การจัดการ Logs ให้มีประสิทธิภาพ และ สอดคล้องกับพรบ.การกระทำผิดทางคอมพิวเตอร์นั้น จำเป็นต้องเก็บRaw Log(ต้นฉบับlog) ไว้ในที่ที่ปลอดภัย ดังนั้น ระบบการจัดการที่มีประสิทธิภาพนั้นต้องมี การเก็บไว้ส่วนกลาง(Centralized Logging Server) โดยจำเป็นต้องมี Log Server ไว้ใช้เพื่อการStoreข้อมูลlogและรักษาความปลอดภัยของData logในเครือข่าย หรือจะทำการSIEMในระดับถัดไป
3 หัวใจหลักในการจัดการLogs (Logs Management)
- Log Generation : การทำให้logเกิดขึ้นบนlog serverได้มีสองลักษณะ
- ลักษณะแรก คือ การตั้งค่าให้log file ถูกส่งไปยัง log server ได้
- ลักษณะสอง คือ การอนุญาติให้log server สามารถเดินทางมาหยิบ log data ที่เครื่อง host ได้
- Log Analysis and Storage : log server ผู้รับlog สามารถเรียกว่า Collectors หรือ Aggregators เพื่อนำไปสู่การAnalysis ตัวจัดการlog server จะมีฟังก์ชั่นอัตโนมัติในการconvert log format ต่างๆมากมาย ให้อยู่ในformatเดียว ซึ้งเรียกว่า การทำNormalization แล้วก่อนจัดเก็บก็ทำการ Compression และ Encryption เพื่อความปลอดภัยของข้อมูลlog
- Log Monitoring : เมื่อทำการรับlogsมาแล้วก็ทำการแสดงผลlogsทั้งหมดเพื่อทำการmonitorจับตาดูlogต่างๆที่เกิดขึ้น หรือ ทำการดูผลโดยแสดงรายงาน(Report) จากฐานข้อมูลLog
SIEM (Security Information Event Management)
เป็น software ตัวนึงที่เข้ามาจัดการLog ไม่ว่าจะเป็นการ จับดูความเคลื่อนไหวต่างๆ(Monitor) , วิเคาระห์Logs(Analysis) , การแปลภาษา แกะภาษาหรือทำการNormalization และการจัดเก็บข้อมูลLogs จนกระทั้งยังมีความสามารถใน Event Correlation , ทำการแจ้งเตือนพฤติกรรมที่ผิดปกติ และยังสามารถช่วยสร้างReportได้ ซึ้งความสามารถที่มีทั้งหมดนั้น ล้วนเกิดมาจาก Software หยิบข้อมูลLogs ที่ Softwareได้ช่วยจัดการไว้ นำมา Analysis
สิ่งที่จำเป็นต้องมี ต้องมีการจัดการ log ไว้ในส่วนกลางหรือทำCentralized Logging Server โดยต้องมีอย่างน้อย หนึ่งเชิฟเวอร์หรือมากกว่านั้น ต่อมาต้องเช็ตค่าอุปกรณ์ต่างๆในเครือข่าย ให้มีการส่งlog data เข้าสู่ส่วนกลาง เพื่อให้เชิฟเวอร์logsใช้งานได้ตรงตามจุดประสงค์
ไม่มีความคิดเห็น:
แสดงความคิดเห็น