SecBuzzer ESM介紹

簡介：

本系統將依實際場域需求選擇適合的收集方式進行日誌收容，並建置網路型入侵偵測系統，以監控網段中是否有異常的攻擊行為，可即時更新威脅偵測規則，以增加偵測的廣度及深度與提升防禦能力。對於告警之通知，提供電子郵件或簡訊通知，以期有效協助資安事件的事前預防與事後處置。 此外，領域單位藉由輕量化資安監控系統將所收容重要之資安警訊摘要資訊透過國家標準的STIX格式回傳至H-SOC ，由H-SOC中心進行後續資料的剖析與倉儲，藉由資安異常行為進行智能分析的模組單元，以定時自動化方式進行智慧化分析，以儘早此主動挖掘尚未被發現而潛藏之惡意行為，並即時提供告警予維運人員與相關人員，達到領域聯合監控防禦提升資安警覺的效果。

系統功能架構：

本系統主要包括以下二大角色：包含端點單位(Edge)、雲端戰情室(Cloud)，架構圖如下。

端點單位(ESM Edge端):

1. 即受監控端，將於此處建置輕量化資安監控系統之Sensor，提供網路型入侵偵測、日誌收容之服務。
2. 進行日誌或網路流量初步的分析與偵測，以快速篩選惡意威脅與異常行為。
3. 以主動模式，定期將分析與收集之資料轉拋至雲端戰情室，包含已偵測到的事件、主機資訊。

雲端戰情室(ESM Cloud端):

1. 負責收集各端點之資訊，例如事件、主機資訊等，存至資料庫以利後續之分析與數據統計呈現。
2. 定期進行關聯分析，找出異常行為。
3. 維運人員依據匯集之告警資訊進行評估判斷，若其事件威脅風險達到開立案件單之門檻，則開立案件單並透過適合之方式主動通知相關處理人員，例如：電子郵件。
4. 以視覺化儀表板的方式，提供端點或權責單位進行資料查詢。
5. 資安事件進行通報。
6. 報表查詢與下載。