SIEM คืออะไร? ทำไมองค์กรต้องเก็บ Log
SIEM (Security Information and Event Management) คือ ระบบรวบรวม Log จากทุกอุปกรณ์และระบบในองค์กร แล้ววิเคราะห์หา Threat ผิดปกติ และแจ้งเตือนอัตโนมัติ Log คือหลักฐานทุกอย่างที่เกิดขึ้นในระบบ ใครเข้าถึงอะไร เมื่อไหร่ สำเร็จหรือไม่ ถ้าไม่เก็บ Log เมื่อเกิดเหตุก็ไม่รู้ว่าเกิดอะไร ใครทำ และเข้าถึงข้อมูลอะไรบ้าง
SIEM ทำอะไรได้
- Log Collection: รวบรวม Log จาก Server Switch Firewall Application ทุกตัว
- Normalization: แปลง Log หลายรูปแบบให้เป็นรูปแบบเดียว
- Correlation: เชื่อมโยง Event จากหลายแหล่ง ตรวจจับ Pattern การโจมตี
- Alerting: แจ้งเตือนเมื่อตรวจพบพฤติกรรมผิดปกติ
- Dashboard: แสดงสถานะ Security ภาพรวมแบบ Real-time
- Forensic: ค้นหา Log ย้อนหลังเมื่อเกิดเหตุ
- Compliance: เก็บ Log ตาม PDPA PCI-DSS ISO 27001
Splunk vs ELK Stack vs Microsoft Sentinel
| คุณสมบัติ | Splunk | ELK Stack | Microsoft Sentinel |
|---|---|---|---|
| ราคา | $$$ | ฟรี (Open Source) | $$ (ตามใช้) |
| ตั้งค่า | ง่าย | ยาก ต้อง Tune | ง่าย (Cloud) |
| Search | SPL (ดีมาก) | KQL / Lucene | KQL |
| Scale | ดีมาก | ดี (ต้อง Tune) | ดีมาก (Cloud) |
| SIEM Feature | ครบ (Enterprise Security) | ต้องเพิ่ม (Wazuh/Elastic SIEM) | ครบ |
| เหมาะกับ | Enterprise งบเยอะ | งบจำกัด มี Linux Admin | องค์กร Microsoft/Azure |
Log ที่ต้องเก็บ
| แหล่ง Log | ตัวอย่าง Event | เก็บนานเท่าไหร่ |
|---|---|---|
| Active Directory | Login สำเร็จ/ล้มเหลว เปลี่ยน Password เพิ่ม Admin | 1 ปี+ |
| Firewall | Allow/Deny Traffic VPN Connection | 6 เดือน+ |
| Server (OS) | Login Service Start/Stop Error | 6 เดือน+ |
| ส่ง/รับ Email Phishing Detection | 6 เดือน+ | |
| Web Server | Access Log Error Log | 3-6 เดือน |
| Database | Query Login Schema Change | 1 ปี+ |
| Endpoint (EDR) | Process Execution File Change | 3-6 เดือน |
SIEM Use Case ตัวอย่าง
- Brute Force Detection: Login ล้มเหลว > 5 ครั้งใน 5 นาทีจาก IP เดียว
- Impossible Travel: User Login จากไทยแล้ว Login จากอเมริกาใน 1 ชั่วโมง
- Privilege Escalation: User ถูกเพิ่มเข้า Admin Group
- Data Exfiltration: Upload ข้อมูลจำนวนมากไปภายนอก
- Malware Detection: Process ที่ไม่รู้จัก Execute + Connect ออก Internet
SIEM Best Practices
- เก็บ Log สำคัญก่อน: AD Firewall VPN Server ก่อน แล้วค่อยขยาย
- Normalize: ทำ Log ให้เป็นรูปแบบเดียว ค้นหาง่าย
- Use Case: สร้าง Use Case ที่ตรงกับภัยคุกคามขององค์กร
- Tune Alert: ลด False Positive ไม่งั้น Alert Fatigue
- Retention: เก็บ Log อย่างน้อย 6 เดือน ตาม Compliance 1 ปี+
- SOC: มี SOC Team หรือ Managed SIEM ดู Alert 24/7
- Test: ทดสอบ SIEM ว่าตรวจจับ Attack ได้จริง
สรุป SIEM — เห็นทุกอย่างที่เกิดขึ้นในระบบ
SIEM เป็นเครื่องมือสำคัญสำหรับ Security เก็บ Log วิเคราะห์ แจ้งเตือน เลือก ELK (ฟรี) Splunk (Enterprise) หรือ Sentinel (Azure) หากต้องการข้อมูลเพิ่มเติม ติดตามได้ที่ SiamLanCard.com
