หน้าที่ และการทำงานของ SIEM (ตอนที่2)

จากที่ได้กล่าวไปเบื้องต้นใน ตอนที่1 ไว้ว่า SIEM (Security Information and Event Management) เป็นเทคโนโลยี ที่มีความสามารถในการจัดเก็บรวบรวมข้อมูลจากแหล่งข้อมูลทั้งภายในและภายนอก ของ IT Infrastructure ที่มีความสามารถในการวิเคราะห์ข้อมูลด้านความปลอดภัยของระบบเครือข่ายองค์กร โดย SIEM นี้จะช่วยเก็บรวบรวมข้อมูล (Logs) จากอุปกรณ์ด้านการรักษาความปลอดภัยทั้งหมดขององค์กร โดยข้อมูลที่เก็บรวบรวมมาได้จากส่วนต่างๆ นั้นจะถูกนำมาวิเคราะห์เพื่อหาพฤติกรรมที่มีความผิดปกติภายในระบบเครือข่ายด้านรักษาความปลอดภัยได้ โดยผู้ที่สามารถนำไปใช้ประโยชน์จากข้อมูลที่วิเคราะห์ได้ส่วนใหญ่จะเป็นผู้ที่เกี่ยวข้อง หรือผู้ที่มีหน้าที่รับผิดชอบในการดูแลรักษาความปลอดภัยให้กับระบบต่างๆ ภายในองค์กร ไม่ว่าจะเป็น Network Admin, Network Engineer, System Admin, System Engineer, IT Security, Security Analysis, Security Admin, Auditor ซึ่งอาจควบรวมไปถึงผู้บริหารภายในองค์กร และตำแหน่งอื่นๆ ที่เกี่ยวข้องกับการรักษาความปลอดภัยของระบบ IT ในองค์กร บุคลากรเหล่านี้สามารถที่จะนำข้อมูลมาวิเคราะห์เพื่อเป็นประโยชน์ต่อการป้องกันรักษาความปลอดภัยภายในองค์กรของตนเองได้

นอกจากนี้การเก็บรวบรวม Logs ที่มีอยู่ทั่วทั้งองค์กร ยังต้องเป็นส่วนที่ต้องทำเป็นอย่างยิ่งเพื่อให้ถูกต้องตามบทกฎหมายที่ได้ถูกระบุให้ปฏิบัติไว้ โดยกล่าวถึงการเก็บข้อมูล Logs ทั้งหมดในองค์กร เก็บไว้ใน SIEM เพื่อนำมาวิเคราะห์ และรับทราบถึงภัยคุยคามที่เกิดขึ้นในระบบรักษาความปลอดภัยองค์กร เพื่อให้ผู้เกี่ยวข้องสามารถนำมาวิเคราะห์และหาทางแก้ไขสิ่งผิดปกติที่เกิดขึ้นได้อย่างทันท่วงที ข้อดีอีกอย่างของการเก็บ Logs คือ ผู้ดูแลระบบสามารถที่จะทำเป็นรายงานด้านความปลอดภัยต่างๆ นำเสนอให้แก่ผู้บริหาร ได้อย่างสะดวกรวดเร็ว เพราะว่าข้อมูลที่กระจัดกระจายในแต่ละอุปกรณ์ที่ทำหน้าที่รักษาความปลอดภัย จะถูกรวบรวมมาไว้ที่ส่วนกลางภายใน SIEM นี้นี่เอง