UNICODE
တစ်ရက်မှာ ၂၄ နာရီကို တစ်နှစ်ပတ်လုံး run နေတဲ့ SOC တွေမှာ Infra တစ်ခုလုံးကို တစ်နေရာတည်းကနေစောင့်ကြည့်ပြီး တစ်ချိန်တည်း Monitoring လုပ်, Cyber Attack ဝင်လာရင် Response လုပ်လို့ရတဲ့ နည်းပညာမျိုးလိုအပ်ပါတယ် .. ဒီအတွက် SIEM ဆိုတာပေါ်လာတာပါ
SIEM ဆိုတာကတော့ Security Information and Event Management ကိုပြောတာပါ .. SIEM ကို တချို့က “sim” လို့အသံထွက်ကြပြီးတော့ တချို့က “seem” လို့အသံထွက်ကြပါတယ် .. ကျွန်တော်ကတော့ “seem” လို့ပဲပြောပါတယ်
SIEM ရဲ့အသက်က Log ပါပဲ .. IT Infra တစ်ခုလုံးမှာရှိတဲ့ Device ပေါင်းစုံက Log တွေကို SIEM ထဲ ပစ်ထည့်ပြီး Real-Time Security Monitoring လုပ်တာမျိုးကို SIEM ကနေတစ်ဆင့်လုပ်ကြပါတယ်
ဒီလို Device ပေါင်းစုံကလာတဲ့ Log တွေဟာ Format တွေမတူတာကြောင့် SIEM ကနေ correlate ပြန်လုပ်ပါတယ် .. ဒါမှသာ ဒီ Raw log တွေကို အသုံးပြုပြီး Monitoring and Incident Response လုပ်လို့ရမှာပါ
နောက်ပြီးတော့ SIEM မှာ Rule တွေရေးထားလို့ရပါတယ် .. ဥပမာ ဒီ IP ကနေ ဒီ Resource ကို Access လာလုပ်ရင် Alert တက်ပါဆိုပြီးတော့ပေါ့ .. ဒါ့အပြင် Device တွေရဲ့ Log တွေကနေ စောင့်ကြည့်နေတာဖြစ်လို့ Phishing, SQL Injection, Malware စတဲ့ Attack တွေကို အချိန်နဲ့တပြေးညီ စောင့်ကြည့်နေနိုင်မှာဖြစ်ပြီး Attack တစ်ခုချင်းစီတိုင်းကို SOC Analyst တွေက Investigate လုပ်နိုင်မှာပါ
အခုနောက်ပိုင်း SIEM တွေမှာဆိုရင် AI နဲ့ပေါင်းပြီး Behaviour ကိုပါလေ့လာနေနိုင်ပြီဖြစ်ပါတယ် .. ဒီလိုနဲ့ Hacker Group တွေရဲ့ Behaviour တွေကို ကိုယ့် System အတွင်းမှာ Detect သိတာနဲ့ Action တန်းယူလို့ရတဲ့အထိအဆင့်မြင့်လာကြပါပြီ
ဒီလို AI နဲ့ Machine Learning တို့ရဲ့ ပေါင်းစပ်မှုကြောင့်ပဲ Incident တစ်ခုကို Root Cause လိုက်ရှာရတာလည်း အရင်ကထက်ပိုလွယ်လာပါတယ် .. တစ်ချို့ SIEM တွေမှာဆိုရင် Incident တစ်ခုရဲ့ အစအဆုံးကို ID တစ်ခုထုတ်ပေးပြီး အဲ့ ID နဲ့တွဲထားတဲ့ Log တွေကို တိုက်ရိုက် investigate လုပ်နိုင်တာဖြစ်လို့ Response Time လည်းပိုမြန်လာပြီး ပိုပြီး Effective and Efficient ဖြစ်လာတယ်လို့ပြောလို့ရပါတယ်
နောက်ပြီးတော့ SIEM က collect ထားတဲ့ log တွေကိုအသုံးချပြီး Threat Hunting ပိုင်းကိုလည်း လုပ်လို့ရပါတယ် .. Threat Hunting ကတော့ topic အရကျယ်ပြန့်တာဖြစ်လို့ သီးသန့် post တစ်ခုအနေနဲ့ ဖော်ပြပေးသွားပါမယ်
Industry ထဲမှာနာမည်အကြီးဆုံး SIEM တွေကတော့ Splunk နဲ့ IBM ကထုတ်ထားတဲ့ QRadar တို့ပဲဖြစ်ပါတယ် .. Palo Alto ကထုတ်တဲ့ Cortex XSOAR တို့လို Product တွေကလည်း SIEM မဟုတ်ပေမယ့် SIEM လိုမျိုး Function ကို AI နဲ့တွဲဖက်ပြီး အလုပ်လုပ်နိုင်ပါတယ်
မြန်မာနိုင်ငံမှာလည်း 24x7x365 run တဲ့ SOC ကို MPT ကနေစတင်ခဲ့တာဖြစ်ပြီး တခြားသော Telecom တွေ Bank တွေမှာလည်း in-house SOC တွေထားရှိလာကြပြီဖြစ်ပါတယ်
ဒီလောက်ဆို SIEM အကြောင်း အနည်းငယ်သဘောပေါက်သွားလောက်ပြီလို့ထင်ပါတယ်
Pyae Heinn Kyaw
