รู้จักกับ Security Information and Event Management (SIEM)

Dec 8, 2023

RELATED NEWS

Security Information and Event Management หรือ SIEM โซลูชันการรักษาความปลอดภัยภายในองค์กร ช่วยตรวจหา วิเคราะห์ และตอบสนองต่อภัยคุกคามด้านความปลอดภัยก่อนที่อาจก่อให้เกิดอันตรายต่อการดำเนินธุรกิจได้

เป็นการผสานการทำงานระหว่างการจัดการข้อมูลการรักษาความปลอดภัย (SIM) และการจัดการเหตุการณ์การรักษาความปลอดภัย (SEM) ให้กลายเป็นระบบการวิเคราะห์ Log บนระบบเครือข่ายและการรักษาความปลอดภัยเพียงระบบเดียว หรือที่เรียกว่าเทคโนโลยี SIEM ใช้ในการรวบรวมข้อมูลบันทึกเหตุการณ์จากแหล่งต่าง ๆ ระบุกิจกรรมที่เบี่ยงเบนจากบรรทัดฐานด้วยการวิเคราะห์แบบเรียลไทม์ และการดำเนินการอย่างเหมาะสม

รู้จักกับ Security Information and Event Management (SIEM)

  • ความหมายและหน้าที่

SIEM หมายถึงระบบที่ทำหน้าที่รวบรวมข้อมูลเกี่ยวกับการรักษาความปลอดภัยจากอุปกรณ์ด้านความปลอดภัยของระบบ เช่น Firewall, Active Directory, Endpoint Security หรืออื่น ๆ เป็นต้น โดยใช้วิธีการรับข้อมูลจราจรคอมพิวเตอร์ (Log file) จากอุปกรณ์ดังกล่าว และนำมาวิเคราะห์ตรวจหาภัยคุกคามแบบ Real-Time ตามเงื่อนไขที่ผู้ดูแลระบบได้ทำการตั้งค่ากำหนดไว้ล่วงหน้า (Pre-defined)

  • วิธีการทำงานของระบบ SIEM

ระบบ SIEM ใช้วิธีการผสมผสาน Log file จากหลาย ๆ อุปกรณ์ด้านความปลอดภัย เพื่อสรุปเหตุการณ์ในช่วงเวลาที่เกิดเหตุการณ์ผิดปกติ

SIEM
  • ประโยชน์ของระบบ SIEM

– ทำการรวบรวมข้อมูล Log file ที่มีปริมาณมหาศาลจากอุปกรณ์ต่าง ๆ มาอยู่ในระบบเพื่อลดความซับซ้อนของปริมาณข้อมูลที่มีจำนวนมาก ทำให้ผู้ดูแลระบบสามารถเข้าใจเหตุการณ์ภัยคุกคามต่าง ๆ ที่เกิดขึ้นภายในองค์กรได้ง่ายขึ้น

– รองรับการกำหนดเงื่อนไขการตรวจจับ (Use case) ล่วงหน้า เพื่อให้ผู้ดูแลระบบไม่จำเป็นต้องเข้ามาไล่ดู Log file จำนวนมากตลอดเวลา และสามารถลดระยะเวลาการตรวจจับให้น้อยลงได้

– ระบบ SIEM รองรับการ Integrate กับระบบฐานข้อมูลไซเบอร์อัจฉริยะ (Threat Intelligence) เพื่อเสริมสร้างให้ระบบ SIEM สามารถให้คำแนะนำ หรือจัดลำดับความเสี่ยงของภัยคุกคามที่ตรวจพบ ได้อย่างถูกต้องและแม่นยำขึ้น

– สามารถรองรับ Log file ได้ทุกประเภท ซึ่งแตกต่างจากระบบ Extend detection and Response (XDR) ที่รองรับ Log file ได้แบบจำกัดผลิตภัณฑ์

  • ผลิตภัณฑ์และบริการ

UIH ให้บริการติดตั้งระบบ SIEM ยี่ห้อ IBM QRadar สำหรับลูกค้าที่สนใจในบริการ SIEM โดย IBM QRadar มักถูกนำมาติดตั้งและใช้เฝ้าระวังภัยคุกคามภายใต้ศูนย์เฝ้าระวังภัยคุกคามทางไซเบอร์ (CSOC) สำหรับ IBM QRadar เป็นที่นิยมในกลุ่มธุรกิจใหญ่ ๆ ทั้งในส่วนของธนาคารต่าง ๆ หรือธุรกิจต้องการความปลอดภัยจากการถูกโจมตีทางไซเบอร์ ซึ่งมีความน่าเชื่อถือสูง ได้รับการยอมรับและการจัดอันดับจากองค์กรชั้นนำที่หลากหลายอาทิ เช่น Garner, The Forrester wave และ Magic Quadrant

สนใจบริการด้าน Cyber Security ติดต่อ UIH ที่นี่