[閒聊] 2017.W39 - SIEM (資安事件管理平台)

看板NetSecurity作者CMJ0121 (不要偷 Q)時間6年前 (2017/09/27 00:31)推噓6(6推 0噓 6→)

留言12則, 8人參與討論串1/1

2017.W39 - SIEM (資安事件管理平台) > 躺平的時候突然驚醒原來昨天忘記做重要的事情了 ## 前言 ## Log 很重要 Log 很重要 Log 很重要因為很重要所以要說三次有多重要？駭客做完事情之後都會清 Log 所以 Log 保全很重要 ## 內容 ## 不少企業級的服務都會有相對應的日誌管理 (Log Mamager) 系統用來記錄軟硬體上的各種操作記錄在很多需要稽核的場景中 Log 的保存是一個很重要的工作像是一個檔案被惡意的刪除檔案存取的 Log 就可以用來舉證到底是 1) 檔案系統 (File System) 不穩定 2) 軟體的 Bug 還是 3) 惡意攻擊者 SIEM [0] 則是更加進階的功能與服務他提供即時分析 (real-time analysis) 相關的資安事件並且提供相關警訊在 LM 階段 SIEM 可以收集到各種安全相關的 Log 而 SIEM 則可以利用紀錄整合的能力深度分析潛在的攻擊威脅像是一個惡意攻擊者 1. 隨機挑選內網的機器並且嘗試低限度攻擊 2. 針對有明顯漏洞的機器進行攻擊在 LM 階段如果無法整合所有機器上的存取紀錄就無法及早阻擋攻擊而 SIEM 則可以收集各種系統日誌整理、判斷、分析其中潛在的攻擊模式～以下開放原廠來推銷產品～ [0]: https://cs.wikipedia.org/wiki/SIEM -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 123.193.122.171 ※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1506443508.A.3F2.html

推

Peruheru

09/27 13:25, , 1^F

09/27 13:25, 1^F

→

CMJ0121

09/27 13:55, , 2^F

09/27 13:55, 2^F

推

supisces

09/27 15:09, , 3^F

09/27 15:09, 3^F