【資安小辭典】什麼是SIEM和SOC?人劍合一,打造資安監控塔台

Mandy Lin / Marketing Specialist

隨著數位時代的發展和企業資訊化的普及,企業面臨越來越多的資訊安全威脅和風險。在這個背景下,SIEM(安全資訊與事件管理)和SOC(安全監控中心)成為了企業安全防護的兩把利劍,協同工作,提供強大的資安管理能力,以保護企業的資訊資產和業務持續運營。本文將深入探討SIEM和SOC的定義、功能、運作原理,並分析它們在企業資訊安全中的關聯和協同工作。此外,我們還將列舉SIEM和SOC在資訊安全管理、威脅檢測、事件監控、漏洞管理等方面的應用,並對比它們的不同特點和適用場景,以幫助企業選擇合適的解決方案。

👉更多SIEM X SOC整合展示請見YouTube:

 

認識SIEM:提升資訊環境的「可視性」

SIEM (Security Information and Event Management) 中文又稱「安全資訊與事件管理」,指的是一種資安解決方案,用來集中各種資安產品所蒐集到的Log,進而整合事件告警、關聯分析、產出數據報表,甚至是採取自動化腳本回應等,以輔助資安人員更有效率地建立整體環境可視性並即時排除問題。

  1. 安全事件監控:SIEM能夠監控企業內部和外部的資訊安全事件,包括日誌(logs)、警報(alerts)、事件(events)等。它可以從多個資源中收集、匯聚和分析這些事件,並應用預先設定的規則和策略進行事件的識別、分析和報警,以幫助企業察覺潛在的資訊安全威脅。
  2. 安全威脅檢測:SIEM可以通過與資訊安全情報(Threat Intelligence)集成,檢測和識別已知的和未知的安全威脅,如惡意軟體(malware)、網路攻擊(network attacks)、內部威脅(insider threats)等。SIEM可以通過對事件進行關聯分析、行為分析、異常偵測等技術來提供更準確的威脅檢測和識別。
  3. 安全事件管理:SIEM提供了對資訊安全事件的全面管理和追踪能力。它可以自動儲存和管理所有收集到的事件資訊,並提供事件查詢、報表生成、事件調查和取證等功能。SIEM還可以幫助企業建立事件響應流程、指定負責人員、跟踪事件的解決進度,以確保資訊安全事件得到妥善處理。

常見的SIEM廠牌有Microsoft Sentinel、Fortinet FortiSIEM、Splunk Enterprise Security、IBM Security QRadar、Micro Focus Arcsight 等解決方案,其中自由系統SOC資安監控維運服務所選用的解決方案為Microsoft Sentinel,曾獲得2022年Gartner魔力四象限中的領導廠牌

另外一個常聽到的名詞是SOAR (Security Orchestration, Automation, and Response),可以簡單理解為具有自動化功能的進階式平台,結合了安全編排(Orchestration)、自動化(Automation)和應對(Response)的功能,旨在幫助企業更有效地回應和解決資安問題,以實現更全面和智慧化的資安管理。

  1. 安全編排:SOAR平台可以幫助企業建立安全事件的自動化編排流程,包括事件的識別、分析、優先級分類、調查和應對等,提高安全事件處理的一致性和效率。
  2. 自動化:SOAR平台可以自動執行多種資安工作,例如事件檢測、威脅情報查詢、漏洞掃描、帳戶鎖定等,減輕資安團隊的工作負擔,並減少人為錯誤。
  3. 即時回報:SOAR平台可以幫助企業快速回應資訊安全事件,例如自動進行事件隔離、檔案取證、應急修復、安全通知等,以迅速控制和解決事件。

 

認識SOC:由監控塔台即時回應威脅

SOC (Security Operation Center) 中文又稱「資安監控中心」、「資訊安全作業維運中心」等,指的是在組織中,將所有資訊系統的安全性事件集中監控管理的團隊,通常會有一個資安戰情室,由資安人員5X8或24X7偵測、回應威脅。

  1. 安全事件監控與識別:SOC負責持續監控企業的資訊系統、網路和應用,檢測並識別潛在的安全事件。SOC會使用各種監控工具和技術,如安全資訊與事件管理(SIEM)系統、入侵偵測系統(IPS)、端點防護系統(EDR)等,來檢測和識別異常活動、漏洞利用、惡意軟體等安全事件。
  2. 安全事件響應與管理:SOC負責對識別到的安全事件進行及時回應和管理。這包括調查事件、分析事件的影響和風險、採取適當的對策和措施來應對事件。SOC(包含外包或自聘)需與內部的資安團隊或外部的服務供應商合作,以確保事件得到妥善處理。
  3. 安全事件報告與追踪:SOC負責生成和提供有關資訊安全事件的報告、紀錄、追蹤、分析和統計,以幫助企業瞭解事件的性質、趨勢和影響,並支持安全風險管理和合規要求。SOC也需生成定期的報告,向管理層和相關利益相關者通報事件的情況和解決進展。

siem vs soc

 

SIEM和SOC之間的關聯和協同工作

SIEM工具提供了SOC團隊所需的關鍵資訊,包括事件和警報的即時監控、資訊的蒐集和整合、日誌和事件的分析等,以協助SOC識別和解析潛在的安全事件。而SOC團隊使用SIEM作為核心工具來加強對資訊安全事件的監控和響應能力,快速識別潛在的安全威脅,封鎖威脅、阻止攻擊者、修補漏洞等,以維護企業的資訊安全。

企業在導入SIEM和SOC可能會遇到的常見問題有複雜的環境部署、大量事件處理流程、技術人力短缺與預算限制或成本優化這四大問題:

  1. 複雜的環境部署:SIEM和SOC需要在企業內部環境部署、配置和設定相關的硬體、軟體和網路設備,這可能需要專業的IT技能和資源,並可能面臨許多技術挑戰,如不同系統和應用的整合、設定和調試的複雜性。
  2. 大量的事件和告警:導入後可能會生成大量的事件和警報,需要被有效地分析,以識別真實的威脅並作出回應。然而,企業有可能因尚未制定完善的處理流程,或缺乏判斷優先順序的能力,以致落入「有可視性,卻無應變力」的窘境。
  3. 資安人才培訓:專業的資安人才是SOC維運的基礎條件,資安工程師可能需要與MIS工程師等相關人員溝通協作,甚至是培養跨IT領域的技術專業。但是市場上的資安人才相對有限,且培訓成本高,在精簡化組織中經常以委外承包,如何識別託管商的服務品質也是一大考驗。
  4. 預算限制和成本優化:資安維運需要相當的預算投入,包括硬體、軟體、設備、人才等。如何在投入和效益之間找到平衡,甚至是回歸總體架構調整問題源頭,優化成本、降低潛在風險,需要從營運者的高度來檢視。
  5. 法遵或合規性限制:企業可能需要遵守相關的法遵和合規性要求,如GDPR、HIPAA、PCI DSS等。資安維運需要確保符合ISMS、內稽外稽等合規性要求,包括事件的監控、報告和追踪。

 

哪些企業適合評估導入SIEM和SOC?

市面上的資安決方案千百種,企業的資訊及資安人員須根據挑選合適的解決方案,才不會浪費冤枉錢。

1. 已經部署一定數量的資安工具,有充足資料來源

基礎的SIEM工具不是單獨運作,它需要蒐集來自各種資安工具的回傳資料,可能是Firewall、EDR、雲端資訊串流等等,將Syslog、CEF等Log資料回傳,才能進行路徑分析和阻擋規則調校等進階防禦措施。也就是說,如果您的企業是從零開始評估資訊安全工具,那SIEM確實不是首要之選。

Microsoft sentinel data connectors

▸Microsoft Sentinel透過data connectors可整合多方Log資源

2. 網路連接量大、雲端服務使用頻繁

擁有大量敏感資訊,受到高度監管、需要完整可視性

如果是網路連接量大、雲端服務使用頻繁的企業,例如使用電商平台、遊戲產業、SaaS服務公司,比較可能會考慮導入SIEM和SOC來監控和管理其網路、應用程式和資訊系統。他們往往面臨較複雜的網路威脅,包括DDoS攻擊、網頁應用程式攻擊、跨站腳本攻擊等,且一但停機將造成商業停擺。

3. 擁有大量敏感資訊,受到高度監管、需要完整可視性

SIEM工具與SOC團隊的協作宗旨在於更加完整的掌控資訊環境可視性(visibility),特別是在金融、醫療、能源、電信和政府等高度管制或合規性要求產業中的企業,往往需要對資料保密性和完整性進行嚴格的監管,保護其資訊系統不受未授權存取、資料外洩、惡意軟體攻擊等威脅。這些企業可能是評估導入SIEM和SOC的首要對象。

 

人劍合一,打造資安監控塔台 — 自由系統SIEM x SOC整合服務

「一個場景,各自表述」是現今業界的普遍情形,資訊安全領域的專業門檻高,解決方案多元,加上技術變遷快速,企業並不知道該如何因應複雜且多變的攻擊形態,該從何處下手。

自由系統作為一站式的資安託管商,提供企業「服務本位、按需訂閱」的資安全套服務,如果企業缺少具備實戰經驗的資安監控人員,缺乏導入SIEM工具的技術知識,甚至是不知道怎麼判讀告警、分析事件、回應威脅,都可以透過自由系統的SOC資安監控維運服務取得您所需要的協助。

自由系統soc服務模式

▸自由系統提供四種服務模式,讓企業可以更彈性的選擇如何佈建資安系統

 

👉更多SIEM X SOC整合展示請見YouTube