2017.W39 - SIEM (资安事件管理平台)
> 躺平的时候突然惊醒 原来昨天忘记做重要的事情了
## 前言 ##
Log 很重要 Log 很重要 Log 很重要
因为很重要 所以要说三次
有多重要？
骇客做完事情之后都会清 Log 所以 Log 保全很重要
## 内容 ##
不少企业级的服务都会有相对应的日志管理 (Log Mamager) 系统
用来记录软硬件上的各种操作记录
在很多需要稽核的场景中 Log 的保存是一个很重要的工作
像是一个档案被恶意的删除 档案存取的 Log 就可以用来举证
到底是 1) 档案系统 (File System) 不稳定 2) 软件的 Bug 还是 3) 恶意攻击者
SIEM [0] 则是更加进阶的功能与服务
他提供即时分析 (real-time analysis) 相关的资安事件并且提供相关警讯
在 LM 阶段 SIEM 可以收集到各种安全相关的 Log
而 SIEM 则可以利用纪录整合的能力 深度分析潜在的攻击威胁
像是一个恶意攻击者
1. 随机挑选内网的机器并且尝试低限度攻击
2. 针对有明显漏洞的机器进行攻击
在 LM 阶段 如果无法整合所有机器上的存取纪录 就无法及早阻挡攻击
而 SIEM 则可以收集各种系统日志 整理、判断、分析其中潜在的攻击模式
～ 以下开放原厂来推销产品～
[0]: https://cs.wikipedia.org/wiki/SIEM

先写好文章再征求业配

重点是我很想了解 SIEM 也想玩... 但是没钱QQ

有强大到能收集内网PC（win or Linux)的 Log 吗？

上次有看过朋友 demo 他们公司产品 需要在机器上安装agent 然后 SIEM 会集中分析

OSSIM..不用钱 但很难设定

前阵子POC楼上的收费版，只能说有付钱很多东西都变简单

OSSIM的Log部分要$，其他功能倒是不错，何不试看看Graylog？

原来是这样 免费整个难上手

linux主机可以透过rsyslog抛日志出来，windows可用evearsight connector接收后做日志正规化再给SIEM做关连

OSSIM真的难，我知道因为我在该公司当技术客服