การทำงานของระบบ SIEM จะรับ Log จากอุปกรณ์ต่างๆ เข้ามาเพื่อทำการวิเคราะห์และแยกแยะข้อมูลหรือเหตุการณ์สำคัญเพื่อหาความผิดปกติที่เกิดขึ้น โดยใน FortiSIEM จะมีเทคโนโลยีสำคัญเพื่อช่วยให้การวิเคราะห์ข้อมูลมีประสิทธิภาพมากขึ้น ระบบ SIEM ทำงานอย่างไร? เมื่อ FortiSIEM ได้รับ Log จากอุปกรณ์ต้นทางหรือเครื่อง Agents ผ่านโปรโตคอลต่างๆ เช่น Syslog, SNMP หรือ Netflow ก็จะทำการวิเคราะห์เพื่อแยกข้อความต่างๆ ใน Log และทำการ Normalizeds ข้อมูลเหล่านั้น…
ในบทแรกนี้ เรามาทำความรู้จักกันก่อนว่าข้อมูลด้านความปลอดภัย (Security Information) และการจัดการเหตุการณ์ (Event Management) คืออะไร และ FortiSIEM มีความแตกต่างจากระบบ SIEM อื่นๆ อย่างไร รวมถึงทำความรู้จักกับสถาปัตยกรรมของ FortiSIEM และการกำหนดค่าเริ่มต้นบางอย่างที่สำคัญ ระบบ SIEM คืออะไร? SIEM เป็นคำย่อที่ถูกตั้งขึ้นมาโดย Mark Nicolett จากศูนย์วิจัย Gartner โดยมาจากคำผสมของ 2 การทำงานหลักที่ใช้ในการวิเคราะห์ Log…
ในบทความที่แล้ว ผมได้พูดถึงงานด้าน Cyber Security แบ่งการทำงานออกเป็น 2 ทีม คือ ทีมสายบุก (Offensive) ที่เน้นงานทดสอบการโจมตีหรือ Red Team และทีมสายรับ (Defensive) ที่เน้นงานตรวจสอบและป้องกันการโจมตีหรือ Blue Team
ปัจจุบันสายงานทางด้าน Cyber Security ได้รับความนิยมอย่างมาก เพราะเป็นงานที่ท้าทาย มีความสำคัญต่อระบบเครือข่าย และต้องใช้ทักษะหลายด้าน ค่าตัวของผู้ที่เกี่ยวข้องกับสายงานด้านนี้จึงสูงเป็นอันดับต้นๆ ของงานด้านไอที จึงมีคนรุ่นใหม่จำนวนไม่น้อยที่สนใจและต้องการเข้ามาทำงานด้านนี้อย่างเต็มตัว
Transparent คือ โหมดที่ Fortigate และเครื่อง Client ที่ต่ออยู่ด้านหลังจะเชื่อมต่อกับวง LAN เดิมของเรา ไม่มีการแยก Interface เป็นวงอื่น ทำให้เครื่อง Client ทุกเครื่องก็จะใช้ IP เดิม และ Gateway ก็เป็นเบอร์เดิม เพราะฉะนั้น Fortigate จะเป็นเพียง Bridge ที่มากั้นไว้และคอยตรวจสอบ Policy เท่านั้นไม่มีการแปลง IP ออกไปเป็นอีกวงหนึ่ง ซึ่งจะต่างจากโหมด…
การส่ง Log จาก FortiGate ไปเก็บไว้ยังอุปกรณ์ต่างๆ ที่ใช้ในการจัดเก็บ Log โดยเฉพาะ ถือเป็นเรื่องสำคัญเพราะตัว FortiGate เองไม่สามารถเก็บ Log จำนวนมากได้ ทำให้อาจมีปัญหากับ พ.ร.บ.คอมพิวเตอร์ 2560 ที่ต้องมีการจัดเก็บ Log ให้เจ้าหน้าที่ตามสืบค้นย้อนหลังได้ไม่ต่ำกว่า 90 วัน โดยอุปกรณ์ที่จัดเก็บ Log ให้กับ FortiGate ได้ดีและมีประสิทธิภาพมากที่สุดก็คือ FortiAnalyzer เพราะนอกจากจะเป็นอุปกรณ์เฉพาะทางสำหรับจัดเก็บ Log…
การกำหนด Group Policy สำหรับอัปเดต WSUS เมื่อกำหนดค่าเริ่มต้นการทำงานของ WSUS แล้ว เราจะต้องไปกำหนดค่า Group Policy ที่จะใช้งานร่วมกับ WSUS ด้วย โดยมีขั้นตอนดังนี้ สร้าง OU ชื่อ SecUpdate ขึ้นมา จากนั้นย้ายออบเจ็กต์คอมพิวเตอร์ที่ต้องการอัปเดต WSUS ไปไว้ใน OU นี้ 2. เปิดหน้าต่าง Group Policy ขึ้นมา…
WSUS (Windows Server Update Services) เป็นการทำให้เครื่อง Client ที่อยู่บน Domain สามารถอัปเดต Windows ให้ทันสมัยและมีความปลอดภัยอยู่เสมอผ่านเครื่อง Domain Controller ที่จะดาวน์โหลดไฟล์อัปเดตต่างๆ มาเก็บไว้ในเครื่องก่อน จากนั้นก็จะสั่งให้มีการอัปเดตเครื่อง Client ด้วย Group Policy ทำให้เวลาที่เครื่อง Client อัปเดตไม่จำเป็นต้องมีการเชื่อมต่ออินเทอร์เน็ต ซึ่งจะช่วยประหยัด Bandwidth การใช้งานอินเทอร์เน็ตลงได้อย่างมาก การติดตั้ง WSUS การติดตั้ง…
SNMP (Simple Network Management Protocol) เป็นโปรโตคอลที่ใช้มอนิเตอร์อุปกรณ์เครือข่ายรวมถึงเครื่อง Server ต่างๆ เพื่อใช้ในการตรวจสอบรายละเอียดของตัวอุปกรณ์ สถานะการทำงาน หรือข้อมูลสำคัญต่างๆ โดยจะมีเครื่อง NMS (Network Management Stations) ทำหน้าที่เป็นศูนย์กลางในการรวบรวมและตรวจสอบข้อมูลต่างๆ เพื่อหากเกิดข้อผิดพลาดเกิดขึ้น ผู้ดูแลระบบจะสามารถรับทราบและหาทางแก้ปัญหาได้ทัน ติดตั้ง Feature ชื่อ SNMP Service 2. ที่หน้าต่าง Computer Management เข้าไปที่คำสั่ง Services…
ในกรณีที่ต้องการเชื่อมต่อไดรฟ์ USB Storage ไปใช้งานในเครื่อง VM ต่างๆ ที่อยู่ใน ESX เพื่อใช้ในการโอนถ่ายข้อมูลหรือ Backup ไฟล์สำคัญ เราสามารถทำได้โดยกำหนดค่าในส่วนของ USB Controller ดังนี้ เชื่อมต่อไดรฟ์ USB Storage ไปที่เครื่อง Host (Physical Server) ก่อนที่ ESXi คลิกขวาที่เครื่อง VM (Virtual Machine) ที่ต้องการใช้งานไดรฟ์ USB…