ตรวจจับภัยคุกคามด้วย SIEM แบบ Rule หรือ Model ต่างกันอย่างไร

August 6, 2018 Cybersecurity, EDR/NDR/XDR/SIEM, Products

Exabeam หนึ่งในผู้ให้บริการ SIEM ได้นำเสนอแนวทางและความหมายของ Rule และ Model ว่ามีการใช้งานแตกต่างกันอย่างไร เพราะเมื่อก่อน SIEM จะใช้ Signature ตรวจจับภัยคุกคามแต่ปัจจุบันมีทางเลือกใหม่คือ Correlation Rule และ Model ซึ่งเราเห็นว่าเป็นป็นประโยชน์ดีจึงขอนำเสนอให้ได้อ่านกัน

Correlation Rule 

Logical Expression ที่ถูกกำหนดไว้เป็นเงื่อนไขเพื่อให้ระบบปฏิบัติตาม ข้อจำกัดคือต้องใช้ความรู้ของผู้เขียน Rule สูงและไม่ได้อ้างอิงกับเหตุการณ์ที่เคยเกิดขึ้นมาแล้ว อย่างไรก็ตาม Rule สามารถปฏิบัติงานตามที่ถูกกำหนดได้เองและสามารถผสมผสานหลายเหตุการณ์ได้ เช่น ถ้าเซิร์ฟเวอร์มีการพิสูจน์ตัวตนผิดพลาด 3 ครั้งจากไอพีเดิมภายในเวลา 1 ชั่วโมงและมีชื่อผู้ใช้งานต่างกันให้แจ้งเตือน หรือ ถ้าล็อกอินสำเร็จหลังจากมีเหตุผิดพลาดเกิดขึ้นหลายครั้งให้แจ้งเตือน เป็นต้น

Model 

โมเดลจะทำการสร้างโปรไฟล์ผู้ใช้งานหรือประเมินพฤติกรรมปกติ โดยถ้าหากพฤติกรรมเบี่ยงเบนออกจากความปกติจนถือว่าเข้าข่ายผิดปกติจึงมีการแจ้งเตือน ซึ่งภายในโมเดลผู้ใช้งานก็สามารถใช้ Rule เพื่อแยกแยะประเภทของพฤติกรรมต่างๆ ได้ ดังนั้นความแตกต่างระหว่าง Correlation และ Model คือ Model จะไม่ทำการแจ้งเตือนในทุกเหตุการณ์เพราะจะแจ้งเตือนเฉพาะพบความผิดปกติเกินค่าที่กำหนดไว้ซึ่งได้มาจากการเรียนรู้ สำรวจพฤติกรรมปกติ รวมถึงไม่ต้องการความรู้ของภัยคุกคามอย่างเฉพาะเจาะจงมากเท่ากับการใช้ Correlation ตัวอย่างการใช้งาน เช่น มีผู้ใช้ล็อกอินทางไกลในเวลาตี 3 ไปยังฐานข้อมูลในสิทธิ์ผู้ดูแล หรือ เปลี่ยนสิทธิ์ธรรมดาไปเป็นระดับสูงเพื่อถ่ายโอนข้อมูลไปยังบริการใดๆ อย่างผิดปกติ

หลักการใช้งานของทั้งสองรูปแบบทาง Exabeam ให้แนวคิดและความแตกต่างในการใช้งานดังนี้

Correlation  
  • ภัยคุกคามที่รู้จักกันดีอยู่แล้ว (Well-known Threat) เช่น วิธีการยอดฮิตของแฮ็กเกอร์เพื่อเข้าถึงทรัพยากรซึ่ง SIEM หลายเจ้าก็เขียน Rule เบื้องต้นมาให้แล้ว
  • Compliance กฏระเบียบปฏิบัติ เช่น GDPR PCI DSS หรืออื่นๆ ซึ่งถ้ารู้ว่าอะไรจะละเมิดกฏระเบียบเหล่านี้อยู่แล้วก็กำหนดไว้ได้ก่อนเลย
  • Signature-base Threat วิธีการตรวจจับมัลแวร์แบบเดิมก็ยังจำเป็นและการใช้ Rule สามารถช่วยอัปเดตฐานข้อมูลการป้องกันเหล่านี้ได้เช่นกัน
Model
  • Behavior-based Threat การติดตามพฤติกรรมทั้งปกติและไม่ปกติจะช่วยให้เห็นมุมมองแนวโน้มของภัยคุกคามได้มากขึ้น
  • Data Exfiltration อีกกรณีภัยคุกคามยอดฮิตที่ตรวจจับได้ยาก โดยแฮ็กเกอร์ที่พยายามขโมยข้อมูลออกไปนอกองค์กร อันที่จริงแล้วอาจเกิดขึ้นได้จากแฮ็กเกอร์ พนักงาน หรืออดีตพนักงาน ก็เป็นได้
  • Zero-day เราไม่มีทางรู้สิ่งที่ไม่เคยเกิดขึ้นมาก่อนได้แต่เราสามารถรู้สิ่งที่ผิดปกติจากการใช้งานได้ ตรงนี้เอง Correlation Rule ทำให้เราไม่ได้อย่างแน่นอน

ที่มา : https://www.exabeam.com/siem/siem-threat-detection-rules-or-models/

Tags

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Salesforce เข้าซื้อกิจการ Fin มูลค่าราว 3,600 ล้านดอลลาร์ เสริมแกร่ง AI Agent งานบริการลูกค้า

Salesforce ประกาศลงนามข้อตกลงขั้นสุดท้ายเข้าซื้อกิจการ Fin ผู้ให้บริการแพลตฟอร์ม customer agent ในมูลค่าราว 3,600 ล้านดอลลาร์สหรัฐ เพื่อนำเทคโนโลยี AI Agent สำหรับงานบริการลูกค้ามาเสริมความสามารถให้กับ Agentforce

Cisco ออกแพตช์แก้ช่องโหว่ Zero-day บน Catalyst SD-WAN Manager ที่ถูกใช้โจมตียกระดับสิทธิ์เป็น root

Cisco ปล่อยอัปเดตด้านความปลอดภัยแก้ช่องโหว่บน Catalyst SD-WAN Manager (เดิมคือ SD-WAN vManage) หลังพบว่าถูกใช้โจมตีจริงในลักษณะ Zero-day เพื่อยกระดับสิทธิ์เป็น root บนระบบที่ได้รับผลกระทบ

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand