การจัดการข้อมูลและเหตุการณ์ด้านความปลอดภัย ( SIEM ) เป็นสาขาหนึ่งในด้านความปลอดภัยของคอมพิวเตอร์ที่รวมการจัดการข้อมูลด้านความปลอดภัย (SIM) และการจัดการเหตุการณ์ด้านความปลอดภัย (SEM) เข้าด้วยกัน เพื่อให้สามารถวิเคราะห์การแจ้งเตือนด้านความปลอดภัยที่สร้างขึ้นโดยแอปพลิเคชันและฮาร์ดแวร์เครือข่ายแบบเรียลไทม์^{[ 1 ] [ 2 ]}ระบบ SIEM เป็นหัวใจสำคัญของศูนย์ปฏิบัติการด้านความปลอดภัย (SOC) ซึ่งใช้ในการตรวจจับ ตรวจสอบ และตอบสนองต่อเหตุการณ์ด้านความปลอดภัย^{[ 3 ]}เทคโนโลยี SIEM รวบรวมและประมวลผลข้อมูลจากระบบต่างๆ ทำให้องค์กรสามารถปฏิบัติตามข้อกำหนดด้านการปฏิบัติตามกฎระเบียบในขณะที่ป้องกันภัยคุกคามได้ คำจำกัดความของ NISTสำหรับเครื่องมือ SIEM คือแอปพลิเคชันที่ให้ความสามารถในการรวบรวมข้อมูลด้านความปลอดภัยจากส่วนประกอบของระบบสารสนเทศและนำเสนอข้อมูลนั้นเป็นข้อมูลที่สามารถนำไปปฏิบัติได้ผ่านทางอินเทอร์เฟซเดียว^{[ 4 ]}

เครื่องมือ SIEM สามารถนำไปใช้ในรูปแบบซอฟต์แวร์ ฮาร์ดแวร์ หรือบริการจัดการได้^{[ 5 ]}ระบบ SIEM จะบันทึกเหตุการณ์ด้านความปลอดภัยและสร้างรายงานเพื่อให้เป็นไปตามกรอบการกำกับดูแล เช่นพระราชบัญญัติการคุ้มครองข้อมูลส่วนบุคคลด้านสุขภาพ (HIPAA) และมาตรฐานความปลอดภัยข้อมูลอุตสาหกรรมบัตรชำระเงิน (PCI DSS) การบูรณาการ SIM และ SEM ภายใน SIEM ช่วยให้องค์กรมีแนวทางแบบรวมศูนย์ในการตรวจสอบเหตุการณ์ด้านความปลอดภัยและตอบสนองต่อภัยคุกคามแบบเรียลไทม์

คำว่า SIEM ซึ่งริเริ่มโดย นักวิเคราะห์ ของ Gartnerอย่าง Mark Nicolett และ Amrit Williams ในปี 2005 ได้พัฒนาขึ้นเพื่อรวมคุณสมบัติขั้นสูง เช่น การวิเคราะห์ภัยคุกคามและการวิเคราะห์พฤติกรรม ซึ่งช่วยให้โซลูชัน SIEM สามารถจัดการกับภัยคุกคามทางไซเบอร์ที่ซับซ้อน รวมถึงช่องโหว่ Zero-dayและมัลแวร์แบบ Polymorphicได้

ในช่วงไม่กี่ปีที่ผ่านมา SIEM ได้ถูกรวมเข้ากับโครงการริเริ่มด้านความปลอดภัยทางไซเบอร์ระดับชาติมากขึ้นเรื่อยๆ ตัวอย่างเช่นคำสั่งบริหารหมายเลข 14028ที่ลงนามในปี 2021 โดยประธานาธิบดีโจเซฟ ไบเดน แห่งสหรัฐอเมริกา กำหนดให้ใช้เทคโนโลยี SIEM เพื่อปรับปรุงการตรวจจับและการรายงานเหตุการณ์ในระบบของรัฐบาลกลาง การปฏิบัติตามข้อกำหนดเหล่านี้ได้รับการเสริมความแข็งแกร่งยิ่งขึ้นด้วยกรอบการทำงาน เช่น NIST SP 800-92 ซึ่งระบุแนวทางปฏิบัติที่ดีที่สุดสำหรับการจัดการบันทึกความปลอดภัยของคอมพิวเตอร์^{[ 2 ]}

แพลตฟอร์ม SIEM สมัยใหม่กำลังรวบรวมและปรับมาตรฐานข้อมูลไม่เพียงแต่จาก แหล่งข้อมูลด้าน เทคโนโลยีสารสนเทศ (IT) ต่างๆ เท่านั้น แต่ยังรวมถึง สภาพแวดล้อมด้าน เทคโนโลยีการปฏิบัติงาน (OT) ใน กระบวนการผลิตและการผลิต อีกด้วย

ในระยะแรกการบันทึกข้อมูลระบบส่วนใหญ่ใช้เพื่อแก้ไขปัญหาและดีบั๊ก อย่างไรก็ตาม เมื่อระบบปฏิบัติการและเครือข่ายมีความซับซ้อนมากขึ้น การสร้างบันทึกข้อมูลระบบก็มีความซับซ้อนมากขึ้นเช่นกัน การตรวจสอบบันทึกข้อมูลระบบก็กลายเป็นเรื่องที่พบได้บ่อยมากขึ้นเช่นกัน เนื่องจากภัยคุกคามทางไซเบอร์ ที่ซับซ้อนขึ้น และความจำเป็นในการปฏิบัติตามกรอบการกำกับดูแล ซึ่งกำหนดให้มีการควบคุมความปลอดภัย ของการบันทึกข้อมูล ภายในกรอบการบริหารความเสี่ยง (RMF)

ตั้งแต่ช่วงปลายทศวรรษ 1970 กลุ่มทำงานเริ่มกำหนดเกณฑ์สำหรับการจัดการโปรแกรมการตรวจสอบและการเฝ้าระวัง ซึ่งเป็นการวางรากฐานสำหรับแนวปฏิบัติด้านความปลอดภัยทางไซเบอร์สมัยใหม่ เช่น การตรวจจับภัยคุกคามจากภายในและการตอบสนองต่อเหตุการณ์ เอกสารสำคัญในช่วงเวลานี้คือเอกสารพิเศษหมายเลข 500-19 ของ NIST ^{[ 6 ]}

ในปี 2548 คำว่า "SIEM" (Security Information and Event Management) ได้รับการแนะนำโดยนักวิเคราะห์ของ Gartner คือ Mark Nicolett และ Amrit Williams ระบบ SIEM ให้ส่วนต่อประสานเดียวสำหรับการรวบรวมข้อมูลด้านความปลอดภัยจากระบบสารสนเทศและนำเสนอข้อมูลดังกล่าวในรูปแบบข้อมูลอัจฉริยะที่สามารถนำไปปฏิบัติได้^{[ 7 ]}สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ ( NIST) ให้คำจำกัดความของ SIEM ดังนี้: "แอปพลิเคชันที่ให้ความสามารถในการรวบรวมข้อมูลด้านความปลอดภัยจากส่วนประกอบของระบบสารสนเทศและนำเสนอข้อมูลดังกล่าวในรูปแบบข้อมูลที่สามารถนำไปปฏิบัติได้ผ่านส่วนต่อประสานเดียว" ^{[ 2 ]}  นอกจากนี้ NIST ยังได้ออกแบบและนำ RMF ที่กำหนดโดยรัฐบาลกลางมาใช้ด้วย

ด้วยการนำ RMF มาใช้ทั่วโลก การตรวจสอบและการเฝ้าระวังจึงกลายเป็นหัวใจสำคัญของการประกันความปลอดภัยของข้อมูลผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ในปัจจุบันอาศัยข้อมูลบันทึกเพื่อดำเนินการด้านความปลอดภัยแบบเรียลไทม์ โดยอาศัยแบบจำลองการกำกับดูแลที่รวมกระบวนการเหล่านี้เข้ากับงานวิเคราะห์ เมื่อการประกันความปลอดภัยของข้อมูลพัฒนาขึ้นในช่วงปลายทศวรรษ 1990 และต้นทศวรรษ 2000 ความจำเป็นในการรวมศูนย์บันทึกระบบจึงปรากฏชัด การจัดการบันทึกแบบรวมศูนย์ช่วยให้การกำกับดูแลและการประสานงานในระบบเครือข่ายทำได้ง่ายขึ้น

เมื่อวันที่ 17 พฤษภาคม 2021 ประธานาธิบดีโจเซฟ ไบเดน แห่งสหรัฐอเมริกา ได้ลงนามในคำสั่งบริหารหมายเลข 14028 เรื่อง "การปรับปรุงความมั่นคงปลอดภัยทางไซเบอร์ของประเทศ" ซึ่งกำหนดข้อกำหนดการบันทึกข้อมูลเพิ่มเติม รวมถึงการบันทึกการตรวจสอบและการป้องกันปลายทาง เพื่อเพิ่มขีดความสามารถในการตอบสนองต่อเหตุการณ์^{[ 8 ]}คำสั่งนี้เป็นการตอบสนองต่อการเพิ่มขึ้นของ การโจมตี ด้วยแรนซัมแวร์ที่มุ่งเป้าไปที่โครงสร้างพื้นฐานที่สำคัญ โดยการเสริมสร้างการควบคุมการประกันข้อมูลภายใน RMF คำสั่งนี้มีจุดมุ่งหมายเพื่อผลักดันการปฏิบัติตามและจัดหาเงินทุนสำหรับโครงการริเริ่มด้านความมั่นคงปลอดภัยทางไซเบอร์

คู่มือ NIST SP 800-92 สำหรับการจัดการบันทึกความปลอดภัยของคอมพิวเตอร์ ซึ่งเผยแพร่ในเดือนกันยายน พ.ศ. 2549 ถือเป็นเอกสารสำคัญในกรอบการจัดการความเสี่ยงของ NISTเพื่อเป็นแนวทางว่าควรตรวจสอบอะไรบ้าง ดังที่เห็นได้จากการไม่มีคำว่า "SIEM" เอกสารนี้เผยแพร่ก่อนการนำเทคโนโลยี SIEM มาใช้อย่างแพร่หลาย^{[ 9 ] [ 10 ]}แม้ว่าคู่มือนี้จะไม่ครอบคลุมทุกด้านเนื่องจากการเปลี่ยนแปลงอย่างรวดเร็วของเทคโนโลยีตั้งแต่มีการเผยแพร่ แต่ก็ยังคงมีความเกี่ยวข้องโดยคาดการณ์การเติบโตของอุตสาหกรรม NIST ไม่ใช่แหล่งเดียวที่ให้คำแนะนำเกี่ยวกับกลไกการกำกับดูแลสำหรับการตรวจสอบและการเฝ้าระวัง และหลายองค์กรได้รับการสนับสนุนให้ใช้โซลูชัน SIEM แทนที่จะพึ่งพาการตรวจสอบบนโฮสต์เพียงอย่างเดียว

กฎระเบียบและมาตรฐานหลายฉบับอ้างอิงถึงคำแนะนำการบันทึกข้อมูลของ NIST รวมถึงพระราชบัญญัติการจัดการความปลอดภัยข้อมูลของรัฐบาลกลาง (FISMA) ^{[ 11 ]}พระราชบัญญัติ Gramm-Leach-Bliley (GLBA) ^{[ 12 ]}พระราชบัญญัติการพกพาและการรักษาความลับข้อมูลประกันสุขภาพ (HIPAA) ^{[ 13 ]}พระราชบัญญัติ Sarbanes-Oxley (SOX) ปี 2002 ^{[ 14 ]}มาตรฐานความปลอดภัยข้อมูลอุตสาหกรรมบัตรชำระเงิน (PCI DSS) ^{[ 15 ]}และISO 27001 [ ^{16 ] องค์กร}ภาครัฐและเอกชนมักอ้างอิงเอกสารของ NIST ในนโยบายความปลอดภัยของตน

การตรวจสอบเหตุการณ์ NIST SP 800-53 AU-2 เป็นการควบคุมความปลอดภัยที่สำคัญซึ่งสนับสนุนการตรวจสอบระบบและรับประกันการตรวจสอบอย่างต่อเนื่องสำหรับการประกันความปลอดภัยของข้อมูลและการดำเนินงานด้านความปลอดภัยทางไซเบอร์ โดยทั่วไปแล้วโซลูชัน SIEM จะถูกใช้เป็นเครื่องมือหลักสำหรับความพยายามเหล่านี้ ระบบของรัฐบาลกลางที่จัดประเภทตามผลกระทบต่อการรักษาความลับ ความสมบูรณ์ และความพร้อมใช้งาน (CIA) มีข้อกำหนดการบันทึกเฉพาะห้าประการ (AU-2 ae) ที่ต้องปฏิบัติตาม^{[ 17 ]}แม้ว่าการบันทึกทุกการกระทำจะเป็นไปได้ แต่โดยทั่วไปแล้วไม่แนะนำเนื่องจากปริมาณบันทึกและความต้องการข้อมูลความปลอดภัยที่สามารถนำไปปฏิบัติได้ AU-2 เป็นพื้นฐานสำหรับองค์กรในการสร้างกลยุทธ์การบันทึกที่สอดคล้องกับการควบคุมอื่นๆ

NIST SP 800-53 SI-4 การตรวจสอบระบบ ระบุข้อกำหนดสำหรับระบบตรวจสอบ รวมถึงการตรวจจับการเข้าถึงที่ไม่ได้รับอนุญาตและการติดตามความผิดปกติ มัลแวร์ และการโจมตีที่อาจเกิดขึ้น การควบคุมความปลอดภัยนี้ระบุทั้งข้อกำหนดด้านฮาร์ดแวร์และซอฟต์แวร์สำหรับการตรวจจับกิจกรรมที่น่าสงสัย^{[ 18 ]}ในทำนองเดียวกัน NIST SP 800-53 RA-10 การล่าภัยคุกคาม ซึ่งเพิ่มเข้ามาในการแก้ไขครั้งที่ 5 เน้นการป้องกันเครือข่ายเชิงรุกโดยการระบุภัยคุกคามที่หลบเลี่ยงการควบคุมแบบดั้งเดิม โซลูชัน SIEM มีบทบาทสำคัญในการรวบรวมข้อมูลด้านความปลอดภัยสำหรับทีมล่าภัยคุกคาม^{[ 19 ]}

AU-2, SI-4 และ RA-10 ร่วมกันแสดงให้เห็นว่าการควบคุมของ NIST ผสานรวมเข้ากับกลยุทธ์ด้านความปลอดภัยที่ครอบคลุมได้อย่างไร การควบคุมเหล่านี้ซึ่งได้รับการสนับสนุนจากโซลูชัน SIEM ช่วยให้มั่นใจได้ถึงการตรวจสอบอย่างต่อเนื่อง การประเมินความเสี่ยง และกลไกการป้องกันเชิงลึกในเครือข่ายของรัฐบาลกลางและเอกชน^{[ 19 ]}

บางครั้งมีการใช้คำย่อSEM , SIMและSIEM สลับกันได้ ^{[ 20 ]}แต่โดยทั่วไปหมายถึงจุดเน้นหลักที่แตกต่างกันของผลิตภัณฑ์:

• การจัดการบันทึก : เน้นการรวบรวมและจัดเก็บข้อความบันทึกและร่องรอยการตรวจสอบอย่าง ^{ง่าย [ 9 ]}
• การจัดการข้อมูลความปลอดภัย ( SIM ): การจัดเก็บระยะยาว รวมถึงการวิเคราะห์และการรายงานข้อมูลบันทึก^{[ 21 ]}
• ระบบจัดการเหตุการณ์ด้านความปลอดภัย ( SEM ): การตรวจสอบแบบเรียลไทม์ การเชื่อมโยงเหตุการณ์ การแจ้งเตือน และมุมมองคอนโซล
• ระบบจัดการข้อมูลและเหตุการณ์ด้านความปลอดภัย (SIEM): ผสานรวม SIM และ SEM และให้การวิเคราะห์แบบเรียลไทม์ของการแจ้งเตือนด้านความปลอดภัยที่สร้างขึ้นโดยฮาร์ดแวร์เครือข่ายและแอปพลิเคชัน^{[ 5 ]}
• บริการ จัดการด้านความปลอดภัย (Managed Security Service: MSS ) หรือผู้ให้บริการจัดการด้านความปลอดภัย (Managed Security Service Provider: MSSP): บริการจัดการที่พบได้บ่อยที่สุดมักเกี่ยวข้องกับการเชื่อมต่อและแบนด์วิดท์ การตรวจสอบเครือข่าย ความปลอดภัยการจำลองเสมือนและการกู้คืนระบบจากภัยพิบัติ
• บริการรักษาความปลอดภัยแบบครบวงจร ( SECaaS ) : บริการรักษาความปลอดภัยเหล่านี้มักรวมถึงการตรวจสอบสิทธิ์การป้องกันไวรัส การป้องกันมัลแวร์/สปายแวร์การตรวจจับการบุกรุก การทดสอบการเจาะระบบ และการจัดการเหตุการณ์ด้านความปลอดภัย เป็นต้น

ในทางปฏิบัติ ผลิตภัณฑ์จำนวนมากในพื้นที่นี้จะมีฟังก์ชันเหล่านี้ผสมผสานกัน ดังนั้นจึงมักจะมีการทับซ้อนกันอยู่บ้าง และผู้จำหน่ายเชิงพาณิชย์หลายรายก็ส่งเสริมคำศัพท์ของตนเองเช่นกัน^{[ 22 ]}บ่อยครั้งที่ผู้จำหน่ายเชิงพาณิชย์จะนำเสนอการผสมผสานฟังก์ชันเหล่านี้ในรูปแบบต่างๆ ซึ่งมักจะช่วยปรับปรุง SIEM โดยรวม การจัดการบันทึกเพียงอย่างเดียวไม่ได้ให้ข้อมูลเชิงลึกแบบเรียลไทม์เกี่ยวกับความปลอดภัยของเครือข่าย SEM เพียงอย่างเดียวก็ไม่ได้ให้ข้อมูลที่สมบูรณ์สำหรับการวิเคราะห์ภัยคุกคามเชิงลึก เมื่อรวม SEM และการจัดการบันทึกเข้าด้วยกัน จะมีข้อมูลเพิ่มเติมให้ SIEM สามารถตรวจสอบได้

จุดสำคัญคือการตรวจสอบและช่วยจัดการสิทธิ์ของผู้ใช้และบริการบริการไดเร็กทอรีและการเปลี่ยนแปลงการกำหนดค่าระบบอื่นๆ รวมถึงการตรวจสอบและทบทวนบันทึก และการตอบสนองต่อเหตุการณ์^{[ 21 ]}

• การรวบรวมข้อมูล: การจัดการบันทึกข้อมูลจะรวบรวมข้อมูลจากหลายแหล่ง รวมถึงเครือข่าย ความปลอดภัย เซิร์ฟเวอร์ ฐานข้อมูล และแอปพลิเคชัน ทำให้สามารถรวมข้อมูลที่ตรวจสอบไว้เพื่อช่วยหลีกเลี่ยงการพลาดเหตุการณ์สำคัญ
• ความสัมพันธ์:ค้นหาคุณลักษณะทั่วไปและเชื่อมโยงเหตุการณ์เข้าด้วยกันเป็นกลุ่มที่มีความหมาย เทคโนโลยีนี้ให้ความสามารถในการดำเนินการเทคนิคความสัมพันธ์ที่หลากหลายเพื่อบูรณาการแหล่งข้อมูลที่แตกต่างกัน เพื่อเปลี่ยนข้อมูลให้เป็นข้อมูลที่มีประโยชน์ ความสัมพันธ์มักเป็นฟังก์ชันของส่วนการจัดการเหตุการณ์ด้านความปลอดภัยของโซลูชัน SIEM ที่สมบูรณ์^{[ 23 ]}
• การแจ้งเตือน:การวิเคราะห์เหตุการณ์ที่เกี่ยวข้องกันโดยอัตโนมัติ
• แดชบอร์ด:เครื่องมือเหล่านี้สามารถนำข้อมูลเหตุการณ์มาแปลงเป็นแผนภูมิข้อมูลเพื่อช่วยให้เห็นรูปแบบ หรือระบุถึงกิจกรรมที่ไม่เป็นไปตามรูปแบบมาตรฐานได้
• การปฏิบัติตาม:สามารถใช้แอปพลิเคชันเพื่อทำให้การรวบรวมข้อมูลการปฏิบัติตามเป็นไปโดยอัตโนมัติ สร้างรายงานที่ปรับให้เข้ากับกระบวนการรักษาความปลอดภัย การกำกับดูแล และการตรวจสอบที่มีอยู่^{[ 24 ]}
• การเก็บรักษา:การใช้การจัดเก็บข้อมูลประวัติในระยะยาวเพื่ออำนวยความสะดวกในการเชื่อมโยงข้อมูลเมื่อเวลาผ่านไป และเพื่อให้การเก็บรักษาข้อมูลเป็นไปตามข้อกำหนดการปฏิบัติตามกฎระเบียบการเก็บรักษาข้อมูล บันทึกในระยะยาว มีความสำคัญอย่างยิ่งในการสืบสวนทางนิติวิทยาศาสตร์ เนื่องจากเป็นไปได้ยากที่การค้นพบการละเมิดเครือข่ายจะเกิดขึ้นในขณะที่การละเมิดเกิดขึ้น^{[ 25 ]}
• การวิเคราะห์ทางนิติวิทยาศาสตร์:ความสามารถในการค้นหาบันทึกต่างๆ บนโหนดและช่วงเวลาที่แตกต่างกันโดยอิงตามเกณฑ์เฉพาะ ซึ่งช่วยลดความจำเป็นในการรวบรวมข้อมูลบันทึกไว้ในหัวหรือการค้นหาบันทึกหลายพันรายการ^{[ 24 ]}

สถาปัตยกรรม SIEM อาจแตกต่างกันไปตามผู้จำหน่าย อย่างไรก็ตาม โดยทั่วไปแล้ว ส่วนประกอบสำคัญจะประกอบเป็นเอนจิน SIEM ส่วนประกอบสำคัญของ SIEM มีดังต่อไปนี้: ^{[ 26 ]}

• ตัวรวบรวมข้อมูลจะส่งต่อบันทึกการตรวจสอบที่เลือกจากโฮสต์ (การสตรีมบันทึกตามเอเจนต์หรือตามโฮสต์ไปยังดัชนีและจุดรวม) ^{[ 27 ] [ 28 ]}
• จุดนำเข้าและดัชนีจุดรวมสำหรับการแยกวิเคราะห์ ความสัมพันธ์ และการทำให้ข้อมูลเป็นมาตรฐาน^{[ 29 ]}
• โหนดการค้นหาที่ใช้สำหรับการแสดงภาพ การสอบถาม รายงาน และการแจ้งเตือน (การวิเคราะห์เกิดขึ้นบนโหนดการค้นหา) ^{[ 30 ]}

ภาพด้านขวามือแสดงโครงสร้างพื้นฐานของระบบ SIEM

นักวิจัยด้านความปลอดภัยคอมพิวเตอร์Chris Kubeckaได้ระบุกรณีการใช้งาน SIEM ต่อไปนี้ ซึ่งนำเสนอในการประชุมแฮ็กเกอร์ 28C3 ( Chaos Communication Congress ) ^{[ 31 ]}

• การมองเห็นและการตรวจจับความผิดปกติของ SIEM สามารถช่วยตรวจจับช่องโหว่Zero-dayหรือโค้ดแบบ Polymorphicได้ เนื่องจากอัตราการตรวจจับของ โปรแกรม ป้องกันไวรัสต่อมัลแวร์ประเภทนี้ที่เปลี่ยนแปลงอย่างรวดเร็วนั้น ต่ำ
• การแยกวิเคราะห์ การปรับมาตรฐานบันทึก และการจัดหมวดหมู่ สามารถเกิดขึ้นได้โดยอัตโนมัติ โดยไม่คำนึงถึงประเภทของคอมพิวเตอร์หรืออุปกรณ์เครือข่าย ตราบใดที่สามารถส่งบันทึกได้
• การแสดงผลข้อมูลด้วย SIEM โดยใช้เหตุการณ์ด้านความปลอดภัยและบันทึกข้อผิดพลาด สามารถช่วยในการตรวจจับรูปแบบได้
• ระบบ SIEM สามารถระบุความผิดปกติของโปรโตคอลที่อาจบ่งชี้ถึงการตั้งค่าที่ไม่ถูกต้องหรือปัญหาด้านความปลอดภัย โดยใช้การตรวจจับรูปแบบ การแจ้งเตือน ข้อมูลพื้นฐาน และแดชบอร์ด
• ระบบ SIEMS สามารถตรวจจับการสื่อสารลับ การสื่อสารที่เป็นอันตราย และช่องทางการเข้ารหัสได้
• ระบบ SIEM สามารถตรวจจับ สงครามไซเบอร์ได้อย่างแม่นยำ โดยสามารถระบุได้ทั้งผู้โจมตีและเหยื่อ

แพลตฟอร์ม SIEM สมัยใหม่ไม่เพียงแต่รองรับการตรวจจับเท่านั้น แต่ยังรองรับการตอบสนองด้วย การตอบสนองนั้นอาจเป็นแบบด้วยตนเองหรือแบบอัตโนมัติ รวมถึงการตอบสนองโดยใช้ AI

ระบบ SIEM มีบทบาทสำคัญในการช่วยให้องค์กรปฏิบัติตามข้อกำหนดด้านการปฏิบัติตามกฎระเบียบโดยการรวมศูนย์การรวบรวมบันทึก เปิดใช้งานการตรวจสอบแบบเรียลไทม์ และสร้างรายงานที่พร้อมสำหรับการตรวจสอบ ภายใต้กฎความปลอดภัยของ HIPAA หน่วยงานที่อยู่ภายใต้ขอบเขต จะ ต้องนำการควบคุมการตรวจสอบมาใช้ซึ่งบันทึกและตรวจสอบกิจกรรมในระบบสารสนเทศที่มีข้อมูลสุขภาพที่ได้รับการคุ้มครอง ทางอิเล็กทรอนิกส์ (ePHI) ^{[ 32 ]}การปรับปรุงกฎความปลอดภัยของ HIPAA ที่เสนอ (NPRM ธันวาคม 2024) จะกำหนดให้หน่วยงานที่อยู่ภายใต้ขอบเขตต้องใช้เทคโนโลยีที่สามารถตรวจจับและตอบสนองต่อเหตุการณ์ด้านความปลอดภัยภายใน 24 ชั่วโมง ซึ่งเป็นความสามารถที่แพลตฟอร์ม SIEM มักมีให้^{[ 33 ]}

ข้อกำหนดที่ 10 ของมาตรฐานความปลอดภัยข้อมูลอุตสาหกรรมบัตรชำระเงิน (PCI DSS) กำหนดให้องค์กรต้องติดตามและตรวจสอบการเข้าถึงทรัพยากรเครือข่ายและข้อมูลผู้ถือบัตรทั้งหมด โดยทั่วไประบบ SIEM จะถูกใช้เพื่อรวบรวมและวิเคราะห์ข้อมูลบันทึกที่จำเป็นในสภาพแวดล้อมแบบกระจาย^{[ 34 ]}ในทำนองเดียวกันพระราชบัญญัติ Sarbanes-Oxley (SOX) กำหนดให้องค์กรต้องรักษาบันทึกการตรวจสอบสำหรับการเข้าถึงระบบการเงิน และแพลตฟอร์ม SIEM ให้ความสามารถในการบันทึกและเก็บรักษาแบบรวมศูนย์ที่จำเป็นต่อการแสดงให้เห็นถึงการปฏิบัติตามข้อกำหนดในระหว่างการตรวจสอบ

ระบบ SIEM สามารถมีกฎการเชื่อมโยงข้อมูลได้หลายร้อยหรือหลายพันข้อ บางข้อก็เรียบง่าย บางข้อก็ซับซ้อนกว่า เมื่อกฎการเชื่อมโยงข้อมูลถูกกระตุ้น ระบบจะดำเนินการที่เหมาะสมเพื่อลดผลกระทบจากการโจมตีทางไซเบอร์ โดยปกติแล้ว จะรวมถึงการส่งการแจ้งเตือนไปยังผู้ใช้ และอาจจำกัดหรือแม้กระทั่งปิดระบบ

การตรวจจับการโจมตีแบบเดาสุ่มนั้นค่อนข้างตรงไปตรงมา การโจมตีแบบเดาสุ่มหมายถึงการพยายามเดาตัวแปรอย่างต่อเนื่อง โดยส่วนใหญ่มักหมายถึงการที่ใครบางคนพยายามเดารหัสผ่านของคุณอย่างต่อเนื่อง ไม่ว่าจะด้วยตนเองหรือโดยใช้เครื่องมือ แต่ก็อาจหมายถึงการพยายามเดา URL หรือตำแหน่งไฟล์สำคัญในระบบของคุณได้เช่นกัน

การโจมตีแบบเดาพาสเวิร์ดอัตโนมัติสามารถตรวจจับได้ง่าย เพราะเป็นไปไม่ได้ที่ใครบางคนจะพยายามป้อนรหัสผ่าน 60 ครั้งภายในหนึ่งนาที

โดยทั่วไปแล้ว เมื่อผู้ใช้ล็อกอินเข้าสู่ระบบ ระบบจะบันทึกเวลาของการล็อกอินนั้นไว้ นอกจากเวลาแล้ว ระบบอาจบันทึกข้อมูลที่เป็นประโยชน์อื่นๆ เช่น อุปกรณ์ที่ใช้ ตำแหน่งที่ตั้ง ที่อยู่ IP การพยายามล็อกอินที่ไม่ถูกต้อง เป็นต้น ยิ่งมีการเก็บข้อมูลมากเท่าไหร่ ก็ยิ่งสามารถนำไปใช้ประโยชน์ได้มากขึ้นเท่านั้น สำหรับการเดินทางที่เป็นไปไม่ได้ ระบบจะตรวจสอบวันที่และเวลาล็อกอินปัจจุบันและครั้งล่าสุด รวมถึงความแตกต่างระหว่างระยะทางที่บันทึกไว้ หากระบบพิจารณาว่าเป็นไปไม่ได้ที่จะเกิดขึ้น เช่น การเดินทางหลายร้อยไมล์ภายในหนึ่งนาที ระบบก็จะแจ้งเตือน

ปัจจุบันพนักงานและผู้ใช้งานจำนวนมากใช้บริการ VPN ซึ่งอาจปกปิดตำแหน่งที่ตั้งจริงได้ จึงควรคำนึงถึงเรื่องนี้เมื่อตั้งค่ากฎดังกล่าว

โดยทั่วไปแล้ว ผู้ใช้ทั่วไปจะไม่คัดลอกหรือย้ายไฟล์ในระบบซ้ำๆ ดังนั้น การคัดลอกไฟล์มากเกินไปในระบบอาจเกิดจากผู้โจมตีที่ต้องการสร้างความเสียหายให้กับองค์กร อย่างไรก็ตาม เรื่องนี้ไม่ได้ง่ายแค่บอกว่ามีคนเข้าถึงเครือข่ายของคุณอย่างผิดกฎหมายและต้องการขโมยข้อมูลที่เป็นความลับ อาจเป็นพนักงานที่ต้องการขายข้อมูลของบริษัท หรืออาจแค่ต้องการนำไฟล์กลับบ้านไปใช้ในช่วงสุดสัปดาห์ก็ได้

การตรวจสอบปริมาณการรับส่งข้อมูลเครือข่ายเพื่อหาความผิดปกติ รวมถึงภัยคุกคามหรือการโจมตีทุกรูปแบบ ตั้งแต่ DDOS ไปจนถึงการสแกนเครือข่าย โปรดทราบว่า SIEM สามารถตรวจสอบการไหลของข้อมูลในเครือข่าย และตรวจจับและป้องกันความพยายามในการรั่วไหลของข้อมูลได้ โดยทั่วไปแล้วระบบป้องกันการสูญเสียข้อมูล (DLP) โดยเฉพาะ จะดูแลเรื่องการป้องกันการสูญเสียข้อมูล

การโจมตีแบบ DDoS (Distributed Denial of Service) อาจสร้างความเสียหายอย่างร้ายแรงต่อบริษัทหรือองค์กร การโจมตีแบบ DDoS ไม่เพียงแต่ทำให้เว็บไซต์ใช้งานไม่ได้เท่านั้น แต่ยังทำให้ระบบอ่อนแอลงอีกด้วย ด้วยกฎการเชื่อมโยงที่เหมาะสม ระบบ SIEM ควรแจ้งเตือนเมื่อเริ่มการโจมตี เพื่อให้บริษัทสามารถใช้มาตรการป้องกันที่จำเป็นเพื่อปกป้องระบบที่สำคัญได้

การตรวจสอบความสมบูรณ์และการเปลี่ยนแปลงของไฟล์ (FIM) คือกระบวนการตรวจสอบไฟล์ในระบบของคุณ การเปลี่ยนแปลงที่ไม่คาดคิดในไฟล์ระบบของคุณจะทำให้เกิดการแจ้งเตือน เนื่องจากเป็นสัญญาณบ่งชี้ว่าอาจมีการโจมตีทางไซเบอร์

ตัวอย่างบางส่วนของกฎที่กำหนดเองเพื่อแจ้งเตือนเกี่ยวกับเงื่อนไขเหตุการณ์ ได้แก่ กฎการตรวจสอบสิทธิ์ผู้ใช้ การโจมตีที่ตรวจพบ และการติดเชื้อที่ตรวจพบ^{[ 35 ]}

• การจัดการเหตุการณ์ด้านความปลอดภัยทางคอมพิวเตอร์
• แบบจำลอง Gordon–Loebสำหรับการลงทุนด้านความปลอดภัยทางไซเบอร์
• ความเสี่ยงด้านไอที
• การจัดการบันทึก
• ระบบตรวจจับและตอบสนองแบบขยาย (XDR)
• การตรวจจับและตอบสนองที่จุดสิ้นสุด (EDR)
• การตรวจจับและตอบสนองเครือข่าย (NDR)
• การประสานงานด้านความปลอดภัยการทำงานอัตโนมัติ และการตอบสนอง

• กฎการเชื่อมโยงข้อมูลที่สำคัญของ SIEM เพื่อการปฏิบัติตามข้อกำหนด