แนวทางการใช้ Centralize Log Management ร่วมกับ SIEM

ปัจจุบันองค์กรขนาดกลางและขนาดใหญ่ทั่วไปใช้ผลิตภัณฑ์ประเภท Security information and event management หรือทั่วไปเรียกว่า SIEM ในการเก็บบันทึก Security Log เพื่อทำ Security Monitor และ Incident Management ในเครือข่ายและทำ Standard Compliance ต่างๆ เช่น ISO27001 , PCI-DSS, HIPAA, FISMA, Sarbanes-Oxley หรือ SOX แต่แนวโน้มการเพิ่มจำนวนอุปกรณ์เครือข่ายในองค์กรที่เติบโตและปริมาณข้อมูล Log ที่เพิ่มขึ้นมากตามปริมาณการใช้งาน จนกลายเป็น Big Data Issue จึงเป็นปัญหาต่อการใช้งาน SIEM ซึ่งโดยส่วนใหญ่ License การใช้งานแปรผันตามปริมาณข้อมูล หรือแปรผันตาม Performance ในการรับข้อมูล หมายถึงยิ่งมีข้อมูลมากเท่าไหร่ ยิ่งมี License แพงมากเท่านั้น

ด้วยเหตุดังกล่าว จึงมีแนวคิดของการใช้ Centralized Log Management (CLM) เพื่อเข้ามารับข้อมูล Log บางส่วนก่อน และส่งต่อเฉพาะข้อมูลเหตุการณ์ที่จำเป็นส่งต่อไปยัง SIEM เพื่อให้ได้รับประโยชน์สูงสุด ภายใต้งบประมาณที่คุ้มค่าที่สุด

ภาพจาก http://chronicle.kennametal.com/ethics-breaking-down-the-basics

ดังนั้น บทความนี้จึงเหมาะสำหรับผู้ที่ทำหน้าที่ดังต่อไปนี้

• ผู้ที่รับผิดชอบการบริหารความปลอดภัยและความเสี่ยงสำหรับเครือข่ายที่ต้องการระบบ Security Monitor แต่มีงบประมาณไม่เพียงพอสำหรับจัดซื้อระบบ SIEM
• องค์กรขนาดกลางที่กำลังมองหาระบบ Log Management เพื่อจัดเก็บข้อมูล Security Event Log จากอุปกรณ์ด้าน Security ต่างๆในเครือข่าย
• องค์กรที่ใช้ SIEM อยู่แล้ว แต่พบปัญหาการใช้งานที่เกิน License และไม่สามารถขยาย License อันเนื่องมาจากงบประมาณที่จำกัด

ทำไมต้องใช้ Centralized Log Management (CLM) ?

Centralized Log Management (CLM) ส่วนใหญ่มีความสามารถหลักคือ Collection, Aggregation, Retention รองรับข้อมูล 2 ประเภท ได้แก่

• Security Log ได้แก่ Log จาก Security Devices เช่น Log Firewall, IPS, VPN
• Non-Security Log ได้แก่ Log OS Platform, Application ต่างๆ

ส่วน SIEM จะมีความสามารถมากกว่านั้นคือ รองรับ Real-time correlation, alerting, reporting แต่ SIEM ก็ไม่รองรับ Non-Security Log เช่นกัน ซึ่งไม่ใช่หน้าที่โดยตรงของ SIEM อยู่แล้วสำหรับการจัดเก็บ non-security log แต่สำหรับองค์กรสมัยใหม่ที่ให้ความสำคัญในด้าน IT Operation Management จะให้ความสำคัญกับข้อมูลทั้ง Security Log และ Non-Security Log ควบคู่กัน ซึ่ง Non-Security Log จะใช้สำหรับ Production Troubleshooting เป็นหลัก ซึ่ง CLM ตอบโจทธ์ในด้านนี้โดยตรง

ในแง่ของ Compliance โดยทั่วไปส่วนใหญ่ระบุระยะเวลาในการจัดเก็บข้อมูลย้อนหลัง 90 วัน แต่บางมาตรฐาน Compliance กำหนดระยะเวลานานมากกว่านั้น เช่น PCI-DSS ต้องการเก็บข้อมูลย้อนหลัง 1 ปี ดังนั้น CLM จะตอบโจทธ์ในเรื่องนี้ เพราะการจัดเก็บข้อมูลบน CLM นั้น ข้อมูลมีการบีบอัดทำให้เราสามารถเก็บข้อมูลนานเท่าที่ต้องการ และถ้าองค์กรให้ความสำคัญกับการเก็บข้อมูลเพื่อการวิเคราะห์ Big Data การเก็บข้อมูล Log บน CLM จะตอบโจทธ์ในเรื่องนี้

ปัจจุบันระบบ IT บางองค์กร ที่มีอุปกรณ์เครือข่ายติดตั้งอยู่หลายแห่ง เช่นองค์กรที่มีสาขาจำนวนมาก การติดตั้งระบบ CLM ไว้บน Cloud Provider ก็เป็นทางเลือกที่ดีเช่นกัน เพราะระบบ Cloud ส่วนใหญ่ เช่น AWS และ Azure ไม่คิดเงินตามปริมาณ Data ขาเข้า ทำให้เราส่ง Log จากอุปกรณ์เครือข่ายหรือ Server ตามสถานที่ต่างๆไปเก็บยัง CLM บน Cloud ทำได้อย่างมีประสิทธิภาพ และต้นทุน Storage บน Cloud ก็มีราคาที่ถูกเช่นกัน

ภาพจาก https://www.digitalocean.com/community/tutorials/building-for-production-web-applications-centralized-logging

การลดต้นทุนการติดตั้ง SIEM ด้าน Centralized Log Management (CLM)

CLM ไม่ได้มาแทนที่ SIEM แต่สามารถทำงานเสริมกันได้ โดย CLM ที่ดีควรมีความสามารถในการเลือก Data Type ที่ต้องการเพื่อส่งต่อไปยัง SIEM ได้ โดยที่ SIEM ก็ทำหน้าที่ในส่วนของ Event Colleration, Real-time threat detection, incident response management และ reporting ส่วนที่ไม่ได้ Forward ก็จัดเก็บไว้ใน CLM ตามระยะเวลาที่ต้องการจัดเก็บ และอนาคตหากต้องการใช้ข้อมูลเพื่อตรวจสอบภายหลัง ก็สามารถดาวน์โหลดหรือส่งต่อไปยัง SIEM เพื่อวิเคราะห์ในภายหลังได้

Source: Gartner (October 2016)

แนวทางการต่อยอดไปสู่ Big Data Platform

สำหรับองค์กรขนาดใหญ่หรือผู้ให้บริการเครือข่าย ปริมาณข้อมูล Log จะมหาศาล ทางเลือกอีกทางที่ดีคือแทนที่ CLM ด้วย Data Lake Platform ซึ่งเป็น Big Data Platform อีกชนิด ที่มีความสามารถทั้งในด้าน Scalability, Accessibility, Analytics โดย Data Lake ส่วนใหญ่จะใช้ Hadoop Technology ในการจัดเก็บ และใช้ Flume ในการรับข้อมูล Real Time Log ซึ่งหากไม่อยากติดตั้งเองต้องการเครื่องมือช่วยเหลือในการติดตั้งให้ง่าย การเลือกใช้ Cloudera ซึ่งเป็น Hadoop Distributor รายใหญ่ของโลก ก็จะทำให้ง่ายขึ้น เพราะ Clodera มี Cloudera Manager ที่จะทำหน้าที่ในเรื่องของ Installation, Deployment, Configuration และ Monitor ได้ครบทีเดียว

ทั้งหมดนี้ผู้เขียนก็หวังว่าจะได้รับความรู้และมุมมองในการบริหารจัดการระบบ Security Management สำหรับองค์กร เพื่อให้เกิดประสิทธิภาพสูงสุดและคุ้มค่าที่สุด ถ้าผู้ใดสนใจความรู้ด้าน Log Management, Big Data Platform, Software Engineering ท่านสามารถ Follow Medium ของเราได้ครับ เราจะมีความรู้ในด้านนี้เขียนอยู่เรื่อยๆ

อ้างอิง

สำเนาข้อมูลต้นฉบับจากเว็บไซต์ https://www.softnix.co.th/2018/08/09/%E0%B8%81%E0%B8%B2%E0%B8%A3%E0%B9%83%E0%B8%8A%E0%B9%89-centralize-log-management-%E0%B8%A3%E0%B9%88%E0%B8%A7%E0%B8%A1%E0%B8%81%E0%B8%B1%E0%B8%9A-siem/