什麼是安全資訊與事件管理 (SIEM)？

SIEM 會持續從環境中的各個來源收集安全性資料，將資料正規化成為一致格式，並分析辨識威脅和安全事件。這套系統會擷取防火牆、入侵偵測系統、端點、雲端服務和應用程式的記錄，接著套用關聯規則，連結可能代表攻擊的相關事件。SIEM 偵測到可疑模式或與已知威脅指標相符的活動時，會發出警告，供資安團隊調查。

SIEM 程序涵蓋以下步驟：

• 資料收集：代理和連接器會即時收集基礎架構各部分的記錄和事件
• 正規化：將原始資料轉換為標準化格式，比較及分析不同來源的資訊
• 關聯性和分析：系統會套用規則和機器學習模型，找出事件之間的關係，並偵測出代表威脅的異常狀況
• 生成警告：分析結果發現潛在安全事件時，SIEM 會根據嚴重程度和風險，依優先順序發出警告
• 調查支援：資安分析師可使用 SIEM 的搜尋和視覺化功能，檢查警告、重建攻擊時間軸，並決定適當的應變措施
• 應變協調：SIEM 可觸發自動應變機制，或引導分析師完成事件應變工作流程

SIEM 平台由多個整合元件組成，各元件會互相配合收集資料、偵測威脅及協調應變措施，在整體安全監控和事件應變程序中發揮特定功能。

記錄檔管理是 SIEM 的核心功能，負責收集、儲存及編製基礎架構中大量事件資料的索引。SIEM 會將作業系統、資料庫、網路裝置、安全工具和雲端服務的記錄，彙整至中央存放區，以便搜尋和分析。這個統一的記錄檔儲存庫提供調查事件所需的背景資訊，可找出攻擊模式，且遵循資料保留的法規。

威脅偵測功能會分析傳入的資料串流，在安全事件發生時立即識別。SIEM 系統融合多種偵測方法，包括以特徵規則比對已知攻擊模式、分析異常活動的行為，以及可辨識細微入侵跡象的機器學習模型。Google Threat Intelligence 提供攻擊戰術、惡意軟體系列和新興威脅的背景資訊，以便深入分析。

警告功能會將偵測到的威脅通知資安團隊，做為行動依據。SIEM 會根據風險評分標準和組織的優先順序，評估每個發現的問題，確定警告的嚴重程度及傳送路徑。Mandiant Digital Threat Monitoring 可監控外部來源，找出鎖定貴組織的威脅，提升警告功能。

應變功能可協助資安團隊阻止及修復已發現的威脅。SIEM 平台可管理案件，引導分析師完成調查和應變工作流程、追蹤採取的行動，並為每起事件保留稽核追蹤記錄。Mandiant Consulting 服務可協助制定有效的應對手冊，快速調查、遏止及修復網路事件。

採用自動化和自動化調度管理機制，可減少處理警告及應對常見威脅所需的人力。自動化安全性調度管理和應變 (SOAR) 功能可制定工作流程，在符合特定狀況時，自動執行多步驟應變程序。例如，當 SIEM 在端點偵測到惡意軟體時，自動化應對手冊可能會隔離該裝置、收集鑑識證據，以及掃描其他系統尋找類似指標，建立支援單供分析師檢視。

資安分析師可運用威脅搜索功能，主動尋找躲過自動偵測機制的威脅。SIEM 提供查詢介面和視覺化工具，讓威脅搜索人員探查環境、測試攻擊者行為假設，找出潛在的入侵行為。Mandiant Threat Detection and Hunting 服務運用 SIEM 平台，全面搜索進階威脅。

法規遵循功能有助組織符合法規要求及產業安全標準。SIEM 會根據 HIPAA、PCI DSS、GDPR 和 SOX 等法規遵循要求，自動收集並保留記錄，為稽核人員提供驗證安全控管機制的證據。預先建立的法規遵循報告會將記錄資料對應至特定法規要求，顯示符合規定的系統，並標出需注意之處。

成功導入 SIEM，需要審慎規劃並分階段執行：

1. 確立明確目標：找出想透過 SIEM 達成的特定安全與法規遵循目標，例如偵測勒索軟體攻擊、監控特殊權限存取、符合 PCI DSS 規定。
2. 評估環境：記錄所有需要導入 SIEM 的系統、應用程式和資料來源，並優先處理重要資產和高價值目標。
3. 選取適當的資料來源：整合最重要的記錄來源，例如網域控制器、防火牆和端點安全工具，再擴及次要的系統。
4. 設定資料收集功能：設置代理、連接器和 API，從已識別的來源可靠地收集記錄，且不會影響系統效能。
5. 正規化及擴充資料：設立剖析規則，從原始記錄擷取相關欄位，並加入資產、使用者和威脅情報的背景資訊，擴充事件內容。
6. 整理實際案例：依據貴組織面臨的威脅，建立專屬的偵測規則和關聯邏輯，並從高優先順序的狀況著手。
7. 調整偵測規則：測試並修正規則，在降低偽陽率的同時，維持對真實威脅的靈敏度。
8. 建立工作流程：針對不同類型的事件制定調查和應變程序，並記錄角色、職責和提報標準。
9. 訓練團隊：提供 SIEM 平台、調查技術和應變程序的完整訓練。
10. 監控及最佳化：持續審核 SIEM 表現、警告品質和應變指標，視需要調整，逐步提升成效。

SIEM 能支援組織的各種資安情境，包括偵測威脅和管理法規遵循情形等。資安團隊可運用 SIEM 功能，解決當下的安全需求和長期的營運難題。

SIEM 的常見用途包括：

1. 分析大量資料來源：雲端和物聯網的快速普及，代表資安遙測資料量增加，且需要擷取 DNS 和 DHCP 等伺服器記錄檔，才能判斷是否有安全漏洞。SIEM 可分析大量且複雜的資料來源，在好幾 PB 的資料中搜尋，不到 1 秒即可找出所需結果，而且提供足夠規模，全面涵蓋現代基礎架構。
2. 延長端點遙測資料保留時間：一般可能會認為 EDR 工具的資料是網路中所有裝置的單一事實來源。不過，由於成本高昂，EDR 資料可能無法長期保留。SIEM 可將擷取及儲存端點遙測資料的時間至少延長十倍，並將這些資料與更廣泛的企業信號建立關聯，進而提升掌握程度及深入分析成效。
3. 自動化應變與調度管理：在任何安全事件中，應變時間都是關鍵。然而，許多組織缺乏自動化及自動調度管理功能，應對威脅時，必須消耗大量人力，又無法及時採取行動。有了統一的 SecOps 平台，團隊就能運用自動化應對手冊、案件管理和協作功能，更快且更有效地應對威脅。

選擇合適的 SIEM 時，必須仔細評估不同解決方案是否符合貴組織的特定安全需求、基礎架構和資源。您需要考量技術能力和營運因素，例如部署複雜度、持續維護需求和總持有成本。最適合貴組織的 SIEM 解決方案，應能兼顧偵測成效、擴充性和可用性，並與現有工具完美整合。

評估 SIEM 解決方案時，請參考下列條件：

• 擴充性：確認平台能處理目前的記錄檔量，並隨著組織成長，效能也不會降低
• 整合功能：尋找現成的連接器，將現有的資安工具、雲端平台和企業應用程式整合在一起
• 偵測成效：評估關聯規則、機器學習模型和威脅情報整合的精細程度
• 自動化支援：判斷建構自動應變工作流程，以及與自動化調度管理平台整合的難易度
• 法規遵循支援：確認解決方案包含符合法規要求的報表和功能
• 總持有成本：計算實作和持續營運所需的授權費用、基礎架構需求和人力需求

SIEM 的未來發展將著重於提升自動化程度、加強資安工具的整合，以及運用人工智慧進行更精密的分析。我們認為 SIEM 會從獨立平台演變成整合式資安營運解決方案，將威脅偵測、調查和應變功能與擴展式偵測與應變 (XDR) 和資安協調機制完美結合。機器學習技術將持續發展，除了簡單的異常偵測外，還能提供預測功能，在攻擊初期就找出威脅，避免造成重大損害。隨著機構採用更多雲端服務和分散式架構，雲端原生 SIEM 解決方案將成為標準，提供更出色的擴充性，並內建與雲端安全控管機制的整合功能。

無論您需要完整的代管 SIEM 服務，還是想運用特定功能，Google Security Operations 都能提供彈性選項，滿足您的資安營運需求。我們提供全方位的 SIEM 功能，可透過雲端原生擴充性處理大量記錄、運用進階分析技術減少誤報，並與更廣泛的 Google Cloud 安全性生態系統緊密整合。Google Security Operations 內建資料連結器，可與現有的安全工具和服務順暢整合，省去自訂整合的複雜程序。