SIEM Technology And SOC Team

ဒီနေ့ Article ကတော့ SOC Team (Security Operation Center) တွေမှာ SIEM Technology ကိုဘာ့ကြောင့်အသုံး ပြုသင့်လဲ ဆိုတာ အကြံ ပြု ရေးသားသွားမှာ ဖြစ်ပါတယ်။ SIEM Technology အကြောင်းစမလေ့လာ ခင် ဒီနေ့ Traditional Security Operation Centers တွေမှာ ဖြစ်နေတဲ့ Challenges တချို့ကို ပြော ပြချင်ပါတယ်။
‍‍‍‍‍‍
SOC ဆိုတာ Organization တစ်ခုရဲ့ Network Infra ကြီးတစ်ခုလုံးကို Monitoring လုပ်နေတဲ့ Team တစ်ခုလို့ ပြောလို့ရပါတယ်။ SOC Team တွေပာာဆိုရင် Infra ထဲက Security Alerts တွေကို အမြဲ Detect လုပ်ရင်း လိုအပ်ရင် ချက်ချင်း Action ယူနိုင်အောင် ၂၄နာရီ လုံး Run နေရတဲ့ Team တစ်ခုပါ။
‍‍‍‍‍‍
➡ Traditional SOC Challenges
‍‍‍‍‍‍
☑ Security Alerts ပေါင်းများစွာကို ရရှိနေ ခြင်း။
Traditional SOC မှာ နေ့စဉ် Security Alerts ပေါင်း များစွာ လက်ခံရ ရှိနေတဲ့ အတွက်ကြောင့် Security Analyst တစ်ယောက်ရဲ့ အချိန်ပာာ ရှုပ်ထွေးလွန်းတဲ့ Security Alerts တွေကို ချက်ချင်း သိ Action ယူရမဲ့ အချိန်တွေ အစား Alerts ပေါင်းများစွာကို Priority သတ်မှတ်ပြီး အရေးကြီး မကြီး ပြန် လည် ဆန်းစစ်နေရပါတယ်။ ဒါ့ေ ကြာင့် တခါတလေ အရေးကြီးတဲ့ Alerts တွေကို ကျော်သွားနိုင်ပြီး ကိုယ့် Network Damage ဖြစ် ပြီးမှ Alerts ကို ပြန်ဆန်းစစ် မိတာ မျိုး Human Error တွေ ဖြစ်တတ်ပါတယ်။
‍‍‍‍‍‍
☑ Centralized Management မရှိ ခြင်း။
ပုံမှန် SOC တစ်ခုမှာ Security Tools ပေါင်းများစွာကို အသုံး ပြု နေကြရပါတယ်။ဒီ Tool တစ်ခု ချင်း စီက လာတဲ့ Data တွေကို Single Platform တစ်ခုထဲ နဲ့ Monitoring လုပ်နိုင်တဲ့ Centralized Management မရှိ သေးတာ ဖြစ်ပါတယ်။
‍‍‍‍‍‍
☑ Legal And Regulatory Compliance တွေတွက် Support မလုပ်ပေးနိုင် ခြင်း။
အရင် Compliance Part 1 Article မှာ Compliances အရေး ပါပုံကို စာ ဖတ်သူတို့ သိဖူးပြီး ဖြစ်မှာပါ။ Industrial Sectors တွေ အရေးပါလာတဲ့ PCIDSS, HIPAA, GDPR စတဲ့ Compliance တွေကို Validate လုပ်တော့ မယ် ဆိုရင် သူတို့ သတ်မှတ်ပြီးသား Parameter တွေနဲ့ Incident Report ကို SOC Team က တင်ပေးရပါတယ်။ ဥပမာ GDBR Compliance ရဲ့ Parameter တစ်ခုဆိုရင် Breach ဖြစ် သွားတဲ့ ၇၂ နာရီ တောတွင်း မှာ Incident Report ကို ရအောင် ထုတ်ပေးရပါတယ်။ ဒီ အပိုင်း တွေကို Traditional SOC Team တွေအနေနဲ့ ပြုလုပ်ဖို့ ခက်ခဲပါတယ်။
‍‍‍‍‍‍
ဒါကတော့ SOC Team တွေ အဓိကကြုံတွေ့နေရတဲ့ Challenges တွေ ဖြစ်ပါတယ်။
‍‍‍‍‍‍
SIEM Technology က ဒီ Challenge တွေကို Eliminate ဖြစ် ဖို့ အ ပြင်နောက်ထပ် SOC Team အတွက် ဘယ် လို အကူအညီ တွေ ပေးနိုင်သေးလဲ ဆိုတာ ဆက်လေ့လာကြည့်ပါမယ်။
‍‍‍‍‍‍
➡ SIEM Technology (Security Information And Event Management)
SIEM Technology က SOC ရဲ့ တကယ့် လိုအပ်ချက် တစ်ခုလို့ လဲ ပြောနိုင်ပါတယ်။ သူ့ရဲ့ အဓိပ္ပါယ် ကိုက Data Sources ပေါင်း များစွာကလာတဲ့ Information တွေကို Centralize အနေနဲ့ Analyze လုပ်နိုင် ခြင်း ၊ SOC Team တွက် မရှိ မဖစ် လိုအပ်တဲ့ Incident Reporting အပိုင်း ပါဝင် ခြင်း နဲ့ နောက်ဆုံး SIEM ရဲ့ အဓိက အားသာချက် တစ်ခု ဖြစ်တဲ့ Log Correlation လုပ်နိုင် ခြင်း ပဲ ဖြစ်ပါတယ်။ အခု လောလောဆယ် SIEM ရဲ့ Meaning ကို နားမလည် သေးလို့ အနည်းငယ်ရှုပ်နေနိုင်ပါတယ်။ ဒါပေမယ့် ဒီ အဓိပ္ပါယ် တွေကို SIEM ရဲ့ Feature တွေအနေနဲ့ တစ်ချက်ချင်းစီရှင်းပြ ပေးသွားမှာပါ။
‍‍‍‍‍‍
➡ SIEM Technology က ပေးနိုင်တဲ့ Feature များ
‍‍‍‍‍‍
🔹 Centralized Logging And Real Time Monitoring
ဒါကတော့ Traditional SOC တွေရဲ့ လက်ရှိအသုံး ပြုနေတဲ့ Security Tool တစ်ခုချင်းစီကို Monitoring လုပ်နေရခြင်း ဆိုတဲ့ တစ်ချက်ကို ကျော်လွှားစေပါတယ်။ SIEM က Data Sources ပေါင်းများစွာ (ဥပမာ – Firewalls, Endpoints, Antivirus, Routers, Switches တွေ နဲ့ Servers တွေ အစ ရှိသ ဖြင့်) လာနေတဲ့ Logs တွေကို Single Platform တစ်ခု အနေနဲ့ Centralized Management လုပ် ပေးနိုင်ပါတယ်။ ဒီ Management ကလဲ Real-Time အနေနဲ့ ပြု လုပ်ပေးနိုင်တာပါ။
‍‍‍‍‍‍
🔹 Rapid Incident Response
SIEM Technology က Organization မှာ လက်ရှိ အသုံး ပြု နေတဲ့ Firewall တွေ ဖြစ်တဲ့ F5, Checkpoint, Palo Alto, Cisco Firepower တို့ နဲ့ တွဲဖက် အသုံး ပြုလို့ရပါတယ်။ ဥပမာ – Organization ထဲ Brute Force Attack Behavior တစ်ခု ဝင် လာပြီ လို့ SIEM System က Detect သိတာ နဲ့ ဒီattack နဲ့ သက်ဆိုင် တဲ့ Attacker ရဲ့ IP ကို Firewall ထဲ Alert ပို့ ထားပြီး Blockနိုင်ပါတယ်။ ဒါ့ ကြောင့်လဲ SIEM က Incident Response တွေကို မြန် မြန် ဆန် ဆန် ပြု လုပ်ပေးနိုင်တာပါ။ ‍‍‍‍‍‍
‍‍‍‍‍‍
🔹 Log Correlation Capability
ဒါကတော့ Traditional SOC တွေတွက် အခက်ခဲ ဆုံး Challenge တစ်ခုကို SIEM Technology က Support ပေးထားတာပါ။ ဆိုကြပါ စို့။ Organization ထဲ Attack တစ်ခု ဝင် လာတယ်။ ဒီ Attack က Firewall, AD-Server ကို ဖြတ်သွားလား ၊ ဘယ် Core Switch ကို ဖြတ်သွားလဲ ၊ အရေးကြီး တဲ့ Endpoints တွေ ထိရော ရောက် သွားသေးလား စတဲ့ Data Sources ပေါင်း များ စွာက Log Data တွေကို ပေါင်းစုပြီး Attack Traffic ကို ပြန်ပြီး Forensics လုပ်နိုင်တဲ့ Log Correlation Feature ကို Support လုပ် ပေးထားပါတယ်။
‍‍‍‍‍‍
🔹 Compliance Focus
SIEM က Log Correlation နဲ့ Incident Response Features ပေးနိုင် တယ်ဆိုတာ စာဖတ်သူတို့ သိပြီး လောက်ပါပြီ လို့ယူဆပါတယ်။ ဒီတော့ Compliance Validate လုပ်နေတဲ့ ထဲ က Task တစ်ခု ဖြစ်တဲ့ Incident Reporting ပိုင်းကို SIEM က Provide လုပ် ပေးနိုင်တယ် ဆိုတာလဲ ခန့်မှန်း မိလောက် မယ်ထင်ပါတယ်။ ယနေ့ Compliance Focus လုပ်နေတဲ့ Industry တွေက SIEM Technology ကိုသူတို့ Organization ထဲ အသုံး ပြု နေပါပြီ။
‍‍‍‍‍‍
➡ SOC Team တွေမှာ SIEM ကို ဘာကြောင့် အသုံး ပြုသင့်သလဲ။
Traditional SOC ရဲ့ Challenges တွေ၊ SIEM Technology ရဲ့ အားသာ ချက်တွေ ဒီ နှစ်ခုကို ချိန်ဆကြည့် ခြင်း ဖြင့် SIEM Technology ပာာ Traditional SOC ရဲ့ Next Generation SOC Tool တစ်ခုဖြစ်လာပြီဆိုတာ ရိပ်မိနိုင်ပါတယ်။ Traditional SOC ရဲ့ ဘယ် Network Monitoring Tool ကမှ Support မပေးနိုင်သေးတဲ့ Centralized Data Management, Log Correlation, Rapid Incident Response, Compliance Focus စတဲ့ Advanced Features တွေပါဝင်တဲ့ SIEM Tools တွေကို ကိုယ့် Organization ရဲ့ Infra ထဲမှာ ထည့်သွင်း အသုံး ပြုသင့်ပါ ပြီ။
‍‍‍‍‍‍
➡ NEX4 အနေနဲ့ SIEM ရဲ့ Features တိုင်းကို Configure လုပ်ရာတွင်လဲ ကျွမ်းကျင် နည်းပညာရှင်တွေနဲ့ လုပ်ဆောင်ပေးလျက်ရှိပါတယ်။ ထို့အပြင် Users တွေ Admins တွေ awareness ရှိပြီး ပိုမိုလွယ်ကူအောင် Trainings တွေကိုလဲ NEX4 ဘက်မှ ဆောင်ရွက်ပေးနေပါတယ်။

Don’t forget to share this post!