SIEM คืออะไร? การตรวจจับภัยคุกคามด้วย Security Information and Event Management

Categories

Security Information and Event Management (SIEM) คือระบบที่รวบรวบ Log จากหลายแหล่ง วิเคราะห์ และแจ้งเตือนการโจมตีแบบ Real-time ถือเป็นหัวใจสำคัญของ Security Operations Center (SOC) ในทุกองค์กรขนาดใหญ่

SIEM ทำอะไรบ้าง?

  • Log Collection: รวบรวบ Log จาก Servers, Firewalls, Applications, Databases
  • Log Normalization: ปรับรูป Log ให้อยู่ในรูปแบบมาตรฐานเดียวกัน
  • Correlation Engine: เชื่อมโยง Events หลายตัวเพื่อตรวจจับพฤติกรรมน่าสงสัย
  • Alerting: แจ้งเตือนเมื่อพบเหตุการณ์น่าสงสัย
  • Compliance Reporting: สร้างรายงาน Compliance เช่น PCI-DSS, HIPAA
  • Forensic Investigation: ช่วยสอบสวนหลังเกิดเหตุ Security Incident

SIEM Solutions ที่นิยมใช้

Solution ประเภท คุณลักษณะเด่น
Splunk Enterprise Commercial Powerful Search, หลาย Integrations
IBM QRadar Enterprise Commercial AI-powered Threat Detection
ELK Stack Open-source Elasticsearch + Logstash + Kibana
Wazuh Open-source Host-based IDS + SIEM
Microsoft Sentinel Cloud (Azure) Cloud-native SIEM + SOAR
AWS Security Hub Cloud (AWS) รวบรวม Findings จาก AWS Services

ตัวอย่าง: ติดตั้ง ELK Stack ด้วย Docker

# docker-compose.yml
version: '3'
services:
  elasticsearch:
    image: elasticsearch:8.11.0
    environment:
      - discovery.type=single-node
      - xpack.security.enabled=false
    ports:
      - "9200:9200"

  logstash:
    image: logstash:8.11.0
    ports:
      - "5044:5044"
    volumes:
      - ./logstash.conf:/usr/share/logstash/pipeline/logstash.conf

  kibana:
    image: kibana:8.11.0
    ports:
      - "5601:5601"
    environment:
      - ELASTICSEARCH_HOSTS=http://elasticsearch:9200
# logstash.conf ตัวอย่าง รับเอา Syslog
input {
  syslog {
    port => 5514
  }
  beats {
    port => 5044
  }
}

filter {
  if [type] == "syslog" {
    grok {
      match => { "message" => "%{SYSLOGTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:syslog_hostname} %{DATA:syslog_program}(?:\[%{POSINT:syslog_pid}\])?: %{GREEDYDATA:syslog_message}" }
    }
  }
}

output {
  elasticsearch {
    hosts => ["elasticsearch:9200"]
    index => "syslog-%{+YYYY.MM.dd}"
  }
}

Correlation Rules ตัวอย่าง

  • Brute Force Detection: Login ผิดมากกว่า 10 ครั้งใน 1 นาที จาก IP เดียวกัน
  • After Hours Access: Login นอกช่วงเวลาทำงานปกติ
  • Privilege Escalation: ผู้ใช้ปกติใช้ sudo หรือเปลี่ยน Permission
  • Data Exfiltration: การดาวนโหลดหรือส่งข้อมูลปริมาณมากผิดปกติ
  • Lateral Movement: การเชื่อมต่อหลาย System ในเวลาอันสั้น

สรุป

SIEM เป็นเครื่องมือสำคัญสำหรับทีม SOC ในการตรวจจับและตอบสนองต่อภัยคุกคาม องค์กรที่ใช้ Cloud VPS หรือมี Infrastructure หลายระบบควรพิจารณาติดตั้ง SIEM เพื่อควบคุมและตรวจสอบผิดปกติได้อย่างมีประสิทธิภาพ