境。
SecOps 可協助您找出最高優先次序、可化為行動的警報,同時將複雜的回應動作自動化。您的團隊就能花費更少時間在繁瑣、重複性的工作上,有更多時間可以專注於高價值的主動性資安工作,例如:威脅追蹤與改善偵測。
Joe Lee 是趨勢科技產品管理副總裁,負責掌管企業電子郵件與網路防護解決方案的全球策略與產品開發。
常見問題:
資安事件管理是在做些什麼?
資安事件管理 (SIEM) 負責蒐集、分析及交叉關聯來自企業所有 IT 系統的資安資料,進而偵測威脅、支援事件回應,並確保合規。
SIEM 所扮演的三大角色是什麼?
SIEM 所扮演的三大角色是:蒐集並集中管理資安資料、偵測及警示潛在威脅,以及支援事件回應與合規報表。
資安事件管理交叉關聯規則的目的是什麼?
資安事件管理 (SIEM) 交叉關聯規則的目的,是要攔截其他威脅偵測方法可能遺漏的複雜網路資安威脅。
「資安資訊管理」與「資安事件管理」有何差別?
資安資訊管理 (SIM) 會蒐集並分析長期記錄檔資料來達成合規與報表的要求。而資安事件管理 (SEM) 的重點則是迅速偵測及回應威脅。
SIEM 工具的範例有哪些?
資安事件管理 (SIEM) 當中經常用到的工具範例有:資料蒐集工具、搜尋節點、索引與彙整點,以及資安警報。
SIEM 的三大類型為何?
資安事件管理 (SIEM) 系統的三種主要類型為:企業內 SIEM、雲端 SIEM,以及混合式 SIEM。
怎樣的系統可以被視為是 SIEM?
任何用來分析 IT 記錄檔以便偵測及回應可能的網路資安事件的網路資安服務或解決方案,都可算是資安事件管理 (SIEM) 系統。
防火牆與 SIEM 有何差別?
防火牆用來阻止惡意攻擊滲透 IT 系統,資安事件管理 (SIEM) 是一種更為廣泛的解決方案,能偵測系統內部的資安威脅。
SIEM 軟體是什麼?
資安事件管理 (SIEM) 軟體是一種用來分析 IT 記錄檔的資料以偵測及回應資安威脅的網路資安工具。
SIEM 和 SOC 有何差別?
資安營運中心 (SOC) 是由網路資安專家所組成的團隊,資安事件管理 (SIEM) 是 SOC 用來偵測及防範網路攻擊的工具。