Home » SIEM คู่มือ Log Management และ Security Monitoring สำหรับองค์กร
SIEM คู่มือ Log Management และ Security Monitoring สำหรับองค์กร
SIEM คืออะไร? ทำไมองค์กรต้องเก็บ Log และ Monitor Security
SIEM (Security Information and Event Management) คือ ระบบที่รวบรวม Log จากทุกอุปกรณ์ในองค์กร วิเคราะห์หาเหตุการณ์ผิดปกติ และแจ้งเตือน Security Team เมื่อพบภัยคุกคาม ถ้าไม่มี SIEM เมื่อถูก Hack จะไม่รู้ว่าเกิดอะไรขึ้น เมื่อไหร่ ใครทำ เข้ามาทางไหน Log กระจายอยู่ตามอุปกรณ์หลายร้อยตัว ค้นหาเหมือนงมเข็มในมหาสมุทร SIEM รวม Log ไว้ที่เดียว วิเคราะห์อัตโนมัติ แจ้งเตือนทันที
SIEM ทำอะไร
- Log Collection: เก็บ Log จาก Firewall, Server, Switch, AD, Application ทุกอุปกรณ์
- Normalization: แปลง Log จากรูปแบบต่างๆ ให้เป็นรูปแบบเดียวกัน ค้นหาง่าย
- Correlation: เชื่อมโยง Event จากหลายแหล่ง เช่น Login ผิด 10 ครั้ง + VPN Connect จาก IP แปลก = อาจถูก Hack
- Alert: แจ้งเตือน Security Team เมื่อพบเหตุการณ์ผิดปกติ
- Dashboard: แสดงภาพรวม Security ขององค์กร Real-time
- Forensics: ค้นหา Log ย้อนหลัง เมื่อต้องสืบสวนเหตุการณ์
- Compliance: เก็บ Log ตาม Compliance เช่น PDPA, PCI-DSS, ISO 27001
เลือกเครื่องมือ SIEM
| เครื่องมือ |
ราคา |
จุดเด่น |
เหมาะกับ |
| Wazuh |
ฟรี (Open Source) |
SIEM + EDR + Compliance ฟรี ดีมาก |
SMB-Enterprise งบน้อย |
| ELK Stack (Elastic) |
ฟรี / $$ |
Log Management ยืดหยุ่นมาก Dashboard สวย |
DevOps Log Analysis |
| Splunk |
$$$ |
SIEM ดีที่สุด Search ทรงพลัง |
Enterprise งบสูง |
| Graylog |
ฟรี (Open Source) / $$ |
Log Management ง่าย เร็ว |
SMB Log Collection |
| Microsoft Sentinel |
$$$ (ตาม Data) |
Cloud SIEM เชื่อม M365/Azure |
องค์กร Microsoft Cloud |
Log ที่ต้องเก็บ
| แหล่ง Log |
สิ่งที่เก็บ |
ทำไมสำคัญ |
| Firewall |
Allow/Deny, NAT, VPN Login |
ดูว่าใครเข้า-ออก Network |
| Active Directory |
Login/Logoff, Account Lock, Group Change |
ดูว่าใคร Login ผิดปกติ |
| Server (Windows/Linux) |
Event Log, Syslog, Auth Log |
ดูการเปลี่ยนแปลงบน Server |
| Email (Exchange/M365) |
Send/Receive, Login, Forwarding Rule |
ตรวจจับ Phishing BEC |
| Switch/Router |
Config Change, Port Up/Down |
ตรวจจับการเปลี่ยนแปลง Network |
| Endpoint (EDR) |
Process, File, Registry, Network |
ตรวจจับ Malware Ransomware |
| Web Application |
Access Log, Error Log |
ตรวจจับ Web Attack SQL Injection |
SIEM Rules และ Use Cases
| Use Case |
เงื่อนไข |
ความรุนแรง |
| Brute Force |
Login ผิด > 10 ครั้งใน 5 นาที |
High |
| Admin Login นอกเวลา |
Admin Login ช่วง 22:00-06:00 |
Medium |
| VPN จาก IP ต่างประเทศ |
VPN Login จาก GeoIP ต่างประเทศ |
High |
| Firewall Rule Change |
มีการแก้ไข Firewall Rule |
Medium |
| Large Data Transfer |
Transfer > 1 GB ออก Internet |
Medium |
| New Admin Account |
สร้าง Account ใหม่ใน Admin Group |
High |
| Malware Detected |
EDR ตรวจพบ Malware |
Critical |
Log Retention
- Firewall/Network: เก็บ 90 วัน – 1 ปี
- Authentication: เก็บ 1-2 ปี
- Security Events: เก็บ 1-3 ปี
- Compliance: ตาม Requirement เช่น PCI-DSS 1 ปี, PDPA 5 ปี
- Storage: คำนวณ Storage ให้เพียงพอ Log 1,000 EPS ≈ 10-20 GB/วัน
SIEM Best Practices
- เก็บ Log ทุกอุปกรณ์: Firewall AD Server Switch Email Endpoint ไม่มียกเว้น
- เริ่มจาก Use Case สำคัญ: เริ่มจาก 5-10 Use Cases ที่สำคัญที่สุด ค่อยเพิ่ม
- Tune Alert: ปรับ Alert ให้แม่นยำ ลด False Positive ไม่งั้น Security Team จะเพิกเฉย
- Incident Response: มี Playbook ว่าเมื่อได้รับ Alert ต้องทำอะไร ใครรับผิดชอบ
- NTP Sync: ทุกอุปกรณ์ต้อง Sync เวลากับ NTP Server เดียวกัน Log ถึงจะ Correlate ได้
- Backup Log: Backup Log ไป Storage แยก กันถูกลบ/แก้ไข
- Review: Review Alert และ Dashboard ทุกวัน ไม่ใช่ตั้งแล้วลืม
สรุป SIEM — ตาที่มองเห็นทุกอย่างใน Network
SIEM เป็นเครื่องมือสำคัญสำหรับ Security องค์กร เก็บ Log จากทุกอุปกรณ์ วิเคราะห์อัตโนมัติ แจ้งเตือนทันที เริ่มจาก Wazuh (ฟรี) เก็บ Log สำคัญ ตั้ง Use Cases และ Review ทุกวัน หากต้องการข้อมูลเพิ่มเติม ติดตามได้ที่ SiamLanCard.com
