SIEM QRadar

  • 利用SIEM技術來識別未授權的存取

    對於暴露在Internet上的資訊,許多組織都有密碼驗證系統。然而最近的研究表明,憑證濫用、可猜測密碼和強力攻擊仍然是危害組織網路的行為中最常用的方法。安全資訊與事件管理(SIEM)技術可以幫助企業的昂貴資料避免因為可猜測密碼或濫用憑證的行為被盜。每個組織,特別是那些擁有面向Internet的IT資產並支援密碼認證(如VPN設備、Web伺服器、SSH和其它遠端存取)的組織,應該充分利用他們的SIEM技術來幫助企業防禦未授權的存取。

      自動登入跟蹤可以幫助發現來自內部和外部的惡意活動。SIEM是唯一適合自動化這個艱巨任務的技術。它可以收集和分析來自多個系統的成功和失敗的記錄,以此確定攻擊者何時接管帳戶憑證。

      SIEM用來監視未經授權的存取嘗試所需要的資料相對簡單。系統需要收集所有平臺的登入資訊,包括認證記錄。重要的是,所有系統、設備和應用中無論是成功還是失敗的登入資訊都需要收集。登入失敗意味著安全系統在起防禦作用,當然,登入成功就意味著現在有人進入了你的系統。在這個密碼被盜、快速CPU破解加密檔的時代,登入成功並不等同於是“授權存取”。

      相關規則和警報

      一個SIEM相關規則可以用來使部分系統登入和身份驗證檢測過程自動化。以下是確保存取監控有效的相關規則的例子:

      當攻擊者試圖在一個系統中使用所有憑證時,這是一個單一系統攻擊

      幾次登入失敗之後,突然登入成功

      身份驗證掃描攻擊(在所有系統嘗試使用同一個憑證)

      在不尋常的時間登入成功(對於使用者或系統來說)

      在不尋常的地點登入成功(對於使用者或系統來說)

      視圖和報告

      常規報告和指示性視圖對於這個案例很有用,如下:

      重要系統登入失敗

      登入失敗/成功率變高趨勢

      登入失敗趨勢

      使用者在多個系統登入失敗

      注意,無論是基於規則或基線,報告並不能代替警告。在大多數情況下,當一個人審查報告,發現一些新的、不尋常或可疑的事物時,惡意活動就被發現了。審查報告的頻率可以從每天(這是理想化的,並且一些外部要求,如PCI DSS,也規定如此)到每週,甚至每月。只要你的組織滿意“檢測差距”(即事件發生和事件在審查報告過程中被發現之間的時間差距),那麼這個頻率就是可以接受的。

      當攻擊者猜測到密碼時,SIEM技術可以自動收集資料並發送警告。然而,組織必須確保SIEM技術支援有效的事件回應流程和程式(再次強調,這些流程和程式應該要實際存在!)。在某些自動回應情況下,無論是透過人工分析和修補都需要發送警告,如一個透過DLP、其它防火牆或資料洩露產品的整合回應系統。想要發送恰當的警告,那麼SIEM系統需要非常瞭解正常的登入日誌基線和典型活動,這不僅僅要求實現SIEM技術,還需要配備一個熟練的SIEM技術操作者,熟練的操作者對於整個系統高效工作非常有用。除了部署SIEM技術,收集登入日誌、運行報告和使用相關觸發警報,操作程式還需要一個有效地伺服器存取監控過程。例如,當系統管理員發現同一時間,用戶在兩個不同地方登入時,管理員應該做什麼?管理員是否有權利終止會話(Session)、禁用帳戶、與用戶管理器溝通並採取措施?可操作程式可以讓這些動作重複化,快速且有效,也確保持續的跟蹤和改進。

  • IBM:以安全取證產品幫助客戶保護關鍵資料

    作者:來源:ZDNet安全頻道| 2014年02月28日

    IBM(NYSE:IBM)近期宣布推出一款強大的安全軟體 -- IBM Security QRadar Incident Forensics,旨在幫助企業診斷其關鍵資料和企業網路,免遭複雜外部攻擊及未經授權的內部活動影響。 

    自2010年起,IBM X-Force Trend & Risk Report已針對持續發生的網路攻擊做出報警率報告。隨著資料外洩對企業的持續影響,如何減少檢測時間、在威脅未對業務造成顯著影響之前就對其進行調查的需求變得越發重要。網路犯罪分子通常在實際資料被盜用的數週或數月前,就已經能夠訪問企業的網路。據即將在近期公佈的IBM X-Force威脅情報季度報告(IBM X-Force Threat Intelligence Quarterly) 顯示,2013年,當企業戰略目標遭受攻擊時,有超過5億條關於個人識別訊息的記錄被同時洩露出去。透過早期檢測惡意活動,企業可以更迅速地制止或減少丟失資料的可能。 

    IBM Security QRadar Incident Forensics是一款全新產品,作為IBM QRadar Security Intelligence Platform的一個模組,可幫助安全團隊反推複雜網路罪犯的每一步行動。透過將取證抓取和搜索模組增加到QRadar安全智能平台上, 該產品可進一步提升客戶舉證能力,使客戶可以更高效地調查安全事件,並且了解任何可疑活動所帶來的影響。QRadar Incident Forensics提供的網路活動記錄能幫助企業追踪可疑行動,並隨著可疑行動逐漸升級發送提示訊息及取證搜索功能。 

    IBM安全系統部總經理Brendan Hanniga表示:“每一次資料外洩都是一場與時間的競賽。這個全新取證模組進一步擴展了IBM安全情報能力的廣度和深度。QRadar Incident Forensics可進一步幫助IT人員阻止新威脅的出現,同時更好地確認所有入侵帶來的影響。” 

    IBM Security QRadar Incident Forensics將幫助安全團隊所有人員快速、高效地研究安全事件,並對來自網路威脅情報如X-Force等已知攻擊模式相關的情況進行測試。在該功能的指導下,安全團隊不再需要花費大量時間,在海量資料上搜索沒有直接價值的訊息。此外透過QRadar,安全分析師還可以迅速收集與事件相關的安全資料。 

    該產品只是IBM擴大其安全情報的一個新開端。2014年第二季度,IBM還將推出幫助企業更好了解威脅趨勢的新技術。IBM Advanced Cyberthreat Intelligence Service融合了IBM自身與戰略夥伴針對威脅可見性的研究,可為客戶提供關於威脅趨勢、網路犯罪分子攻擊目標、攻擊工具、攻擊策略和攻擊手法等相關的深入洞察。 

    此外,IBM's Active Threat Assessment會對持續出現的威脅情報和威脅可見性進行補充說明。透過利用技術評估能力和業界最佳工具,該功能可以識別以前未察覺且活躍的威脅,同時還可在企業環境中模擬災害性漏洞威脅。 

    做為IBM QRadar 安全智能平台的一個整合模組,IBM Security QRadar Incident Forensics計劃在2014年第二季度上市。此外,作為測試項目的一部分,IBM已允許現有的QRadar 客戶測試該解決方案。

  • 利用SIEM進行高級攻擊檢測的最佳實踐

    作者:來源:ZDNet安全頻道

    過去幾年裡,安全資訊和事件管理(SIEM)技術一直備受指責。其複雜性和對專業服務的過度需求招致了很多抱怨,很多企業都對其部署SIEM進行安全監控的經歷感到失望。

    但那是以前,現在已經不同。公平地說,技術已經不再是企業難以成功部署SIEM的原因。領先的SIEM平台已經經歷了“大腦移植”,遷移到特定目的的數據存儲,這些數據存儲能夠提供足夠的性能和規模。曾經笨重且不可靠的系統連接器和日誌聚合器現在更有效,使數據收集變得相對簡單。

    但SIEM仍然面臨著很多困難,所有依賴基於規則的政策的技術都是如此。SIEM必須知道它​​要尋找什麼。神奇的SIEM產品並不會自動地發現利用新方法或罕見漏洞的攻擊。

    要知道,SIEM在攻擊檢測中發揮著重要作用。但要成功檢測出已知甚至是未知攻擊類型,企業必須建立一套策略來尋找其環境中的攻擊情況和指標,並持續監控這些情況。

    那麼,到底該如何建立這種策略呢?當然,等待它自己出現並不現實。下面我們看看建立有效SIEM政策的簡單過程。

    在合理範圍內收集所有數據

    如果沒有收集足夠的數據,SIEM就無法進行全面分析。所以第一步是收集正確的數據。這意味著什麼呢?先從明顯的數據開始,例如網絡、安全和服務器設備日誌。這些數據很多,且容易獲得。接著,從應用基礎設施(資料庫、應用程式)獲取日誌資訊。當然,SIEM還需要各種其它數據來源,包括身份數據、網絡流量、漏洞掃描結果以及配置數據。

    對於SIEM系統而言,數據越多越好。如果可以的話,收集所有數據。如果需要對收集的數據進行優先排序,應該先考慮從最重要的技術資產(即受保護環境中的設備以及處理受監管數據的設備)收集的數據。另外還要注意處理關鍵知識產權的系統。

    構建規則

    建立SIEM規則庫是一個重複不斷的過程。這意味著這個過程相對較慢,需要長期的細化或調整。很多人在開始這個過程時出現“分析癱瘓”,因為有數百萬種可能建立的規則。因此,我們建議首先要明確應該被定義的規則。

    在建模過程中,從重要資產開始。將你自己放在攻擊者的角色,並開始監視你會想竊取的數據。

    • 模擬威脅:如果你是攻擊者,你會如何入侵和竊取數據呢?模擬這種威脅,然後在SIEM工具中列舉這些攻擊向量。不要忘了滲出,因為這為企業在數據被竊前提供了檢測攻擊的另一個機會。用現實的態度進行這個過程,因為威脅模型並不完全準確,它可能是不完整或者不全面的。最重要的是簡單地開始威脅建模過程,這是很好的開端。
    • 完善規則:對你自己發動攻擊。有很多現成的工具可用來攻擊你的環境,你可以試試。然後監控你的SIEM的活動。它是否發出正確的警報,是否在適當的時間?警報是否提供足夠的資訊來協助響應者弄清楚發生了什麼並採取行動?如果答案是否定的,請回到第一步,完善規則。
    • 優化閥值:隨著時間的推移,你會逐漸了解SIEM警報是否過於頻繁或者不足夠。根據這一點,適當調整閥值。這是一個平衡,如果閥值過於緊,警報會減少,但這更容易錯過攻擊。反之亦然,如果警報過於頻繁的話。
    • 清洗、漂洗、重複:在針對特定攻擊的規則集部署和優化後,移動到下一個攻擊向量,在建模每種威脅時,重複這個過程。

    順便說一句,這個過程永遠不會結束。總會有新攻擊需要建模,新指標需要監測。企業必須密切關注安全新聞來了解哪種攻擊很流行。最新威脅研究報告(例如Mandiant公司的APT1報告)包含明確的指標,每個企業都可以(而且應該)考慮將這些指標加入其SIEM。有了威脅情報和全面的數據收集環境,你就找不到藉口了:現在是時候開始尋找不斷湧現的高級攻擊了。

    也請記住,隨著時間的推移,你需要添加新的數據類型到SIEM,這將需要重新考慮所有的SIEM規則。例如,如果捕捉網絡數據包流量並發送到SIEM,這將會提供大量可供分析的新資訊。如果能夠查看實際網絡流量,這會給查找某種攻擊帶來什麼影響?我們可以添加哪些其他規則來更快地檢測攻擊?這些都不是瑣碎的問題。每次添加(或刪除)一種數據來源,檢查SIEM規則可以幫助提高攻擊檢測速度。

    這個過程最重要的是保持一致性。SIEM並不是“一次設置,終身無憂”的技術。它需要悉心的照顧和對待--不只是現在,而是它的整個生命週期。如果你對此有任何僥倖心理,你最終會很失望。

  • 後個資法時代之Log安全稽核記錄管理

    後個資法時代之Log安全稽核記錄管理

    作者:余俊賢 -07/12/2010

     

    不論是資訊環境或是實體環境,企業內有太多會產生稽核軌跡(Audit Trial)與記錄(Log)的地方,從用戶端到對外服務的網站、從外部防火牆、入侵偵測系統到內部網路節點、從應用系統、網站、電子郵件服務、上網記錄到即時通訊等,甚至是語音電話系統。幾乎是所有企業營運過程中的環節都可以產生所謂的稽核軌跡與記錄。因此,Log的管理便是一項很龐大的工程,也因應而產生了所謂的SIM/SEM以及幫人代管的Security Managed Service 或安全監控中心SOC

     

    Log管理需求的轉變

     

    稽核記錄管理(以下簡稱Log管理),有幾點必須要考量的問題,包含記錄的有效性及正確性、涵蓋範圍、保存期間,在此之前必須回歸到產生Log 的原始用途以及企業營運與Log之間的相關性及必要性。以往,Log是分散於各處,以不同的形式(大多是電腦檔案)儲存,不到必要時候,很少人會跟視力與時間過不去而經常翻閱Log檔案,僅在於發生一些狀況,需要知道來龍去脈時,Log就會變成鐵一般的證據來源(證據力問題不是本文重點,未來有機會再討論之),用來找出問題根源,還原事件始末並找到根本原因;或者找出異常的行為,防範於未然。現在個資法修正三讀後,Log檔案有了新的身分及重要性,先快速看過以下的條文內容節錄以及Log稽核記錄管理相關探討,再來探討如何在後個資法時代做好Log安全稽核記錄管理。

     

    Log管理實務三步驟

     

    第一步、清查Log的發源地與確認內容之完整與實用性

     

    一般常見的稽核檔案內容欄位有時間、動作主體、動作受體、動作描述等基本的必要項目。而更進一步則可以加上動作本身的參考來源(Reference)與動作本身所帶的內容資訊(Content)。像是網頁存取的稽核記錄則包含日期、時間、客戶端IP位址、使用者名稱、服務名稱、伺服器IP位址、伺服器連接埠、方法、URI  (cs-uri-stem)URI查詢(cs-uri-query)Http狀態、Win32 狀態、送出位元組、接收到的位元組、花費時間、通訊協定版本、Host、使用者代理伺服器 (cs(User-Agent))Cookie內容、參考來源,總計近20項,也就是說一個完整的動作就會有一筆20個欄位的Log記錄,所以一個流量夠大的電子商務網站,其網站一天的稽核記錄可能高達數GB之多,當然其Log記錄項目是可以調整的,僅記錄您所需要的項目,就可以減少其容量的暴增。

     

    這只是在企業環境中,一種網站服務的Log記錄而已,而企業處理個資的接觸流程絕對不僅於網站本身、資料庫、內部應用系統、用戶端電腦,所以在整個過程中都有可能有著Log檔案的產生。所以您首先會遇到的第一個問題就是,Log檔案在哪裡、以甚麼形式儲存、內容是否足以涵蓋完整的一個處理個資的行為、這樣的記錄會被系統保存多久,是否有集中存放管理之?

     

    另外,從內部資料流動的方向性來看,可以簡要分為內對內、內對外。因此在各種稽核記錄的產生與重要性來說,兩種方向模式的Log個扮演著不同的角色,可以從中看出的活動軌跡亦不同。以電子郵件為例,包含行為(action)的內容 (content) 才有足夠的實用性與完整性;而上網記錄 (web proxy log)可能就不需要把網頁整個儲存下來,但是可以透過內容過濾機制記錄下可能經由 web 網頁介面傳輸資料的內容,而即時通訊IM內容過濾亦是。所以,除了知道Log在哪邊還得要確定這樣的內容是否足以滿足(2)中的各項需求。

     

    您可以做出以下的表格,協助您清查Log的發源地與確認內容之完整與實用性。

     

    第二步、關鍵Log記錄的保護與管理

     

    當Log記錄的各種來源與記錄需求確認後,下一步便是對於關鍵Log記錄的保護與管理。表3是一般常見的Log來源,讓各位讀者了解,您最後會發現太多的Log記錄反而是造成企業資訊垃圾的累積,因此針對個資安全為核心,會有以下幾種關鍵的記錄來源:

     

    身分鑑別與授權管理相關(IAM):舉凡系統帳號管理、使用之記錄,權限變更之記錄等。

     

    資料本體安全相關 (data oriented):重要資料內容所流經之相關資訊節點,包含外部網站、電子郵件、資料庫、內部應用系統、資料備份、印表機到對外的資訊服務與通訊管道等。

     

    資訊環境相關(IT security):實體安全、端點安全管理、USB管理以及各種安全設備,主要是發現對個資所處環境之危害能夠有記錄可循,很多非故意、非過失的外力原因便是由資訊環境中發酵。

     

    流程相關:這是廣義的記錄,對於上述項目之管理活動、政策、內外稽核,都可以看出企業對個資管理與保護的誠意。

     

    修正後的個資法條文中,要求「訂定個人資料檔案安全維護計畫」,就一個完整的個人資料檔案安全維護計畫來看,除了各種必要的安全控制措施之外,其中應該包含Log記錄管理與保護機制。有了這樣的保護機制,方可驗證安全維護計畫的執行狀況,再者若發生破壞或違反安全維護計畫之事件,將可提供一定程度的證明其無故意或無過失的狀況。通常針對Log記錄的管理方向,會朝著集中化管理、自動化管理為目標,一者Log管理可透過自動集中化減少人為介入的人力資源並且避免人力技術導致其正確性遭竄改而破壞;二者可透過集中管理統合關聯其中所隱含的訊息,若有可疑之行為亦可及早從中發掘出。

     

    第三步、檢視Log管理規劃是否能因應未來的挑戰

     

    前面提到Log記錄的數量多、容量大,而且因應法規的要求,未來保存的期間肯定會加長,這將導致企業面臨新的Log記錄管理挑戰,容量太大、取用困難,甚至需要某一些時間點的資訊時,無法在有限時間中提供充足的分析,除了企業本身外,檢調案件調查、電腦鑑識與法律活動中,可能也會投入大量時間成本在面對海量資料的分析上。因此,因應而生的安全資訊與事件管理(SIEM)、電子化蒐證(e-discovery)都在試圖解決這樣的問題。

     

    同時,也應該要避免一些常見的刻板印象與錯誤認知,以免錯誤的認知導致規劃不足或方向錯誤。

     

    迷思1:光是 Log 記錄管理就足以確保個資安全與善盡管理之責任?

     

    錯,Log 記錄管理並無法完全確保個資安全,資料安全是整個生命週期相關的環節都需要緊緊相扣,包含人員的資安意識與能力訓練。

     

    迷思2SIEM可以提供所有你需要的log管理,搜尋 Log記錄很簡單迅速?

     

    錯,產品是死的,正確的導入與規劃才是關鍵。

     

    這一類的錯誤認知就像認為SOC資安監控中心一定可以偵測到威脅的發生,往往發現事件時都是從意想不到的小地方,偵測不到的才是最危險的。避免陷入認知上的錯誤,了解目前與未來對於Log記錄管理的規畫目標,以及因應可能面對的挑戰,才能在有限的資源下發揮最大的成效。

     

    本文作者為資安分析師

     

    文章來源:資安人

     

  • 防禦APT攻擊 從弱點生命週期管理開始

    防禦APT攻擊 從弱點生命週期管理開始

    作者:金天威 -02/16/2014

    APT攻擊引起企業對弱點管理的重視,傳統定期掃描弱點的作法已不足夠,企業必須要有更積極的作法,結合流程概念與SIEM資安事件管理平台,進行弱點的生命週期管理,確保弱點可以被有效解決。資安攻擊日益激烈,無論是攻擊手法或動機都與過往有很大的不同,尤其近年來,進階持續性滲透攻擊(Advanced Persistent Threat; APT)大行其道,針對特定企業量身打造攻擊手法,有組織且持續地進行攻擊,不僅成功率高且不易被察覺,對企業資安造成很大的威脅。 

    根據過往APT攻擊事件來看,所謂APT攻擊通常按照以下流程在進行:駭客組織首先針對目標企業內特定人士(通常是具有權限者),設計一封夾帶惡意附件的社交工程郵件,郵件內容多為長官交辦事項、開會通知...等,由於信件內容乃是針對收件者客製化設計,因此很容易取得收件者信任,在不知情狀況下開啟附件,進而觸發應用程式或系統本身的弱點,自動安裝後門程式與建立C&C通道,開始在內部擴散並竊取資料。

    結合業務流桯概念從弱點掃描進化至生命週期管理

    由於APT攻擊是經過長期規劃且結合各種不同手法,因此很難靠單一解決方案去抵擋或防禦,而且市場上也沒有這樣的解決方案,比較可行的方式是從管理面著手,例如:加強員工社交工程演練、定期更新修補程式、弱點管理、定期檢視Log...等。

    其中,弱點管理可說是效果最顯著的一種,因為APT社交郵件中的惡意程式,多半根據系統或應用程式弱點來設計,倘若企業能有效管理弱點,自然能降低APT攻擊成功的機率。而且,根據IBMQ1 Labs調查,企業受到資安攻擊的原因有很多,其中一個就是未解決基礎架構中的主要弱點,由此可見弱點管理之於資安防護的重要性。 

    只不過,目前已經做到弱點管理的企業並不多,大多只是在系統/AP廠商發佈更新時跟著上patch,或是定期透過弱點掃描工具檢視內部存在哪些弱點,這種作法雖然可以發現弱點,卻無法確保弱點是否被解決,在APT強烈威脅下,企業弱點管理應該要有更積極的作法,亦即結合流程概念與資安事件管理平台(Security Information and Event Management; SIEM),進行弱點的生命週期管理,確保弱點可以被有效解決。

    所謂弱點生命週期管理的意思是,將內部現有弱點整合至SIEM平台中,透過SIEM進行管理,在此要做的不單單只是知道哪個系統或應用程式有新的弱點,必須進一步結合流程概念,從弱點的發現到補強進行完整的生命週期管理,換句話說,當企業發現一個新的弱點時,SIEM會自動指派給相關負責人,並訂出處理期限、持續追蹤處理進度,直到確認弱點已被補強才會結案。

    對弱點做生命週期管理,意指涵蓋了弱點產生、指派、跟蹤/追蹤、關閉等管理程序,而不單單只是把弱點匯入SIEM平台裡,由於SIEM原本就具備滙整不同資安系統的能力,因此,資訊整合問題不大,整合之後該如何建立管理機制,才是真正的重點,也是最難的地方。究竟,企業在建立弱點生命週期管理機制時,可能會遇到哪些問題?

    建立弱點管理機制的2大難題

    1.如何將弱點與資產設備相結合: 
    由於弱點數量多、資產訊息龐大,要將成千上萬筆的資料mapping起來,對企業來說,著實是個挑戰。建議企業先從以下兩個面向著手,

    (1)重要元件或是IT資產設備,如核心網路交換機、重要主機...等;

    (2)特殊使用者,如特權帳號、資料庫管理者(DBA)、超級使用者(super user)...等,

    先從這兩個面向做管理的好處是效果顯著,且能符合法規要求,之後可再擴及到其他資產設備上。 

    2.
    如何建立評估弱點重要性的標準: 
    SIEM
    平台可以自動指派弱點給特定負責人,但是在此之前,企業必須先建立弱點重要性的評估標準,才能讓SIEM平台以此為依據決定處理時效性,舉例來說,資安風險高的弱點應該在3日內補強,中度風險的弱點則在4日內處理完畢即可,至於風險較低的弱點,處理時限可放寬在5日以內,倘若負責人沒有在期限內補強弱點,則SIEM平台會自動通知相關負責主管,了解問題所在。 

    弱點重要性的評估標準,除了弱點所造成資安風險的高低之外,還可以搭配資產設備本身重要性去做評估,如果設備很重要則需立即處理,若比較不重要的話,則可暫時忽略或放寬處理時限。至於該如何判斷弱點所造成資安風險是高或低,通常有以下幾個參考因素: 
    (1)IT
    服務廠商對自家應用程式/系統漏洞所訂定的危險等級; 
    (2)
    根據弱點來源做判斷,弱點來源分成硬體和軟體兩種; 
    (3)IT
    服務廠商有沒有提供更新程式; 
    (4)
    根據攻擊手法與應用程式類型來判斷弱點的重要性; 
    (5)
    共通弱點評估系統(Common Vulnerability Scoring System; CVSS)所訂的標準。CVSS是由美國國家基礎建設諮詢委員會(NIAC)委託製作,其使用標準的數學方程式來判定威脅嚴重性,此外,弱點能否被遠端利用、攻擊者是否需要登入才能利用此一弱點...等,也都是評估因素之一。

    SIEM整合需求改變創造資訊最大附加價值  

    資安攻擊手法變得越來越精密複雜,惟有提昇安全能見度,才能及早預防或即時處理資安事件,這也導致SIEM變得益發重要,從近年來企業對SIEM整合需求的轉變便可看出端倪,不僅整合項目變多,整合內容也不同於以往,除了資訊整合之外,更希望整合後可以創造不同應用模式,上述弱點生命週期管理便是最好的例子。 

    如果以功能屬性來分類,SIEM為事中和事後追查的工具,而弱點掃描則是事前管理工具,兩者的整合模式就傳統作法來看,頂多只能做到資訊滙整而已,但只要在整合過程中,納入更多資訊(如:資產設備、技術負責人...等)與業務流程概念,就能建立弱點從處理、註記、關閉、到產出報告(根據當下趨勢或法規要求,顯示該弱點有沒有被處理)的管理程序,為資訊應用創造更大的附加價值。 

    當然,SIEM的加值應用不僅於此,透過巨量資料分析技術找出有價值的資訊,才是真正重點所在。以網路銀行交易為例,其從使用者端的IE瀏覽器,經過網路到銀行端的後台系統,處理完畢後再經由網路回到使用者端的IE瀏覽器,這中間可能經過10幾個不同設備,倘若其中一個環節出現異常,IT人員必須逐一追查,花費很長時間才能找出問題所在,但是透過SIEM平台可以把這些片段訊息歸類與分析,從中找出是硬體、軟體、網路封包...等哪一個環節有問題。 

    要達到此目的,SIEM平台必須具備3個條件:

    (1)資料搜集能力

    (2)強大的分析引擎

    (3)提供有用資料。

    雖然SIEM可以搜集、整合的內容很多很廣,但大體而言不脫以下5個元件:

    (1)使用者行為模式

    (2)硬體事件源

    (3)資料庫事件

    (4)資產配置

    (5)網路訊息

    這些元件在與SIEM平台整合後將會形成一個巨量資料庫,讓企業可以做進一步的加值應用,從而提昇將資安風險量化的能力,有效做好防禦,以因應現今益發猛烈的資安威脅。

    (本文作者現為IBM軟體事業處業務專業經理)

    文章來源:資安人

     

    產品資訊: QRadar Vulnerability Manager