作者CMJ0121 (不要偷 Q)
看板NetSecurity
标题[闲聊] 2017.W39 - SIEM (资安事件管理平台)
时间Wed Sep 27 00:31:45 2017
2017.W39 - SIEM (资安事件管理平台)
> 躺平的时候突然惊醒 原来昨天忘记做重要的事情了
## 前言 ##
Log 很重要 Log 很重要 Log 很重要
因为很重要 所以要说三次
有多重要?
骇客做完事情之後都会清 Log 所以 Log 保全很重要
## 内容 ##
不少企业级的服务都会有相对应的日志管理 (Log Mamager) 系统
用来记录软硬体上的各种操作记录
在很多需要稽核的场景中 Log 的保存是一个很重要的工作
像是一个档案被恶意的删除 档案存取的 Log 就可以用来举证
到底是 1) 档案系统 (File System) 不稳定 2) 软体的 Bug 还是 3) 恶意攻击者
SIEM [0] 则是更加进阶的功能与服务
他提供即时分析 (real-time analysis) 相关的资安事件并且提供相关警讯
在 LM 阶段 SIEM 可以收集到各种安全相关的 Log
而 SIEM 则可以利用纪录整合的能力 深度分析潜在的攻击威胁
像是一个恶意攻击者
1. 随机挑选内网的机器并且尝试低限度攻击
2. 针对有明显漏洞的机器进行攻击
在 LM 阶段 如果无法整合所有机器上的存取纪录 就无法及早阻挡攻击
而 SIEM 则可以收集各种系统日志 整理、判断、分析其中潜在的攻击模式
~ 以下开放原厂来推销产品~
[0]:
https://cs.wikipedia.org/wiki/SIEM
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 123.193.122.171
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/NetSecurity/M.1506443508.A.3F2.html
1F:推 Peruheru: 先写好文章再徵求业配 09/27 13:25
2F:→ CMJ0121: 重点是我很想了解 SIEM 也想玩... 但是没钱QQ 09/27 13:55
3F:推 supisces: 有强大到能收集内网PC(win or Linux)的 Log 吗? 09/27 15:09
4F:→ CMJ0121: 上次有看过朋友 demo 他们公司产品 需要在机器上安装 09/27 15:32
5F:→ CMJ0121: agent 然後 SIEM 会集中分析 09/27 15:33
6F:→ tgtgl: OSSIM..不用钱 但很难设定 09/27 23:46
7F:→ deadwood: 前阵子POC楼上的收费版,只能说有付钱很多东西都变简单 09/28 18:55
8F:推 bon0: OSSIM的Log部分要$,其他功能倒是不错,何不试看看Graylog? 10/01 23:15
9F:推 tgtgl: 原来是这样 免费整个难上手 10/04 02:07
10F:推 knightnick: linux主机可以透过rsyslog抛日志出来,windows可用eve 10/06 13:29
11F:推 knightnick: arsight connector接收後做日志正规化再给SIEM做关连 10/06 13:33
12F:→ jackyn01: OSSIM真的难,我知道因为我在该公司当技术客服 10/26 22:31