ตอนที่ 2 ระบบการทำงานของ FortiSIEM

การทำงานของระบบ SIEM จะรับ Log จากอุปกรณ์ต่างๆ เข้ามาเพื่อทำการวิเคราะห์และแยกแยะข้อมูลหรือเหตุการณ์สำคัญเพื่อหาความผิดปกติที่เกิดขึ้น โดยใน FortiSIEM จะมีเทคโนโลยีสำคัญเพื่อช่วยให้การวิเคราะห์ข้อมูลมีประสิทธิภาพมากขึ้น ระบบ SIEM ทำงานอย่างไร? เมื่อ FortiSIEM ได้รับ Log จากอุปกรณ์ต้นทางหรือเครื่อง Agents ผ่านโปรโตคอลต่างๆ เช่น Syslog, SNMP หรือ Netflow ก็จะทำการวิเคราะห์เพื่อแยกข้อความต่างๆ ใน Log และทำการ Normalizeds ข้อมูลเหล่านั้น…

Continue Reading

ตอนที่ 1 รู้จักระบบ SIEM เพื่อจัดการและตรวจสอบเหตุการณ์ของระบบเครือข่าย

ในบทแรกนี้ เรามาทำความรู้จักกันก่อนว่าข้อมูลด้านความปลอดภัย (Security Information) และการจัดการเหตุการณ์ (Event Management) คืออะไร และ FortiSIEM มีความแตกต่างจากระบบ SIEM อื่นๆ อย่างไร รวมถึงทำความรู้จักกับสถาปัตยกรรมของ FortiSIEM และการกำหนดค่าเริ่มต้นบางอย่างที่สำคัญ ระบบ SIEM คืออะไร? SIEM เป็นคำย่อที่ถูกตั้งขึ้นมาโดย Mark Nicolett จากศูนย์วิจัย Gartner โดยมาจากคำผสมของ 2 การทำงานหลักที่ใช้ในการวิเคราะห์ Log…

Continue Reading

Red Team VS Blue Team แตกต่างกันอย่างไร และต้องมีความสามารถอะไรบ้าง

ในบทความที่แล้ว ผมได้พูดถึงงานด้าน Cyber Security แบ่งการทำงานออกเป็น 2 ทีม คือ ทีมสายบุก (Offensive) ที่เน้นงานทดสอบการโจมตีหรือ Red Team และทีมสายรับ (Defensive) ที่เน้นงานตรวจสอบและป้องกันการโจมตีหรือ Blue Team

(more…)

Continue Reading

อยากทำงานด้าน Cyber Security จะเลือกรุกหรือรับ? ฝั่งไหนดีกว่ากัน

ปัจจุบันสายงานทางด้าน Cyber Security ได้รับความนิยมอย่างมาก เพราะเป็นงานที่ท้าทาย มีความสำคัญต่อระบบเครือข่าย และต้องใช้ทักษะหลายด้าน ค่าตัวของผู้ที่เกี่ยวข้องกับสายงานด้านนี้จึงสูงเป็นอันดับต้นๆ ของงานด้านไอที จึงมีคนรุ่นใหม่จำนวนไม่น้อยที่สนใจและต้องการเข้ามาทำงานด้านนี้อย่างเต็มตัว

(more…)

Continue Reading

การกำหนดโหมด Transparent Firewall ให้กับ FortiGate

Transparent คือ โหมดที่ Fortigate และเครื่อง Client ที่ต่ออยู่ด้านหลังจะเชื่อมต่อกับวง LAN เดิมของเรา ไม่มีการแยก Interface เป็นวงอื่น ทำให้เครื่อง Client ทุกเครื่องก็จะใช้ IP เดิม และ Gateway ก็เป็นเบอร์เดิม เพราะฉะนั้น Fortigate จะเป็นเพียง Bridge ที่มากั้นไว้และคอยตรวจสอบ Policy เท่านั้นไม่มีการแปลง IP ออกไปเป็นอีกวงหนึ่ง ซึ่งจะต่างจากโหมด…

Continue Reading

การส่ง Log จาก FortiGate ไปเก็บไว้ที่ FortiAnalyzer

การส่ง Log  จาก FortiGate ไปเก็บไว้ยังอุปกรณ์ต่างๆ ที่ใช้ในการจัดเก็บ Log โดยเฉพาะ ถือเป็นเรื่องสำคัญเพราะตัว FortiGate เองไม่สามารถเก็บ Log จำนวนมากได้ ทำให้อาจมีปัญหากับ พ.ร.บ.คอมพิวเตอร์ 2560 ที่ต้องมีการจัดเก็บ Log ให้เจ้าหน้าที่ตามสืบค้นย้อนหลังได้ไม่ต่ำกว่า 90 วัน              โดยอุปกรณ์ที่จัดเก็บ Log ให้กับ FortiGate ได้ดีและมีประสิทธิภาพมากที่สุดก็คือ FortiAnalyzer เพราะนอกจากจะเป็นอุปกรณ์เฉพาะทางสำหรับจัดเก็บ Log…

Continue Reading

ติดตั้ง WSUS เพื่อทำ Windows Update ที่เครื่อง Client ใน Domain แบบ Offline ตอนที่ 2

การกำหนด Group Policy สำหรับอัปเดต WSUS เมื่อกำหนดค่าเริ่มต้นการทำงานของ WSUS แล้ว เราจะต้องไปกำหนดค่า Group Policy ที่จะใช้งานร่วมกับ WSUS ด้วย โดยมีขั้นตอนดังนี้ สร้าง OU ชื่อ SecUpdate ขึ้นมา จากนั้นย้ายออบเจ็กต์คอมพิวเตอร์ที่ต้องการอัปเดต WSUS ไปไว้ใน OU นี้ 2. เปิดหน้าต่าง Group Policy ขึ้นมา…

Continue Reading

ติดตั้ง WSUS เพื่อทำ Windows Update ที่เครื่อง Client ใน Domain แบบ Offline ตอนที่ 1

WSUS (Windows Server Update Services) เป็นการทำให้เครื่อง Client ที่อยู่บน Domain สามารถอัปเดต Windows ให้ทันสมัยและมีความปลอดภัยอยู่เสมอผ่านเครื่อง Domain Controller ที่จะดาวน์โหลดไฟล์อัปเดตต่างๆ มาเก็บไว้ในเครื่องก่อน จากนั้นก็จะสั่งให้มีการอัปเดตเครื่อง Client ด้วย Group Policy ทำให้เวลาที่เครื่อง Client อัปเดตไม่จำเป็นต้องมีการเชื่อมต่ออินเทอร์เน็ต ซึ่งจะช่วยประหยัด Bandwidth การใช้งานอินเทอร์เน็ตลงได้อย่างมาก การติดตั้ง WSUS การติดตั้ง…

Continue Reading

ติดตั้ง SNMP Server และ IPHost Network Monitor เพื่อตรวจสอบสถานะการทำงานของ Domain controller

SNMP (Simple Network Management Protocol) เป็นโปรโตคอลที่ใช้มอนิเตอร์อุปกรณ์เครือข่ายรวมถึงเครื่อง Server ต่างๆ เพื่อใช้ในการตรวจสอบรายละเอียดของตัวอุปกรณ์ สถานะการทำงาน หรือข้อมูลสำคัญต่างๆ โดยจะมีเครื่อง NMS (Network Management Stations) ทำหน้าที่เป็นศูนย์กลางในการรวบรวมและตรวจสอบข้อมูลต่างๆ เพื่อหากเกิดข้อผิดพลาดเกิดขึ้น ผู้ดูแลระบบจะสามารถรับทราบและหาทางแก้ปัญหาได้ทัน ติดตั้ง Feature ชื่อ SNMP Service 2. ที่หน้าต่าง Computer Management เข้าไปที่คำสั่ง Services…

Continue Reading

การเชื่อมต่อไดรฟ์ USB Storage เข้าไปใช้งานในเครื่อง VM

ในกรณีที่ต้องการเชื่อมต่อไดรฟ์ USB Storage ไปใช้งานในเครื่อง VM ต่างๆ ที่อยู่ใน ESX เพื่อใช้ในการโอนถ่ายข้อมูลหรือ Backup ไฟล์สำคัญ เราสามารถทำได้โดยกำหนดค่าในส่วนของ USB Controller ดังนี้ เชื่อมต่อไดรฟ์ USB Storage ไปที่เครื่อง Host (Physical Server) ก่อนที่ ESXi คลิกขวาที่เครื่อง VM (Virtual Machine) ที่ต้องการใช้งานไดรฟ์ USB…

Continue Reading
Close Menu