SIEM คืออะไร?
Security information and event management (SIEM)
คือเทคโนโลยีที่ช่วยรวบรวมข้อมูลด้าน Security ในรูปแบบต่างๆ ไม่ว่าจะเป็น Log, Event, Flow หรืออื่นๆ เพื่อนำมาจัดเก็บ ปลี่ยนรูปแบบ, ตรวจสอบและ วิเคราะห์ รวมถึงแสดงผลที่ตอบโจทย์ด้าน Compliance และการบริหารจัดการด้านความมั่นคงปลอดภัย หน้าที่หลักของ SIEM ก็คือการเก็บรวมรวมเหตุการณ์ต่างๆจากหลายแหล่งที่มาและนำมาวิเคราะห์ร่วมกัน นำไปสู่การปฏิบัติการเช่น การจัดการเหตุการณ์ไม่คาดคิด (incident management) และ แสดงผลผ่าน Dashboard หรือจัดทำรายงาน
วิธีการทำงานและประโยชน์ของ SIEM
โดยปกติแล้วองค์กรมักมีโซลูชันด้านความมั่นคงปลอดภัยหลักเช่น Firewall, IPS/IDS และ EDR เป็นต้น แต่โซลูชันเหล่านี้ถูกออกแบบมาอย่างเฉพาะทาง ซึ่งรับรู้ข้อมูลเฉพาะส่วนที่ตนเกี่ยวข้องกล่าวคือไม่ได้มีการมองความสัมพันธ์ของเหตุการณ์ภาพรวมเพื่อประมวลผลร่วมกัน ด้วยเหตุนี้เองภัยคุกคามขั้นสูง (Advanced Persistent Threat) จึงมีโอกาสหลุดรอดการตรวจจับเฉพาะจุดมาได้นั่นเอง แต่เมื่อมี SIEM องค์กรจะสามารถผสานเหตุการณ์ต่างๆเข้ามาวิเคราะห์ร่วมกัน ว่ากลุ่มพฤติการณ์ใดที่น่าจะมีโอกาสเป็นอันตราย ที่จะช่วยชี้นำให้ทีมวิเคราะห์เข้าไปสนใจได้ถูกจุด
SIEM ไม่เพียงแค่รวบรวมข้อมูลได้จากโซลูชันทั่วทั้งองค์กรประกอบด้วย อุปกรณ์เครือข่าย เซิร์ฟเวอร์ อุปกรณ์ด้านความมั่นคงปลอดภัย แอปพลิเคชัน คลาวด์ และ SaaS แต่แน่นอนว่าการจะรองรับข้อมูลเหล่านี้มีความท้าทายไม้น้อย แต่ SIEM ได้ถูกออกแบบมาแล้วด้วยจุดประสงค์นี้ ซึ่ง Gartner แนะนำว่าหากคุณมีอุปกรณ์ 300 ตัว SIEM ขนาดเล็กที่ 1,500 eps (Event per Second) ก็ยังเพียงพอต่อการใช้งาน
SIEM ไม่เพียงแค่ช่วยรับข้อมูลจากทุกแหล่งแต่ยังมีความสามารถวิเคราะห์และจัดลำดับความสำคัญของข้อมูลที่ได้มา รวมถึงมี AI ผสานพลังกับคลังข้อมูลภัยคุกคาม (Threat Intelligence) เพื่อจัดทำสรุปภาพรวมเป็นรายงานที่เข้าใจง่ายแสดงบน Dashboard หรือนำเสนอต่อผู้บริหารและผู้ตรวจสอบ ทั้งหมดนี้ SIEM จะนำองค์กรไปสู่การแก้ไขปัญหาเช่น
- Incident Discovery – ใช้ความสามารถของ SIEM เพื่อช่วยจำกัดกรอบของเหตุการณ์ให้ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยสามารถพุ่งตรงไปยังเหตุการณ์ที่มีนัยสำคัญได้ อีกสเมือนเป็นการฉายภาพ Timeline ของเหตุการณ์ที่เกิดขึ้นอย่างต่อเนื่อง ทำให้ทราบเวลาเกิดเหตุและผลกระทบจริงที่ควรแก้ไข นำไปสู่คำสั่งยับยั้งและปิดกั้นในอุปกรณ์ Firewall, IDS/IPS และอื่นๆ
- Compliance – ใช้ SIEM เพื่อสร้างรายงานตามรูปแบบที่ผู้ตรวจสอบต้องการ โดยข้อมูลถูกร้อยเรียงจากทุกโซลูชัน ซึ่งนอกจากจะได้รายงานที่ตอบโจทย์ข้อบังคับและยังลดงานที่ต้องเข้าไปดึงข้อมูลมาจากแต่ละแห่งเองด้วย
- Incident Management – เมื่อองค์กรสามารถพบและเรียนรู้เหตุการณ์ incident ที่เกิดขึ้น เช่น เส้นทางการโจมตี อุปกรณ์หรือบุคคลที่ถูกแทรกแซง เป็นต้น องค์กรจะสามารถนำความรู้เหล่านี้ไปจัดทำเคสการปฏิบัติการหากเกิดเหตุการณ์ซ้ำอีก หรือที่คล้ายคลึงกันได้ พร้อมทั้งสร้างมาตรการปฏิบัติแบบอัตโนมัติด้วย
8 ความสามารถที่ SIEM ขององค์กรควรมี
Splunk เป็นโซลูชันด้าน SIEM เจ้าใหญ่ที่อยู่ในกลุ่มผู้นำของ Gartner Magic Quardrant มาตลอด ซึ่งหมายถึงโซลูชันได้รับการพัฒนาอย่างต่อเนื่อง อย่างไรก็ดี Splunk มีจุดเด่น 4 ด้านที่ทำให้โดดเด่นกว่าโซลูชันอื่นในท้องตลาดดังนี้
มองเห็นถ้วนทั่ว – ไม่ว่าอุปกรณ์ ผู้ใช้งาน หรือระบบขององค์กรจะอยู่ในสภาพแวดล้อมใดก็ตามเช่น On–premise Data Center, Public Cloud, SaaS และ Hybrid cloud โซลูชันของ Splunk ก็สามารถรองรับการเก็บข้อมูลเหล่านั้นได้ ทำให้องค์กรมองเห็นภาพรวมได้ทุกมุมมอง
ตรวจสอบได้รวดเร็ว – Splunk ได้อาศัยเทคนิคและกลไกในการช่วยตรวจสอบภัยคุกคามให้ทำได้อย่างรวดเร็ว ไม่ว่าจะเป็น Threat Intelligence และการใช้ Machine Learning เข้ามาช่วยตรวจหาความผิดปกติ เมื่อตรวจสอบพบระบบยังสามารถให้คำแนะนำในการแก้ไขปัญหาที่สำคัญ โดยมีการจัดลำดับของ incident ที่แจ้งเตือนให้ทีมโฟกัสกับสิ่งที่จำเป็นก่อน
ค้นหา ตรวจสอบเหตุการได้อย่างมีประสิทธิภาพ – ในส่วนของการค้นหาผู้ใช้งานสามารถค้นหาข้อมูลประกอบกับปัจจัยอื่น เช่น พิกัด Tag และอื่นๆ ซึ่งด้วยระบบที่ถูกออกแบบมาเป็นอย่างดีทำให้การค้นหาเกิดขึ้นได้อย่างรวดเร็ว โดยท่านสามารถแชร์ผลการค้นหากับทีมอื่นภายในองค์กรได้อย่างง่ายดาย
เปิดกว้าง พร้อมขยายตัว – Splunk มีการออกแบบโมเดลการใช้งานมาให้รองรับการขยายตัวได้เป็นอย่างดี ผ่านกลไกของการทำ Indexing และการกระจายข้อมูลภายในคลัสเตอร์ผ่านการจัดการของ Cluster Master โดยหากองค์กรมีความจำเป็นต้องเพิ่มปริมาณข้อมูลก็สามารถสร้างหน่วยการทำงานเพิ่มเข้าเข้าไปในคลัสเตอร์เพื่อช่วยประมวลผลได้
นอกจากที่ Splunk มีสถาปัตยกรรมที่ได้รับการออกแบบมาเป็นอย่างดีครอบคลุมในเรื่องของ HA, Scalability, Visiblity และ Agility แล้ว ยังมีอีกหลายปัจจัยที่ทำให้ Splunk เป็นตัวเลือกที่น่าสนใจสำหรับองค์กรเช่น ความง่ายในการใช้งาน ความพร้อมของระบบ Plugin ความยืดหยุ่นต่อการปรับแต่ง ตลอดจนฟีเจอร์ที่ช่วยให้ท่านสร้างระบบตอบสนองได้อย่างอัตโนมัติ และรายงานที่ยืดหยุ่นตอบโจทย์การใช้งาน