ตอนที่ 1 รู้จักระบบ SIEM เพื่อจัดการและตรวจสอบเหตุการณ์ของระบบเครือข่าย

ตอนที่ 1 รู้จักระบบ SIEM เพื่อจัดการและตรวจสอบเหตุการณ์ของระบบเครือข่าย

ในบทแรกนี้ เรามาทำความรู้จักกันก่อนว่าข้อมูลด้านความปลอดภัย (Security Information) และการจัดการเหตุการณ์ (Event Management) คืออะไร และ FortiSIEM มีความแตกต่างจากระบบ SIEM อื่นๆ อย่างไร รวมถึงทำความรู้จักกับสถาปัตยกรรมของ FortiSIEM และการกำหนดค่าเริ่มต้นบางอย่างที่สำคัญ

ระบบ SIEM คืออะไร?

SIEM เป็นคำย่อที่ถูกตั้งขึ้นมาโดย Mark Nicolett จากศูนย์วิจัย Gartner โดยมาจากคำผสมของ 2 การทำงานหลักที่ใช้ในการวิเคราะห์ Log บนระบบเครือข่าย คือ SIM และ SEM

  • SIM (Security Information Management) คือ การจัดการข้อมูลด้านความปลอดภัย โดยรวบรวมข้อมูลต่างๆ แล้วนำมาวิเคราะห์หาแน้วโน้มหรือต้นเหตุที่เกิดขึ้น และการจัดทำรายงานอัตโนมัติสำหรับการปฏิบัติตามนโยบายและการรายงานจากส่วนกลาง (เป็นการตรวจสอบและวิเคราะห์ข้อมูลแบบย้อนหลัง)
  • SEM (Security Event Management) คือ การจัดการเหตุการณ์ด้านความปลอดภัย ทำหน้าที่รวบรวมและตีความเหตุการณ์ต่างๆ ที่เกิดขึ้นด้วยการวิเคราะห์ Log แบบ Realtime ผ่านเครื่องมือการรายงานแบบอัตโนมัติ เพื่อช่วยให้ผู้ดูแลระบบด้านความปลอดภัยสามารถตอบโต้และป้องกันภัยคุกคามต่างๆ ได้อย่างรวดเร็ว (เป็นการตรวจสอบและวิเคราะห์ข้อมูลแบบ Realtime) หรือเรียกอีกอย่างว่า “การตอบสนองต่อเหตุการณ์” (Incident Response:IR)

การนำ SIM และ SEM มารวมกันเป็นระบบ SIEM จะมุ่งเน้นไปที่การพิสูจน์ตัวตน, การวิเคราะห์, การแยกแยะ และการกู้คืนของเหตุการณ์ด้านความปลอดภัยและภัยคุกคามต่างๆ

หน้าที่หลักที่ครอบคลุมการทำงานของ SIEM คือ การช่วยให้ผู้จัดการสามารถปฏิบัติตามข้อกำหนดในการตรวจสอบและดูแลการทำงานของระบบเครือข่ายให้ทำงานอย่างสอดคล้องกันและเป็นไปอย่างถูกต้องตามกฏข้อบังคับ

หน้าที่ของ NOC และ SOC

ภัยคุกคามหรือการกระทำความผิดเกิดขึ้นได้ตลอดเวลาในทุกองค์กร ส่วนหนึ่งมาจากการทำงานที่แยกส่วนและไม่สอดคล้องกัน เช่น NOC (Network Operations Center) ก็จะมุ่งการทำงานไปที่ประสิทธิภาพของระบบเครือข่าย หรือความพร้อมในการทำงานเป็นหลัก

ในขณะที่ SOC (Security Operation Center) ก็จะเน้นตรวจสอบด้านภัยคุกคาม ความมั่นคง และความปลอดภัยของระบบเครือข่าย ต่างฝ่ายก็มีระบบตรวจสอบกันเอง ไม่มีแหล่งวิเคราะห์ข้อมูลร่วมกัน ทำให้การใช้เครื่องมือหรือระบบต่างๆ ไม่สอดคล้องสัมพันธ์กัน มีการทำงานที่ซับซ้อนมากเกินไป ทำให้บางครั้งแต่ละฝ่ายอาจตรวจไม่พบความผิดปกติที่เกิดขึ้น

หน้าที่และความสัมพันธ์ของ NOC และ SOC ที่เกี่ยวกับระบบ SIEM

FortiSIEM มีความสามารถในการวิเคราห์ข้อมูลที่เชื่อมโยงระหว่าง NOC และ SOC ได้ ทำให้การตรวจสอบปัญหาและเหตุการณ์ต่างๆ ที่เกิดขึ้นระหว่าง 2 ฝ่ายนี้ ทำได้จากจุดศูนย์กลางผ่านFortiSIEM ทั้งในแบบ Realtime หรือเรียกดูย้อนหลัง ส่งผลให้การตรวจจับเหตุการณ์ผิดปกติหรือ ภัยคุกคามต่างๆ ที่เกิดขึ้นทำได้ง่ายและมีประสิทธิภาพ

รู้จักจุดเด่นของ FortiSIEM ที่แตกต่างจากระบบ SIEM อื่นๆ

FortiSIEM ถือเป็น Next-Generation SIEM ที่มีความสามารถไม่เหมือน SIEM อื่นๆ โดยมีจุดเด่นทั้งหมด 7 ด้าน ดังนี้

  1. ความสามารถในการวิเคราะห์ข้อมูลในแบบ Real time และสร้างการรายงานแบบล่วงหน้าทำให้การตรวจจับและแก้ปัญหาของภัยคุกคามและความปลอดภัยบนระบบเครือข่ายทำได้อย่างรวดเร็วและมีประสิทธิภาพ
  2. การค้นหาและจำแนกจัดหมวดหมู่ของอุปกรณ์บนระบบเครือข่าย, เครื่อง Server, Services รวมถึง Application ต่างๆ ทำได้จากการเรียนรู้โดยอัตโนมัติ และสามารถสร้างการแจ้งเตือน การตอบสนองต่อเหตุการณ์ เมื่อพบกับการเปลี่ยนแปลงหรือสิ่งผิดปกติกับอุปกรณ์เหล่านี้จาก Roles ที่ได้กำหนดไว้
  3. รองกับการประมวลผลที่มีเปลี่ยนแปลงหรือมีการขยายขนาดของข้อมูลที่เข้ามาจัดเก็บและวิเคราะห์ในระดับหลายแสนรายการต่อวินาที ได้อย่างรวดเร็วและมีความยืดหยุ่นสูง
  4. มี API ที่ทำให้การเชื่อมต่อเข้ากับระบบหรือข้อมูลด้านความปลอดภัยจากผู้ผลิตอื่นๆ ได้ง่าย
  5. สามารถวิเคราะห์ข้อมูลที่มีความสัมพันธ์และเชื่อมโยงกันในส่วนของระบบงาน NOC และ SOC ได้ในแบบ Real time
  6. แสดงข้อมูลที่ได้มีการวิเคราะห์ในด้านภัยคุกคามและการแก้ปัญหา รวมถึงสาเหตุที่แท้จริงของปัญหารวมอยู่ในหน้า Dashboard เดียวกันได้ในรูปแบบของ Dynamic ที่ทำให้การปรับแต่งรายงานและตรวจสอบข้อมูลอย่างรอบด้านทำได้ง่ายในหน้าต่างเดียวกัน
  7. สถาปัตยกรรม Multi-Tenant สามารถรองรับการทำงานร่วมกันในหลายๆ องค์กรได้ โดยสามารถแบ่งข้อมูลและผลการวิเคราะห์ที่แยกส่วนออกจากกันได้ รวมถึงกำหนดสิทธิ์ในการเข้าถึงข้อมูลได้เพื่อป้องกันความเป็นส่วนตัวในแต่ละองค์กรได้

FortiSIEM มีความสามารถที่เหนือกว่า SIEM อื่นๆ ด้วยคุณสมบัติเฉพาะที่แตกต่าง ดังนี้

ความสามารถหลักของ FortiSIEM

  1. ช่วยให้องค์กรสามารถตรวจจับภัยคุกคามและการละเมิดกฏต่างๆ ได้อย่างรวดเร็ว
  2. มีเครื่องมือตรวจสอบในเชิงลึกทำให้ระบุถึงสาเหตุที่แท้จริงของเหตุการณ์ต่างๆ ได้ง่าย
  3. จัดเตรียมข้อมูลที่จำเป็นในการแก้ไขและป้องกันปัญหาและภัยคุกคามต่างๆ ที่จะเกิดขึ้นในอนาคต

ความสามารถเฉพาะที่แตกต่างจาก SIEM อื่นๆ

  1. ความสามารถในการวิเคราะห์ข้อมูลแบบ Realtime ด้วยวิธีการใหม่ที่ให้ผลอย่างรวดเร็วและถูกต้องแม่นยำ
  2. การค้นหาข้อมูลและสามารถกำหนดค่าการทำงานต่างๆ ได้แบบ Realtime
  3. รองรับอุปกรณ์และการขยายระบบการทำงานได้อย่างรวดเร็ว
  4. ทำงานร่วมกับเทคโนโลยีของ Third-Party ได้หลากหลายและมีความยืดหยุ่น
  5. ผลการวิเคราะห์สามารถส่งผ่านทางหน้าต่างข้อมูลได้ในหน้าเดียวกัน
  6. เป็นแพลตฟอร์มด้านความปลอดภัยและการทำงานเครือข่ายอัตโนมัติแบบไร้รอยต่อ สามารถเชื่อมโยงข้อมูลด้านความปลอดภัย ประสิทธิภาพการทำงาน และโครงสร้างพื้นฐาน เพื่อช่วยให้การทำงานของ NOC (Network Operations Center) และ SOC (Security Operations Center) เป็นไปอย่างรวดเร็ว
Close Menu