SIEM Products
ကျွန်တော့် ရဲ့ အရင် Article ဖြစ်တဲ့ Why We Should Use SIEM Technology In SOC ထဲမှာ SIEM Technology ရဲ့ အကြောင်း ကို မိတ်ဆက်ခဲ့ပြီးပါပြီ။ ဒီ တစ်ပတ် မှာတော့ SIEM Technology ကို အခြေခံပြီး ထုတ်လုပ် ထားတဲ့ SIEM Products တွေ အကြောင်း ကို ပြောပြ သွားမှာပါ။
ဒီနေ့ မြန်မာ ပြည် ရဲ့ Banking System တွေနဲ့ Telecom Industries တချို့မှာ အသုံးပြုနေ/ အသုံးပြု ဖို့ လျာ ထား ခြင်းခံရတဲ့ Splunk, LogRhythm နဲ့ Alien Vault စတဲ့ SIEM Vendors တစ် ခုချင်းစီရဲ့ Edge Solutions တွေကို Gartner ရဲ့ 2018 Magic Quadrant For Security Information and Event Management ပါ် အခြေခံပြီး ရေးသားသွားမှာ ဖြစ်ပါတယ်။
🔹 Splunk
➡ Splunk Product ပာာ Gartner ရဲ့ Leader Board ထဲ က Top Vendor တစ်ခု ဖစ်ပါတယ်။ Splunk ရဲ့ Security Intelligence Platform မှာ Splunk Enterprise နဲ့ နာက် ထပ် Solutions ၃ ခု ပါဝင်ပါတယ်။ ဒီ Solutions တွေကတော့ Splunk Enterprise Security (ES), Splunk User Behavior Analytics (UBA) နဲ့ Splunk Phantom တို့ပဲ ဖစ်ပါတယ်။ Splunk Enterprise ပာာ Event and Data Collection, Event Search, Security Case တွေ အတွက်လိုအပ်တဲ့ Visualization Dashboards တွေကို Provide လုပ်ပေးပါတယ်။ Splunk Enterprise ထက် တစ်ဆင့် မြင့်တဲ့ Splunk Premium ES Solution က Event Search အတွက် ပိုမိုလွယ်ကူအောင် Specific Queries တွေ ၊ Visualization Dashboard တွေ နဲ့ Incident Management Capabilities တွေကို Built-in Support ပေးထားပါတယ်။ UBA Soltuion ပာာ ML-Driven( Machine Learning) အခြေခံတဲ့အတွက် Advanced Analytics အတွက် ပိုပြီး သင့်တော်ပါတယ်။ Phantom မှာ တာ့ SOAR ( Security Orchestration, Automation and Response) Capabilities တွေပါဝင်ပါတယ်။
➡ Splunk ရဲ့ တခြား SIEM Product တွေထက် အားသာချက် ကတော့ သူ့ရဲ့ SplunkBase site ထဲမှာ Third-Party Devices တွေနဲ့ Integration လုပ်နိုင် ဖို့ Apps ပေါင်း များစွာကို Support လုပ် ထားပါတယ်။ Splunk ကို On-premise Software Application အနေနဲ့ အသုံး ပြုလို့ရသလို AWS Infrastructure ပေါ်မှာ တင်ထားတဲ့ Splunk Cloud ကို SaaS အနေနဲ့ အသုံးပြုလို့ရပါတယ်။ Splunk Enterprise နဲ့ Splunk Cloud ဒီ ၂ ခု လုံးကို Universal Forwarders, Indexers နဲ့ Search Head စတဲ့ Components တွေပါဝင်တဲ့ n-tier Architecture နဲ့ တည်ဆောက်ထားပါတယ်။ Splunk ရဲ့ payment License က Data Amount ပေါ်မူတည်ပြီး ပြောင်းလဲ သွားမှာ ဖြစ်ပါတယ်။ ES Solution မှာ ဆို ဝင်ရောက်လာတဲ့ Log Size ရဲ့ပမာဏ Gigabytes ပေါ် မူတည်ပြီး License Payment ကို သတ်မှတ်ပါတယ်။ UAB ကတော့ User Account အရေအတွက်ပေါ်မူတည်ပါတယ်။ Pantom ကတော့ Action ယူရမဲ့ Events အရေအတွက်ပေါ် မူတည်ပြီး Payment ကိုသတ်မှတ်ထားပါတယ်။
🔹 LogRhythm
➡ Thoma Bravo ဆိုတဲ့ Private Company တစ်ခုပာာ 2018 July မှာ Logrythm ရဲ အဓိက investor တစ် ခု ဖြစ်လာခဲ့ပါတယ်။ LogRhythm ရဲ့ SIEM Solution အ ဖြစ် Next Generation SIEM Platform ကို စတင် ထုတ် လုပ်ခဲ့ပါတယ်။ LogRhythm ရဲ့ SIEM Solution မှာ Core Features တွေအ ဖြစ် Enterprise အကြီးတွေ အတွက် LogRhythm Enterprise ကို ထုတ် လုပ်ပြီး အလတ်စား Enterprise တွေအတွက် LogRhythm XM ကို ထုတ်လုပ်ထားပါတယ်။ နာက်ထပ် Add-on Components တွေအနေနဲ့ System Monitor (SysMon Lite and Pro), Network Monitor (NetMon and NetMon Freemium) နဲ့ CloudAI တို့ ကို ထုတ်လုပ်ထားပါတယ်။ LogRhythm SIEM ကို Software / Physical Appliance / Virtual Appliance စသဖြင့် အမျိုးအစား ၃ မျိုးနဲ့ Deploy လုပ်နိုင်ပါတယ်။ Hardware Appliance ကိုပါ Support ပေးနိုင်တာ က LogRhythm နဲ့ တခြား SIEM Vendors တွေနဲ့ ကွာ ခြား ချက်ပါ။
➡ LogRhythm ရဲ့ XM Solution က Log Management, Event Management နဲ့ Advanced Intelligence Engine စတဲ့ Solution သုံး ခုလုံးကို ပါင်းစပ်ထားတဲ့ All-in-One Solution ဖြစ်ပါတယ်။ LogRhythm Enterprise နဲ့ XM Solutions တွေပာာ Messages Per Second (MPS) ပေါ်မူ တည်ပြီး Payment ကို သတ်မှတ်ပါတယ်။ Component တစ် ခု ချင်းစီ ဝယ်ယူ မယ် ဆိုရင် System Monitor ပာာ Agents ပေါ် မူတည်ပြီး Payment ရှိ သလို Network Monitor ပာာ Gigabytes Per Second (Throughput) ပေါ် မူတည်ပြီး Payment ရှိပါတယ်။ LogRhythm ပာာ UEBA Solution တွက် တခြား SIEM Vendor တွေလိုပဲ အသုံး ပြု တဲ့ User Account ပေါ် မူတည်ပြီး Payment လုပ်ရမှာ ဖြစ်ပါတယ်။
🔹 AlienVault
➡ AlienVault ကို Cybersecurity Solution တစ်ခုအနေနဲ့ AT&T Company က August 2018 မှာ ဝယ်ယူခဲ့တာ ဖြစ်ပါတယ်။ AlientVault ရဲ့ SIEM Product ဖြစ်တဲ့ Unified Security Management (USM) Anywhere ကို SaaS (Software as a Service) အနေနဲ့ ထုတ်လုပ်ခဲ့တာ ဖြစ်ပါတယ်။ AlienVault ရဲ့ SIEM Product မှာ Asset Discovery အပိုင်းကဏ္ဍတွေ ဖြစ်တဲ့ Vulnerability Assessment Feature,Network,Host တို့ အပြင် Cloud အတွက်ပါ IDS(Intrusion Detection System) နဲ့ SIEM ရဲ့ Core Features တွေပါဝင်ပါတယ်။ USM Appliance တွေကို Software Appliance အနေနဲ့ On-premise မှာ Implement လုပ်ခြင်းကို AlienVault ဘက်က Support ပေးနေပေမဲ့လည်း သူတို့ရဲ့ အဓိက Offering ကတော့ SaaS အပိုင်း ဖြစ်ပါတယ်။ ဒီ USM Anywhere Product မှာ Threat Intelligence Sharing Capability ရှိတဲ့ Open Threat Exchange(OTX) Feature နဲ့ OTX Endpoint Threat Hunter Service ကို ထပ်ပေါင်းထည့်ပေး ထားပါတယ်။ ဒီ Feature ၂ခုတွက် Cost ထပ်မံပေးစရာမလိုပါဘူး။
➡ AlienVault ပာာ Open Source Security Information Management (OSSIM) ဆိုတဲ့ Open Source SIEM ကို လဲ ထုတ်လုပ်ထားပါသေးတယ်။ Gartner Research အရ AlienVault က Cloud SaaS Service တွေ ဖြစ်တဲ့ Google G Suite နဲ့ Office 365 တို့နဲ့ ပေါင်းစပ် ဖို့ API တွေ ထပ်မံ Support လုပ်လာတာလည်း တွေ့ရပါတယ်။
➡ Suggestion
Gartner ရဲ့အကြံ ပြု ချက်အရ
☑ Security Controls တ ချို့နဲ့ ထပ်မံပေါင်းစပ် ထားတဲ့ SIEM-as-a-Service Model အ ဖြစ် သုံးချင်တယ် ၊ Database နဲ့ Application Monitoring ပိုင်းဘက်ကို အနည်း အကျဉ်း လောက်သာ အသုံး ပြုမယ် ဆို ရင် AlienVault ကို သုံးသင့်ကြောင်းဖော် ပြထားပါတယ်။
☑ Organization တွေအနေနဲ့ SIEM Solution အပြင် Native Monitoring, Endpoint Agent, Cloud-Based Analytics အပိုင်း တွေပါဝင်တဲ့ All-in-Solution တစ်ခုကို ရှာဖွေနေတယ်ဆိုရင် LogRhythm ကို သုံး ဖို့ အကြံ ပြု ထားပါတယ်။
☑ ကိုယ့် Organization ထဲက Third-Party Devices တွေနဲ့ အလွယ်တကူပူးပေါင်းပြီး SIEM Architecture ကိုအသုံး ပြု မယ် ၊ Basic Log Management ကနေ စပြီး Advanced Analytics and Response အထိ ပါ အသုံး ပြု လို့ရတဲ့ Scalable Solution ကို ရှာ နေတယ် ဆိုရင် Splunk Vendor ကို အသုံး ပြု သင့်ကြောင်းအကြံ ပြု ထားပါတယ်။
NEX4 အနေနဲ့ SIEM Features တိုင်းကို Configure လုပ်ရာတွင် ကျွမ်းကျင် နည်းပညာရှင်တွေနဲ့ လုပ်ဆောင်ပေးလျက်ရှိပါတယ်။ ထို့အပြင် Users တွေ Admins တွေအတွက် awareness ရှိပြီး ပိုမိုလွယ်ကူအောင် Trainings တွေကိုလဲ NEX4 ဘက်မှ ဆောင်ရွက်ပေးနေပါတယ်။
Don’t forget to share this post!