8 ข้อแนะนำ ประยุกต์ระบบ Log Management สู่การทำ Threat Detection และ Incident Response

ที่ผ่านมานั้นระบบ SIEM ได้รับความนิยมสูงและเข้ามาเติมเต็มระบบ Log Management อยู่ระยะหนึ่ง แต่ในช่วงไม่กี่ปีที่ผ่านมานี้ ด้วยปริมาณข้อมูล Log ภายในองค์กรที่เติบโตอย่างรวดเร็ว ทำให้ SIEM ที่มักมีค่าใช้จ่ายสูงขึ้นตามปริมาณข้อมูลไม่สามารถตอบโจทย์ให้กับเหล่าองค์กรได้อีกต่อไป การนำ Log Management มาใช้ร่วมกับเครื่องมือต่างๆ ในการทำ Threat Detection และ Incident Response เพิ่มเติมจึงกลายมาเป็นอีกทางเลือกหนึ่งที่น่าสนใจ Softnix ในฐานะของผู้ผลิตระบบ Log Management และมีประสบการณ์มาอย่างยาวนาน จึงได้ทำการศึกษาแนวทางเหล่านี้และนำมาสรุปให้ผู้อ่านทุกท่านได้นำไปประยุกต์ใช้กันดังนี้

 

Credit: ShutterStock.com

 

1. จัดกลุ่ม Event Source ให้ดี ก่อนเลือกเทคโนโลยีมาใช้งาน

การพิจารณาขั้นแรกนั้นควรเริ่มต้นจากการทราบให้ชัดก่อนว่าเรามีระบบ IT อะไรที่สามารถให้ข้อมูล Security Event อันจะเป็นประโยชน์กับการวิเคราะห์ได้บ้าง จากนั้นจึงแบ่งเหล่า Event Source เหล่านี้ออกเป็นสองกลุ่มหลักๆ ด้วยกัน ได้แก่ กลุ่มอุปกรณ์ที่จำเป็นต้องเก็บข้อมูล Log แน่ๆ อย่างอุปกรณ์ทางด้าน Security, อุปกรณ์ Network, ระบบ Identity Management, และระบบ Platform หรือ Application ที่มีความสำคัญสูงภายในองค์กร และกลุ่มอุปกรณ์ที่นอกเหนือจากนี้ ก็นับเป็นกลุ่มอุปกรณ์ที่มีความสำคัญรองลงมาในการจัดเก็บข้อมูล Log

 

2. แบ่งช่วงระยะเวลาที่ควรจัดเก็บข้อมูล Log ให้แตกต่างกันตามการใช้งาน

ขั้นตอนถัดมาคือการเลือกว่าจะจัดเก็บข้อมูล Log ใดไว้ใช้งานประเภทใดนานแค่ไหน เพื่อให้เลือกใช้พื้นที่จัดเก็บข้อมูล Log ได้อย่างเหมาะสม เช่น หากบางข้อมูลนำมาใช้วิเคราะห์จบแล้วก็ไม่มีความจำเป็นในการจัดเก็บอีกต่อไป ก็อาจเลือกจัดเก็บเพียง 90 วันเพื่อให้ตอบโจทย์ต่อพรบ.เท่านั้น หรือบางข้อมูลที่เกี่ยวข้องกับการทำ Compliance ก็อาจต้องจัดเก็บนานกว่านั้น หรือหากมีแผนที่จะทำระบบ Security Analytics ด้วย Machine Learning ในอนาคต ก็ควรจะต้องวางแผนจัดเก็บข้อมูลเอาไว้ทำ Training สำหรับ Machine Learning Model ด้วย ซึ่งอาจต้องเก็บข้อมูลย้อนหลังเอาไว้นานกว่า 90 วันเช่นกัน

 

3. วิเคราะห์ว่าข้อมูล Log เกิดขึ้นจากแหล่งใดมากน้อยเพียงใด

ด้วยความที่ปัจจุบันองค์กรนั้นมีการใช้งานระบบ IT Infrastructure แบบ Hybrid ทำให้มีระบบงานอยู่บนทั้ง On-premise Data Center และ Cloud ควบคู่กันไป การสำรวจว่าระบบใดมีการสร้างข้อมูล Log นั้นเกิดขึ้นจากแหล่งใดมากน้อยแค่ไหนนี้จะช่วยให้สามารถเลือกได้ถูกว่าบนระบบใดจะมีระบบ Log ที่มีขนาดใหญ่เพียงใด และต้องทำการวิเคราะห์ข้อมูลมากน้อยเพียงใด เพื่อให้เหมาะสมต่อสภาพการใช้งานจริง

 

4. เริ่มต้นเลือกเครื่องมือที่เริ่มต้นใช้งานได้ง่ายก่อน เพื่อให้เห็นผลลัพธ์ก่อนต่อยอดเพิ่มเติมในภายหลัง

การนำข้อมูล Log มาใช้ต่อยอดเพื่อวิเคราะห์โดยเฉพาะในเชิง Security นั้น การนำหลักการแบบ Lean มาใช้เพื่อให้เริ่มเห็นผลลัพธ์จากเครื่องมือที่ใช้งานง่ายก่อน แล้วค่อยมาทำการวางแผนเพิ่มเติมภายหลังว่าต้องปรับปรุงอะไรเพิ่มเติมบ้าง จากนั้นจึงค่อยวางแผนว่าจะนำข้อมูล Log ไปต่อยอดเพิ่มเติมด้วยวิธีการใดบ้างถือเป็นทางเลือกที่ดี เพราะจะทำให้ทีมงานทั้งหมดเห็นภาพตรงกันว่าข้อมูล Log นั้นมีความสำคัญมากน้อยเพียงใด และส่งผลให้เหล่าผู้ดูแลระบบอื่นๆ สามารถเข้าใจประโยชน์ได้ง่ายขึ้น และให้ความร่วมมือได้ง่ายขึ้นในระยะยาว

อย่างไรก็ดี เครื่องมือ Log Management ส่วนมากที่มีความพร้อมในการนำข้อมูลไปวิเคราะห์ต่อยอดได้เหล่านี้ มักเป็นเครื่องมือในกลุ่ม Commercial ที่มีการพัฒนาความสามารถเสริมขึ้นมาให้พร้อมใช้งานง่าย ดังนั้นอาจต้องเลือกพิจารณาให้ดี

 

5. ลองใช้เครื่องมือวิเคราะห์ Log ให้หลากหลายขึ้น

ในบางองค์กรนั้นอาจมีเครื่องมือที่สามารถวิเคราะห์ข้อมูล Log สำหรับงานบางอย่างอยู่แล้ว ดังนั้นการตรวจสอบและสร้างรายการของเครื่องมือที่มีอยู่เดิม พร้อมความสามารถของเครื่องมือเหล่านั้นในการตอบโจทย์เฉพาะทางได้ก่อนนั้นก็จะช่วยให้การวางแผนเกี่ยวกับระบบ Log Management มีความรัดกุมมากยิ่งขึ้น และทำให้ผู้ดูแลระบบมีทางเลือกมากขึ้นในการเลือกเครื่องมือเหล่านั้นมาใช้งาน

 

6. ลองมอง Open Source เพื่อเพิ่มขยายระบบหรือตอบโจทย์ความต้องการอื่นๆ เพิ่มเติม

หนึ่งใน Open Source ที่แนะนำก็คือ Elastic Stack หรือ ELK Stack ซึ่งจะเข้ามาช่วยในการเสริมระบบ Log Management ได้หลังจากที่ทีมงานมีความรู้และประสบการณ์เกี่ยวกับการนำข้อมูล Log มาใช้วิเคราะห์ในเชิง Security เพิ่มขึ้นแล้ว การปรับแต่งระบบให้ตอบโจทย์ความต้องการขององค์กรนั้นก็จะมีทิศทางมากยิ่งขึ้น เพราะองค์กรเริ่มรู้แล้วว่าต้องการอะไรเพิ่มเติมบ้างจากประสบการณ์ที่ผ่านมา

 

7. กำหนดแบบรายงานที่ต้องการ พัฒนา Parser เองหากจำเป็น

ขั้นตอนถัดไปนั้นก็เป็นขั้นตอนของการเริ่มต้นมองหาว่าเราต้องการข้อมูล Log จากแหล่งหรือระบบใดเพิ่มเติมบ้าง และหากแหล่งหรือระบบเหล่านั้นไม่สามารถส่งข้อมูล Log ให้ตรงกับรูปแบบที่เราต้องการได้ การพัฒนา Agent หรือ Parser เพื่อทำหน้าที่เหล่านี้ขึ้นมาเองได้ก็จะช่วยเติมเต็มภาพความต้องการขององค์กรได้ดียิ่งขึ้น ทำให้สามารถควบคุมการรับส่งข้อมูลจากระบบต่างๆ ได้อย่างสมบูรณ์ยิ่งกว่าเดิม

 

8. เรียนรู้แนวคิดและเครื่องมือทางด้าน Data Analytics เพิ่มเติมเสมอ นำมาประยุกต์สร้าง Security Analytics ที่ต้องการได้เอง

สุดท้ายแล้วการที่องค์กรใดๆ จะสามารถนำข้อมูล Log มาใช้ได้อย่างมีประสิทธิภาพมากน้อยเพียงใดนั้น ก็ขึ้นอยู่กับผู้ที่จะนำข้อมูลนั้นๆ มาประยุกต์ใช้งานในรูปแบบต่างๆ การเรียนรู้แนวคิด, เทคโนโลยี และเครื่องมือสำหรับการทำ Data Analytics อย่างต่อเนื่องนั้นจะช่วยให้เหล่าผู้ดูแลระบบ หรือ Security Engineer สามารถก้าวเข้าสู่ศาสตร์ของการทำ Data Analytics และนำความรู้ส่วนนั้นมาประยุกต์ใช้กับงานที่มีอยู่ต่อหน้าได้ดีขึ้น ช่วยเปิดมุมมองในการทำงานให้กว้างขึ้นได้ และยังช่วยให้อนาคตมีทางเลือกมากขึ้นไปด้วยอีกทางหนึ่งไม่ว่าจะในสายงาน IT Infrastructure หรือสายงานทางด้าน Data Engineering ก็ตาม

 

Softnix Logger ระบบจัดเก็บข้อมูล Log และ Softnix Data Platform for Log Analytics ระบบวิเคราะห์ข้อมูล Log สำหรับองค์กร

Softnix Logger คืออุปกรณ์ Log Management Appliance ที่ Softnix ได้ทำการพัฒนาขึ้นมาเพื่อให้ผู้ดูแลระบบสามารถนำไปใช้งานจัดเก็บข้อมูล Log ภายในองค์กร พร้อมหน้าจอบริหารจัดการจากศูนย์กลางผ่านหน้าเว็บให้ใช้งานได้ง่าย อีกทั้งยังมีการพัฒนาระบบ Softnix Log Collector และ Softnix EdgePoint เพื่อตอบโจทย์การจัดเก็บข้อมูล Log และทำ Authentication สำหรับองค์กรที่มีหลายสาขาได้อย่างปลอดภัย นอกจากนี้ Softnix ยังมีผลิตภัณฑ์ที่ต่อยอดเพื่อสร้างระบบ Big Data Analytics จากข้อมูล Log ได้อย่างง่ายดาย ผ่านเครื่องมือ Softnix Data Platform for Log Analytics ทำให้ Security Engineer และ Data Engineer สามารถใช้ประโยชน์จากข้อมูล Log สำหรับวิเคราะห์และ Monitor เพื่อประโยชน์ทางธุรกิจและความมั่นคงปลอดภัยได้อย่างสูงสุด

 

Softnix พร้อมให้คำปรึกษาทางด้านระบบ Log Management และการต่อยอด พร้อมรับสมัคร ISP และ Systems Integrator Partners

สำหรับองค์กรที่สนใจระบบ Log Management หรือต้องการต่อยอดระบบ Log Management ที่มีอยู่เดิมให้สามารถสร้างคุณค่าใหม่ๆ ได้มากขึ้น สามารถติดต่อทีมงาน Softnix เพื่อแจ้งประสงค์การสมัครเป็น Partner และรับข้อมูลเพิ่มเติมได้ทันทีที่คุณรุจิรพงศ์ ฤทธิ์วงศ์ Email rujirapong@softnix.co.th หรือโทร 02-245 4942 #106 และ 081-350-8431 หรือติดต่อคุณอังษณา Email angsana@softnix.co.th หรือโทร 02-245 4942 # 103 และ 081-935 9917 ได้ทันที

 

ข้อมูลเพิ่มเติม



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

HP ออกอัปเดต Keyboard Driver แก้ปัญหา Keylogger ใน Notebook ควรอัปเดตโดยด่วน

HP ได้ออกอัปเดตใหม่สำหรับ Keyboard Driver ใน Notebook จำนวน 475 รุ่นทั้งบนรุ่น Consumer และ Commercial เพื่อแก้ไขโค้ดสำหรับใช้ Debug ที่หลุดไปถึงผู้ใช้งาน …

NVIDIA เปิดตัว NVIDIA TITAN V GPU การ์ดจอ PC เร็วระดับ 110 Teraflops เหนือกว่ารุ่นก่อน 9 เท่า

Jensen Huang ผู้ดำรงตำแหน่ง CEO แห่ง NVIDIA ได้ออกมาประกาศเปิดตัว NVIDIA TITAN V การ์ดจอ PC รุ่นล่าสุดที่มีความเร็วสูงถึง 110 Teraflops …