ArcSight SIEM Architecture โครงสร้างการทำงานของระบบเก็บ Log ของ HP ArcSight Logger
ArcSight SIEM Architecture โครงสร้างการทำงานของระบบเก็บ Log ของ HP ArcSight SIEM
บทความนี้ผมจะขออธิบายการทำงานคร่าวๆของระบบเก็บ Log ในองกรค์เพื่อให้สามารถ Compile พรบ คอมพิวเตอร์ได้
โดยจะขออธิบายโครงสร้างการทำงานของระบบเก็บ Log ของ HP ที่ชื่อว่า ArcSight SIEM ดังนี้
ArcSight SIEM Solution ประกอบด้วย 3 ส่วนหลัก ๆ ที่สำคัญคือ
1. Collection Tier
2. Consolidation Tier
3. Correlation Tier
ขอสรุปการทำงานในแต่ละ Tier คร่าวๆ ดังนี้
(1) Collection Tier (Smart Connector)
ในส่วนนี้จะว่าด้วยเรื่องการเก็บ Log ของ Smart Connector กับDevice ต่างๆ โดย Log ที่เราจะทำการจัดเก็บมีหลาย Type และหลาย Protocol ดังนี้
- WMI Protocol สำหรับเก็บ Log ของ Windows Log
- CIFS Protocol สำหรับเก็บ Log ของ File Share Folder ต่าง ๆ เช่น Bluecoat, DHCP, Web IIS, ISA Proxy, Mail Exchange ฯลฯ
- Syslog UDP สำหรับเก็บ Log ที่ส่งมาเป็น Syslog ต่าง ๆ เช่น VMware, Linux, Pulse Secure VPN, Palo Alto ฯลฯ
- OPSEC Protocol สำหรับ เก็บ Log Check Point Firewall
- JDBC ODBJ Protocol สำหรับเก็บ Log Database ต่าง ๆ
ข้อมูลเพิ่มเกี่ยวกับ Smart Connector
- Smart Connector ที่ install 1 ตัว จะใช้ RAM เริ่มต้นที่ 256MB
- Smart Connector 1 ตัว ที่ Install สามารถเก็บได้หลาย Device แต่ต้องเป็น Log Type เกี่ยวกัน
สรุปการทำงานของ Smart Connector คือ ทำหน้าที่รวบรวม Log จาก Device ต่าง ๆ ทำการNormalization, Categorization แล้วทำการส่ง Log ไปให้กับ Tier ที่ 2 คือ ArcSight Logger
(2) Consolidation Tier (ArcSight Logger)
Tier นี้จะทำหน้าที่จะการเก็บ Log จาก Device ต่าง ๆ ที่ถูกส่งมาจาก Smart Connector สามารถใช้ Log ที่เก็บ Compile พรบ คอมพิวเตอร์ได้ สามารถ Analyze Log ทำ Report ทำ Dashboard ทำ Rules ได้ ฯลฯ และทำหน้าที่ในการ Forward Event ที่สนใจไปที่ Tier ที่ 3 คือESM Express ได้ Raw Log ที่ถูกส่งไปเก็บไว้ที่ Server Storage จะถูกส่งจาก Tier นี้
(3) Correlation Tier (ESM Express)
Tier นี้ทำหน้าที่ในการ Correlation Log ที่ถูกส่งมาจาก ArcSight Logger มาทำการ Create Rules Alert และทำ Notification ถ้ามี Event Mat ตาม Threshold ที่ตั้งไว้ให้ทำการ Alert แจ้ง Admin หรือ SOC ให้ทำการตรวจสอบ ทำ Schedule Report รวบรวมข้อมูลย้อนหลังและทำการ ส่ง Report ที่น่าสนใจให้ Admin ทาง Email
Diagram การทำงานของ ArcSight SIEM
บทความนี้ผมจะขออธิบายการทำงานคร่าวๆของระบบเก็บ Log ในองกรค์เพื่อให้สามารถ Compile พรบ คอมพิวเตอร์ได้
โดยจะขออธิบายโครงสร้างการทำงานของระบบเก็บ Log ของ HP ที่ชื่อว่า ArcSight SIEM ดังนี้
ArcSight SIEM Solution ประกอบด้วย 3 ส่วนหลัก ๆ ที่สำคัญคือ
1. Collection Tier
2. Consolidation Tier
3. Correlation Tier
ขอสรุปการทำงานในแต่ละ Tier คร่าวๆ ดังนี้
(1) Collection Tier (Smart Connector)
ในส่วนนี้จะว่าด้วยเรื่องการเก็บ Log ของ Smart Connector กับDevice ต่างๆ โดย Log ที่เราจะทำการจัดเก็บมีหลาย Type และหลาย Protocol ดังนี้
- WMI Protocol สำหรับเก็บ Log ของ Windows Log
- CIFS Protocol สำหรับเก็บ Log ของ File Share Folder ต่าง ๆ เช่น Bluecoat, DHCP, Web IIS, ISA Proxy, Mail Exchange ฯลฯ
- Syslog UDP สำหรับเก็บ Log ที่ส่งมาเป็น Syslog ต่าง ๆ เช่น VMware, Linux, Pulse Secure VPN, Palo Alto ฯลฯ
- OPSEC Protocol สำหรับ เก็บ Log Check Point Firewall
- JDBC ODBJ Protocol สำหรับเก็บ Log Database ต่าง ๆ
ข้อมูลเพิ่มเกี่ยวกับ Smart Connector
- Smart Connector ที่ install 1 ตัว จะใช้ RAM เริ่มต้นที่ 256MB
- Smart Connector 1 ตัว ที่ Install สามารถเก็บได้หลาย Device แต่ต้องเป็น Log Type เกี่ยวกัน
สรุปการทำงานของ Smart Connector คือ ทำหน้าที่รวบรวม Log จาก Device ต่าง ๆ ทำการNormalization, Categorization แล้วทำการส่ง Log ไปให้กับ Tier ที่ 2 คือ ArcSight Logger
(2) Consolidation Tier (ArcSight Logger)
Tier นี้จะทำหน้าที่จะการเก็บ Log จาก Device ต่าง ๆ ที่ถูกส่งมาจาก Smart Connector สามารถใช้ Log ที่เก็บ Compile พรบ คอมพิวเตอร์ได้ สามารถ Analyze Log ทำ Report ทำ Dashboard ทำ Rules ได้ ฯลฯ และทำหน้าที่ในการ Forward Event ที่สนใจไปที่ Tier ที่ 3 คือESM Express ได้ Raw Log ที่ถูกส่งไปเก็บไว้ที่ Server Storage จะถูกส่งจาก Tier นี้
(3) Correlation Tier (ESM Express)
Tier นี้ทำหน้าที่ในการ Correlation Log ที่ถูกส่งมาจาก ArcSight Logger มาทำการ Create Rules Alert และทำ Notification ถ้ามี Event Mat ตาม Threshold ที่ตั้งไว้ให้ทำการ Alert แจ้ง Admin หรือ SOC ให้ทำการตรวจสอบ ทำ Schedule Report รวบรวมข้อมูลย้อนหลังและทำการ ส่ง Report ที่น่าสนใจให้ Admin ทาง Email
Diagram การทำงานของ ArcSight SIEM
 |
| Diagram ArcSight SIEM Solution - (BY IT KMR) |
ไม่มีความคิดเห็น