--- tags: SecBuzzer ESM介紹 --- # SecBuzzer ESM介紹 本系統將依實際場域需求選擇適合的收集方式進行日誌收容，並建置網路型入侵偵測系統，以監控網段中是否有異常的攻擊行為，可即時更新威脅偵測規則，以增加偵測的廣度及深度與提升防禦能力。對於告警之通知，提供電子郵件或簡訊通知，以期有效協助資安事件的事前預防與事後處置。 此外，領域單位藉由輕量化資安監控系統將所收容重要之資安警訊摘要資訊透過國家標準的STIX格式回傳至H-SOC ，由H-SOC中心進行後續資料的剖析與倉儲，藉由資安異常行為進行智能分析的模組單元，以定時自動化方式進行智慧化分析，以儘早此主動挖掘尚未被發現而潛藏之惡意行為，並即時提供告警予維運人員與相關人員，達到領域聯合監控防禦提升資安警覺的效果。 ## 系統功能架構 本系統主要包括以下二大角色：包含端點單位、雲端戰情室，其主責範圍及作業流程說明如下： ### 端點單位(ESM Edge端): 1. 即受監控端，將於此處建置輕量化資安監控系統之Sensor，提供網路型入侵偵測、日誌收容之服務。 2. 進行日誌或網路流量初步的分析與偵測，以快速篩選惡意威脅與異常行為。 3. 以主動模式，定期將分析與收集之資料轉拋至雲端戰情室，包含已偵測到的事件、主機資訊。 ### 雲端戰情室(ESM Cloud端): 1. 負責收集各端點之資訊，例如事件、主機資訊等，存至資料庫以利後續之分析與數據統計呈現。 2. 定期進行關聯分析，找出異常行為。 3. 維運人員依據匯集之告警資訊進行評估判斷，若其事件威脅風險達到開立案件單之門檻，則開立案件單並透過適合之方式主動通知相關處理人員，例如：電子郵件。 4. 以視覺化儀表板的方式，提供端點或權責單位進行資料查詢。 5. 資安事件進行通報。 6. 報表查詢與下載。 下圖為 SecBuzzerESM架構圖  ## 系統軟硬體規格 ### 硬體規格建議 最低標準硬體配置規格(HPE ProLiant DL380 Gen9系列，含以上同級機種) |項次|品項|規格| | -------- | -------- | -------- | |1|CPU| Intel Xeon E5-2640 v4 x 2 (4核以上)| |2|Memory|32 GB ~ 64GB (至少32GB)| |3|Disk|6TB (含日誌收容)，若不含日誌收容建議 1T ~ 2T間| |4|網路卡|若需進行流量監控，則至少需要二個網路連線埠 (若網卡為單孔則需提供二張網卡，若為多孔則至少需要二個埠)| 高標準硬體配置規格(DELL PowerEdge R740 Server 系列 (或含以上同級機種)) |項次|品項|規格| | -------- | -------- | -------- | |1|CPU|Intel Xeon Gold 5215 2.5G, 10C/20T, 10.4GT/s, 13.75M Cache, Turbo, HT (85W) DDR4-2666 * 2 (8核以上)| |2|Memory|32GB RDIMM, 2933MT/s, Dual Rank * 6 (192G)：高流量場域，建議至少64G或128G以上| |3|Disk|4TB 7.2K RPM SATA 6Gbps 512n 3.5in Hot-plug Hard Drive * 4 (視需求調整)(16T) - 以一個Volume 為佳| |4|網路卡|若需進行流量監控，則至少需要二個網路連線埠 (若網卡為單孔則需提供二張網卡，若為多孔則至少需要二個埠)| ### 系統開發使用工具 軟體開發工具一覽表 |項次|工具名稱|版本|用途說明| | -------- | -------- | -------- | -------- | |1|Ubuntu|18.04|作業系統，Ubuntu Server英文版| |2|Docker|18.09.3|軟體平台，可使用容器快速地建立、測試和部署應用程式| |3|Fluentd|1.9-1|日誌收容與解析、派送| |4|Elasticsearch|7.6.0|OSS版本，大數據資料庫，簡稱ES| |5|Elasticsearch Head|1903|視覺化ES查詢、管理套件| |6|Grafana|6.7.2|視覺化呈現| |7|Suricata|5.0.0|IDS工具，負責偵測異常行為| |8|RabbitMQ|3.8.3|訊息佇列工具| |9|Tomcat|8.5.55|Servlet容器，主要作為Web伺服器| |10|OpenJDK|11.0.8-jre|跨平台程式語言, Java開發環境的開源版本| |11|Python|3.8.5|直譯式程式語言|