近年來,資訊系統遭受攻擊的事件層出不窮,事件小至使用者合規、郵件社交工程,大到駭客滲透入侵、勒索病毒加密等,讓各大企業逐漸重視資訊安全防護,開始導入各項資安防護設備,目的就是為了強化企業內部的資訊安全,但由於防護設備數量增加之後,設備日誌紀錄日益繁雜,除了設備本身無法長期保存日誌外,日誌查詢只能透過檔案全文檢索的方式進行,導致IT單位在日誌調閱的需求發生時,需要投入大量的人力進行處理,往往力不從心。
客戶背景與需求
C公司在全台擁有多家分點,內部網路環境已有相當程度規劃,且有做好隔離政策。因近年企業資安事件頻傳,高層也十分重視,投下不少經費採購資安防護設備以強化基礎架構。但由於導入的設備所產生的日誌紀錄格式皆不相同,除不易閱讀外,當有可疑資安事件發生時,設備與設備之間的關聯分析往往需要先撈取原始資料、再進行人工比對,無法快速有效地找出事件根因,因此如何解決現況與提昇相關的監控品質與防護即時告警,為一項重大挑戰。
解決方案
精誠團隊在了解C公司的需求後,提出企業級日誌可視化解決方案,藉由日誌可視化系統,集結各設備日誌、網路Flow分析系統、事件關聯與風險管理平台、異常行為即時趨勢分析,並可提供中文化報表。該解決方案有下列特性:
- 將Syslog Data分類標記後才儲存,以利後續篩選搜尋
- 與硬體完美整合,提供快速的搜尋與統計
- 48秒內即可完成10,000,000筆Syslog Data的TOP 1000排序報表
- 60秒內完成1億筆Flow Data的查詢
- 可儲存50億筆Syslog Data,並在多數環境中滿足三年以上的儲存需求
- 內建清楚的資料庫使用狀況圖示,可預知尚可儲存之天數
- 資料可自動備份,資料均加密儲存且不可更改,透過Secure Hash Algorithm 256-bit(SHA-256)簽章及Advanced Encryption Standard(AES-256)加密,具備呈堂證據的不可否認性
- 揮別傳統不清晰的拓墣圖,樹狀收合一目了然,可掌握全域設備健康狀態
將伺服器、網路設備與資安設備的日誌檔收容後,可自動進行資料正規化,方便管理人員進行有效率的設備日誌查閱及內部網路流量分析,並且可以透過事件關聯的方式將企業內部異常設備找出。平台內建Dashboard功能,C公司可同時開啟多個Dashboard在不同電視牆上,建立單位專屬戰情中心,以提供任何異常狀況通知。
創造價值
企業在部署各項網路與資安設備後,IT人員總是被各種設備日誌所困擾,每天會收到上百筆甚至上千筆告警事件。透由企業級日誌可視化解決方案,第一時間掌握各設備狀態,並且在異常行為發生時能掌握攻擊情形與受害範圍,加速管理人員處理效率,進而降低各項資安風險,以避免更嚴重的資安危害事件發生。若當資安事件發生時,也能處變不驚地因應處理,縮短反應時間,並在時效內完成事故追蹤,以強化單位內資安管控與收斂駭客入侵之危害。
此外,過去當網路發生異常時,要找出問題並加以除錯,往往需從各種採購的網管與分析工具中,慢慢拼湊出蛛絲馬跡,因此若身處於龐大的內網架構下,達不到預期效果。透過企業級日誌可視化解決方案,便能有效關聯SNMP、Flow、Syslog三大網管技術,將異質資料關聯分析。C公司透過精誠團隊協助建立資安戰情中心,利用蒐集到的完整資料加以自動學習,得出告警的門檻值,以進行智能預警作業,達成真正的智慧化營運作業。