2017.W39 - SIEM (資安事件管理平台) - 資安

2017.W39 - SIEM (資安事件管理平台)
> 躺平的時候突然驚醒 原來昨天忘記做重要的事情了

## 前言 ##
Log 很重要 Log 很重要 Log 很重要

因為很重要 所以要說三次

有多重要？

駭客做完事情之後都會清 Log 所以 Log 保全很重要



## 內容 ##
不少企業級的服務都會有相對應的日誌管理 (Log Mamager) 系統

用來記錄軟硬體上的各種操作記錄

在很多需要稽核的場景中 Log 的保存是一個很重要的工作

像是一個檔案被惡意的刪除 檔案存取的 Log 就可以用來舉證

到底是 1) 檔案系統 (File System) 不穩定 2) 軟體的 Bug 還是 3) 惡意攻擊者

SIEM [0] 則是更加進階的功能與服務

他提供即時分析 (real-time analysis) 相關的資安事件並且提供相關警訊




在 LM 階段 SIEM 可以收集到各種安全相關的 Log

而 SIEM 則可以利用紀錄整合的能力 深度分析潛在的攻擊威脅

像是一個惡意攻擊者

1. 隨機挑選內網的機器並且嘗試低限度攻擊
2. 針對有明顯漏洞的機器進行攻擊

在 LM 階段 如果無法整合所有機器上的存取紀錄 就無法及早阻擋攻擊

而 SIEM 則可以收集各種系統日誌 整理、判斷、分析其中潛在的攻擊模式



～ 以下開放原廠來推銷產品～


[0]: https://cs.wikipedia.org/wiki/SIEM

--