莊添發指出,在部署時,SSIM會先將Log收集器定義好所要收集的設備,目前SSIM支援超過250種設備,沒有支援的設備大部分也都能轉成標準的格式,例如txt或是Syslog,以標準的Connector做標準化讀取。「SSIM將有支援設備的Log直接放入平台的收集器中,可以清楚定義資料的每個欄位,不在支援清單內的設備,還是可將Log讀進來做標準化(Normalization),並且手動設定欄位,在自動匯入分析器中,也能進一步去比對事件關連性做分析。」
他表示,當Log收集後要做事件分析時,可以用預設定義好超過400條以上的規則做關聯分析,IT管理人員也可以自訂規則,例如定義當某三個條件都符合時,就要自動產生出一筆關聯事件。且有些SIEM解決方案的資料庫是Oracle等資料庫時,還要針對資料庫做調校,才能應付龐大的Log量,賽門鐵克已經將資料庫設定調整完成,用戶不需針對資料庫再做任何調校。
 |
| ▲賽門鐵克SSIM平台可以整合賽門鐵克全球智慧型網路(Global Intelligent Network,GIN)的資訊於報表中。 |
「事件分級和處理流程是導入SIEM解決方案的關鍵,如果事件的分級分得不恰當,還是沒辦法檢閱。」莊添發指出,「假設分析出四級事件一個月500件以及五級事件50件需要作處理,但是當IT管理員人數不足又必須要檢閱高等級事件時,最後還是只好選擇放棄不看,這樣導入SIEM就沒有意義,應該要讓事件簡化。」
通常設定的五級事件已經要通知到副總層級,因此除非真的很必要,否則不會產生,四級事件的數量可能接近個位數,如此將關鍵事件分析出來,對IT管理人員來說才能有檢閱的空間,因此,針對分析出來的事件分級就顯得至關重要,雖然賽門鐵克已經有預先設定的嚴重等級,但是還是會協助不同企業的IT部門,將事件分級調整成不同企業所關注要處理的嚴重層級分類,否則如果出來的事件量大到無法處理時,導入SIEM後還是不會產生太大的功效。
此外,賽門鐵克SSIM的安裝方式也相當簡單,以Appliance透過還原光碟就能將系統架設好,當資料必須做長時間保留時,也可以連接儲存設備。SSIM整體擁有成本不高,計價方式以收集的所有設備數量和使用者端防毒Client數來決定,再加上SSIM軟體License和硬體成本,企業客戶也可以用自己的Linux伺服器,安裝SSIM系統。
採購建議
莊添發指出,在沒有SIEM解決方案的情況下,多數企業對網路架構下的資安情況都沒辦法真正掌握,只能片段的了解資安狀況,也無法早先預防外部而來或內部潛伏的攻擊行為,一旦駭客入侵時,企業會擔心商譽受損。
他表示,企業在選擇SIEM平台時,要先考量可擴充性,要能擴充管理不斷增加的設備,賽門鐵克SSIM符合大型企業的需求,可以不斷部署收集器,就能不斷擴充。還要考量可支援的產品及未支援的產品都要有工具做快速支援。
賽門鐵克的優勢在於除了內部的關聯分析之外,還有外部的Intelligent網路支援。此外,當管理人員要做修補時,SIEM能夠給出建議。「如果一個事件發生時,IT管理人員要做相當多的Study才能解決問題,對公司來說也是成本。賽門鐵克的Remediation和Workflow機制,就能馬上提供解決建議,再加上賽門鐵克顧問服務團隊的支援及協助,就能帶來實質的幫助。」他說。