SIEM คืออะไร? ทำไม SIEM ถึงจำเป็นต่อธุรกิจองค์กร?

ทุกวันนี้ Security Information & Event Management หรือ SIEM นั้นได้กลายเป็นเทคโนโลยีด้านความมั่นคงปลอดภัยที่ทุกองค์กรจำเป็นต้องใช้เพื่อรับมือกับภัยคุกคามที่มีความซับซ้อนสูงภายในระบบ IT ที่มีอุปกรณ์จำนวนมหาศาลและหลากหลาย

ในบทความนี้ทีมงาน TechTalkThai จะพาทุกท่านไปรู้จักกับ SIEM โดยสังเขป เพื่อเป็นประโยชน์ต่อชาว IT มือใหม่ หรือผู้ที่ต้องเริ่มหันมารับผิดชอบงานทางด้าน Cybersecurity ในองค์กรกันครับ

Security Information & Event Management (SIEM) คืออะไร? คุณสมบัติของ SIEM มีอะไรบ้าง?

Security Information & Event Management หรือ SIEM คือระบบสำหรับทำหน้าที่ในการรวบรวมข้อมูลด้าน Security ในรูปแบบต่างๆ ไม่ว่าจะเป็น Log, Event, Flow หรืออื่นๆ เพื่อนำมาจัดเก็บ, เปลี่ยนรูปแบบ, ตรวจสอบ, วิเคราะห์, แสดงผล, แจ้งเตือน เพื่อให้ธุรกิจองค์กรสามารถนำข้อมูลด้านความมั่นคงปลอดภัยจากอุปกรณ์ IT หรือ Software จำนวนมากที่มีอยู่มาวิเคราะห์ร่วมกัน และค้นหาปัญหา, ภัยคุกคาม หรือการโจมตีที่เกิดขึ้นอยู่ได้ อีกทั้งยังเป็นแหล่งรวบรวมข้อมูลด้านความมั่นคงปลอดภัยที่จะช่วยให้ธุรกิจองค์กรสามารถตรวจสอบเหตุการณ์การโจมตีที่เกิดขึ้นในเชิงลึก เพื่อระบุถึงสาเหตุ, ความเสียหาย และความเสี่ยงได้อย่างแม่นยำมากยิ่งขึ้น

เดิมที SIEM นั้นวิวัฒนาการมาจาก Log Management System (LMS), Security Information Management (SIM) และ Security Event Management (SEM) จนท้ายที่สุดก็ได้กลายมาเป็น SIEM ซึ่งก็วิวัฒนาการจากโซลูชันในรูปแบบ Hardware Appliance มาสู่ Software และรองรับการใช้งานได้ทั้งแบบ On-Premises และ Cloud

Credit: Splunk

คุณสมบัติของระบบ SIEM โดยทั่วไปจะมีดังต่อไปนี้

  • Data Aggregation & Log Management จัดเก็บรวบรวมข้อมูลด้านความมั่นคงปลอดภัยและบริหารจัดการข้อมูลในส่วนนี้
  • Data Correlation วิเคราะห์หาความสัมพันธ์ระหว่างเหตุการณ์ เพื่อให้ทำความเข้าใจลำดับเหตุการณ์และความเกี่ยวพันได้อย่างง่ายดายและชัดเจนยิ่งขึ้น
  • Monitoring & Alerting ตรวจสอบค้นหาเหตุการณ์ผิดปกติและภัยคุกคามต่างๆ รวมถึงทำการแจ้งเตือนผู้ดูแลระบบ โดยมีปริมาณของเหตุการณ์ที่แจ้งเตือนอย่างเหมาะสม คัดกรองเหตุการณ์ที่ไม่เกี่ยวข้องหรือไม่สำคัญออกไป เพื่อไม่ให้เกิดการล้นทะลักของการแจ้งเตือน
  • Dashboard แสดงผลภาพรวมด้านความมั่นคงปลอดภัยและจัดลำดับของเหตุการณ์ต่างๆ ที่เกิดขึ้น พร้อมเปิดให้ผู้ดูแลระบบทำการ Drill Down เพื่อตรวจสอบข้อมูลในเชิงลึกได้ง่าย
  • Compliance & Reporting ทำการสอบเทียบให้ระบบ IT ทำงานได้ตรงตามมาตรฐานด้านความมั่นคงปลอดภัย และออกรายงานเชิงลึกสำหรับประเด็นต่างๆ
  • Retention ทำการจัดเก็บข้อมูลด้านความมั่นคงปลอดภัยย้อนหลังเอาไว้ตามเวลาที่กำหนดโดยควบคุมให้ข้อมูลเหล่านี้ไม่ถูกลบหรือทำลายก่อนเวลาที่กำหนดได้ ให้สอดคล้องกับข้อกฎหมายหรือข้อบังคับใดๆ และทำการกทำลายข้อมูลเมื่อหมดระยะเวลาที่ต้องจัดเก็บโดยอัตโนมัติ
  • Forensic Analysis มีเครื่องมือสำหรับช่วยค้นหาและวิเคราะห์ข้อมูลด้านความมั่นคงปลอดภัยทั้งในแบบย้อนหลังและ Real-Time พร้อมตัวช่วยอื่นๆ เพื่อช่วยในการสืบสวนเหตุการณ์ต่างๆ ที่ต้องการได้อย่างสะดวก

โดยทั่วไปแล้วประสิทธิภาพของระบบ SIEM จะวัดกันที่ค่า Event Per Second (EPS) หรือ Flow Per Second (FPS) หรือค่าอื่นๆ ซึ่งระบุถึงประสิทธิภาพในการประมวลผลข้อมูลด้านความมั่นคงปลอดภัยในแต่ละรูปแบบต่อวินาที เพื่อให้ผู้ใช้งานสามารถประเมินและออกแบบระบบให้รองรับต่อความต้องการในส่วนนี้ได้

องค์ประกอบของ SIEM

ถึงแม้เทคโนโลยี SIEM จะมีผู้พัฒนาที่หลากหลาย และแต่ละเทคโนโลยีอาจใช้ชื่อเรียกที่แตกต่างกันออกไป แต่โดยทั่วไปแล้วในระบบ SIEM จะมีองค์ประกอบดังต่อไปนี้

  • Data Collector ระบบสำหรับทำหน้าที่รวบรวมข้อมูล Log, Event, Flow ซึ่งมีทั้งในรูปแบบของ Protocol เพื่อส่งข้อมูลจากระบบใดๆ ออกมายัง Data Collector, Software Agent ที่ดึงข้อมูลจากระบบต่างๆ ส่งมายัง Data Collector และการที่ Data Collector เชื่อมต่อไปยังระบบต่างๆ เพื่อดึงข้อมูลออกมาโดยตรง
  • Data Processor ระบบสำหรับทำหน้าที่แปลงข้อมูล, วิเคราะห์ความสัมพันธ์ของข้อมูล และจัดข้อมูลให้อยู่ในรูปที่นำไปใช้งานได้อย่างง่ายดายและรวดเร็ว
  • Data Visualizer & Searcher ระบบสำหรับการแสดงผลข้อมูล และค้นหาข้อมูลเหตุการณ์ด้านความมั่นคงปลอดภัย

อย่างไรก็ดี ด้วยการที่ SIEM นั้นเป็นเทคโนโลยีที่ถูกพัฒนาในรูปแบบของ Software มาตั้งแต่แรกเริ่ม ทำให้ SIEM นั้นนำแนวคิดของ Software-Defined มาใช้ได้อย่างรวดเร็ว และทำให้องค์ประกอบต่างๆ ของ SIEM นั้นอยู่ในรูปแบบของ Software ส่งผลให้บางครั้งในอุปกรณ์หรือ VM ของ SIEM ชิ้นเดียว สามารถทำหน้าที่ได้หลากหลาย

โดยส่วนมากแล้ว โซลูชัน SIEM แบบเริ่มต้นมักรวมเอาองค์ประกอบทั้งหมดเอาไว้ในระบบเดียวเพื่อให้สามารถเริ่มต้นนำไปใช้งานได้ง่าย และในโซลูชัน SIEM สำหรับธุรกิจองค์กรที่มีขนาดใหญ่หรือมีหลายสาขา ก็อาจมีการแยกส่วนของระบบออกจากกัน เพื่อให้สามารถทำการออกแบบติดตั้งระบบได้อย่างอิสระ รองรับสถาปัตยกรรม IT ของแต่ละองค์กรได้อย่างยืดหยุ่น

การใช้งาน SIEM เกิดขึ้นได้ในรูปแบบใดบ้าง?

โดยทั่วไปแล้วการใช้งาน SIEM จะมีด้วยกัน 4 รูปแบบ ดังนี้

  1. การติดตั้งใช้งานเองภายในองค์กรแบบ On-Premises
  2. การใช้ SIEM ในรูปแบบบริการ Cloud
  3. การเช่าใช้งาน SIEM ในแบบ as-a-Service
  4. การใช้งาน Security Operations Center (SOC) หรือ Managed Security Services ที่มีการให้บริการ SIEM

การใช้งาน SIEM หลากหลายรูปแบบพร้อมๆ กันในระบบ IT เดียวกันก็เป็นเหตุการณ์ที่มักพบเห็นได้ในธุรกิจองค์กรขนาดใหญ่ เพื่อให้รองรับต่อสถาปัตยกรรม IT ที่มีความซับซ้อนสูง หรือรองรับต่อข้อกำหนดที่เข้มงวดแตกต่างกันในแต่ละระบบย่อยได้

Credit: Splunk

SIEM สามารถนำไปต่อยอดได้อย่างไรบ้าง?

จากคุณสมบัติของ SIEM ที่มีการรวบรวมและนำข้อมูลและเหตุการณ์ด้าน Security ไปทำการวิเคราะห์ ทำให้ SIEM นั้นสามารถถูกนำไปใช้ต่อยอดได้หลากหลาย ดังนี้

  • ทำ Security Analytics วิเคราะห์ข้อมูลด้านความมั่นคงปลอดภัยร่วมกับแหล่งข้อมูลอื่นๆ
  • ต่อยอดระบบสู่ SOAR (Security Orchestration, Automation, and Response) จัดการประเด็นด้านความมั่นคงปลอดภัยโดยอัตโนมัติ
  • ต่อยอดระบบสู่ EDR, NDR, XDR วิเคราะห์ข้อมูลด้านความมั่นคงปลอดภัยเฉพาะส่วนอย่างเข้มข้นยิ่งขึ้น
  • ต่อยอดระบบสู่การนำ AI มาใช้วิเคราะห์ข้อมูลด้านความมั่นคงปลอดภัย

ที่มา:

https://en.wikipedia.org/wiki/Security_information_and_event_management
https://www.techtarget.com/searchsecurity/definition/security-information-and-event-management-SIEM
https://www.gartner.com/en/information-technology/glossary/security-information-and-event-management-siem
https://www.ibm.com/topics/siem
https://www.mcafee.com/enterprise/en-us/security-awareness/operations/what-is-siem.html
https://www.exabeam.com/siem-guide/what-is-siem/
https://logrhythm.com/what-is-siem/
https://www.fireeye.com/products/helix/what-is-siem-and-how-does-it-work.html
https://www.juniper.net/us/en/research-topics/what-is-siem.html
https://www.splunk.com/en_us/data-insider/what-is-siem.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] ดีอีเอส – ดีป้า ปรับไทม์ไลน์ HACKaTHAILAND ตามเสียงเรียกร้อง เดินหน้าขยายเวลารับสมัครแข่งขันแฮกกาธอน พร้อมเนรมิตพื้นที่ย่านบางนาสู่เมืองดิจิทัลเพื่อคนไทย

กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม และ สำนักงานส่งเสริมเศรษฐกิจดิจิทัล จับมือพันธมิตรภาครัฐและเอกชน ปรับตารางจัดกิจกรรมโครงการ HACKaTHAILAND ใหม่รองรับทุกโอกาสของทุกคนที่อยากมีส่วนร่วมในการเปลี่ยนประเทศ ด้วยการขยายระยะเวลาการเปิดรับสมัครทีมเข้าแข่งขันกิจกรรม HACKaTHAILAND Competition & Beyond Hackathon ถึงวันที่ 15 …

เสริมแกร่งโหมดป้องกันภัยข้อมูลให้ทุกบริการด้านซอฟต์แวร์ ด้วย Veritas NetBackup SaaS Protection ตอบโจทย์ทุกคอมไพลแอนซ์ในการปกป้องสำรองและกู้คืนข้อมูลจากการใช้งาน Software as a Service

ปัจจุบัน บริการใช้งานด้านซอฟต์แวร์แบบ Software as a Service (SaaS) เป็นที่ยอมรับมากขึ้นไม่ว่าจะโดยรูปแบบใช้งานแบบ On-prem ในองค์กรหรือบนคลาวด์ ตัวอย่างเช่น บริการออฟฟิศ 365 ไมโครซอฟท์ แชร์พอยต์ เป็นต้น ข้อดีก็คือ องค์กรไม่ต้องแบกภาระซ่อมบำรุงซอฟต์แวร์โดยถือเป็นหน้าที่ของผู้ให้บริการ การจ่ายค่าบริการแบบสมัครใช้งาน (Subscription) ที่ยืดหยุ่นต่อองค์กรในการปรับปรุงงบประมาณให้เหมาะกับลักษณะงานและจำนวนผู้ใช้ รวมถึงการเชื่อมโยงการทำงานจากทุกส่วนงานภายใต้มาตรฐานซอฟต์แวร์แบบเดียวกันในทุกที่ทั่วโลก (Remote Working)