作者CMJ0121 (不要偷 Q)看板NetSecurity標題[閒聊] 2017.W39 - SIEM (資安事件管理平台)時間Wed Sep 27 00:31:45 2017 2017.W39 - SIEM (資安事件管理平台) > 躺平的時候突然驚醒 原來昨天忘記做重要的事情了 ## 前言 ## Log 很重要 Log 很重要 Log 很重要 因為很重要 所以要說三次 有多重要? 駭客做完事情之後都會清 Log 所以 Log 保全很重要 ## 內容 ## 不少企業級的服務都會有相對應的日誌管理 (Log Mamager) 系統 用來記錄軟硬體上的各種操作記錄 在很多需要稽核的場景中 Log 的保存是一個很重要的工作 像是一個檔案被惡意的刪除 檔案存取的 Log 就可以用來舉證 到底是 1) 檔案系統 (File System) 不穩定 2) 軟體的 Bug 還是 3) 惡意攻擊者 SIEM [0] 則是更加進階的功能與服務 他提供即時分析 (real-time analysis) 相關的資安事件並且提供相關警訊 在 LM 階段 SIEM 可以收集到各種安全相關的 Log 而 SIEM 則可以利用紀錄整合的能力 深度分析潛在的攻擊威脅 像是一個惡意攻擊者 1. 隨機挑選內網的機器並且嘗試低限度攻擊 2. 針對有明顯漏洞的機器進行攻擊 在 LM 階段 如果無法整合所有機器上的存取紀錄 就無法及早阻擋攻擊 而 SIEM 則可以收集各種系統日誌 整理、判斷、分析其中潛在的攻擊模式 ~ 以下開放原廠來推銷產品~ [0]: https://cs.wikipedia.org/wiki/SIEM -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 123.193.122.171 ※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1506443508.A.3F2.html 推 Peruheru: 先寫好文章再徵求業配 09/27 13:25 → CMJ0121: 重點是我很想了解 SIEM 也想玩... 但是沒錢QQ 09/27 13:55 推 supisces: 有强大到能收集内網PC(win or Linux)的 Log 嗎? 09/27 15:09 → CMJ0121: 上次有看過朋友 demo 他們公司產品 需要在機器上安裝 09/27 15:32 → CMJ0121: agent 然後 SIEM 會集中分析 09/27 15:33 → tgtgl: OSSIM..不用錢 但很難設定 09/27 23:46 → deadwood: 前陣子POC樓上的收費版,只能說有付錢很多東西都變簡單 09/28 18:55 推 bon0: OSSIM的Log部分要$,其他功能倒是不錯,何不試看看Graylog? 10/01 23:15 推 tgtgl: 原來是這樣 免費整個難上手 10/04 02:07 推 knightnick: linux主機可以透過rsyslog拋日誌出來,windows可用eve 10/06 13:29 推 knightnick: arsight connector接收後做日誌正規化再給SIEM做關連 10/06 13:33 → jackyn01: OSSIM真的難,我知道因為我在該公司當技術客服 10/26 22:31 ... <看更多>
我已建好Bot,也在Librenms上面將警報傳輸的方式設定好了(包含chat ID ... 開源資訊安全事件管理系統:OSSIM - iT 邦幫忙::一起幫忙解決難題,拯救IT 人的一天. ... <看更多>
ossim設定 在 [閒聊] 2017.W39 - SIEM (資安事件管理平台) - 看板NetSecurity 的推薦與評價
2017.W39 - SIEM (資安事件管理平台)
> 躺平的時候突然驚醒 原來昨天忘記做重要的事情了
## 前言 ##
Log 很重要 Log 很重要 Log 很重要
因為很重要 所以要說三次
有多重要?
駭客做完事情之後都會清 Log 所以 Log 保全很重要
## 內容 ##
不少企業級的服務都會有相對應的日誌管理 (Log Mamager) 系統
用來記錄軟硬體上的各種操作記錄
在很多需要稽核的場景中 Log 的保存是一個很重要的工作
像是一個檔案被惡意的刪除 檔案存取的 Log 就可以用來舉證
到底是 1) 檔案系統 (File System) 不穩定 2) 軟體的 Bug 還是 3) 惡意攻擊者
SIEM [0] 則是更加進階的功能與服務
他提供即時分析 (real-time analysis) 相關的資安事件並且提供相關警訊
在 LM 階段 SIEM 可以收集到各種安全相關的 Log
而 SIEM 則可以利用紀錄整合的能力 深度分析潛在的攻擊威脅
像是一個惡意攻擊者
1. 隨機挑選內網的機器並且嘗試低限度攻擊
2. 針對有明顯漏洞的機器進行攻擊
在 LM 階段 如果無法整合所有機器上的存取紀錄 就無法及早阻擋攻擊
而 SIEM 則可以收集各種系統日誌 整理、判斷、分析其中潛在的攻擊模式
~ 以下開放原廠來推銷產品~
[0]: https://cs.wikipedia.org/wiki/SIEM
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 123.193.122.171
※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1506443508.A.3F2.html
... <看更多>