สวัสดีครับทุกท่านสำหรับบทความนี้ผมจะพาทุกท่านไปทำความรู้จักกับความสามารถใหม่ใน Microsoft Sentinel ที่จะเข้ามาช่วยในการเรื่องของการบริหารจัดการข้อมูล (Logs และ Data อื่นๆ ที่เกี่ยวข้องกับ Security Operations) ที่ SOC หรือ Security Teams จะนำไปใช้ในการวิเคราะห์, ค้นหา, และอื่นๆ ได้อย่างมีประสิทธิภาพมากขึ้น ตลอดจนค่าใช้จ่ายลดลงครับ และสำหรับท่านผู้อ่านท่านใดที่คุ้นเคยกับเรื่องของ "Security Operations" ซึ่งถือว่าเป็น กระบวนหลักที่สำคัญในเรื่องของการบริหารจัดการในเรื่องของความปลอดภัยในระบบ IT ขององค์กรซึ่งครอบคลุมทั้ง Hybrid และ Multi-Cloud Environments
และในกระบวนของ Security Operations นั้นยังประกอบไปด้วย Processes หรือกระบวนการย่อยๆ ต่างๆ เช่น Protection, Detection, Investigation, และอื่นๆ ซึ่ง SOC หรือ Security Teams จะต้องทำการ Operates โดยอาศัยหรือใช้เครื่องมือตลอดจนโซลูชั่นต่างๆ เข้ามาทำการ Operate กระบวนดังกล่าวนี้ และแน่นอนว่าทาง Microsoft ได้เตรียมเครื่องมือตลอดจนโซลูชั่นต่างๆ (ดังรูปด้านล่าง) ที่จะเข้ามาช่วยในเรื่องดังกล่าวนี้ครับ ทั้งนี้ขึ้นอยู่กับความต้องการขององค์กรเป็นหลัก
และหนึ่งในโซลูชั่นดังกล่าวนี้คือ "Microsoft Sentinel" ซึ่งถือว่าเป็น Service หนึ่งใน Microsoft Azure และอีกมุมหนึ่ง Microsoft Sentinel ถือว่าเป็นส่วนประกอบหนึ่งที่สำคัญของการทำ Security Operations ครับ
โดยตัวของ Microsoft Sentinel เป็น Cloud-Native Service ที่ให้บริการ 2 โซลูชั่นหลักๆ คือ:
1. Security Information Event Management (SIEM)
2. Security Orchestration, Automation, and Response (SOAR)
นอกจากนี้แล้วตัวของ Microsoft Sentinel ยังมี Phases การทำงานหลัก 4 Phases คือ:
1. Collect
2. Detect
3. Investigate
4. Response
และก่อนที่จะดำเนินการใช้งาน Microsoft Sentinel, สิ่งที่มีความสำคัญมากที่สุดคือ "การ Planning & Designing" ครับ เพราะเป็นสิ่งที่ทำให้เราได้ทำความเข้าใจ, เตรียมความพร้อม, ออกแบบ, และอื่นๆ ก่อนที่จะใช้งานครับ จากประสบการณ์ของผมที่เคยมีโอกาสทั้งสอน, ให้คำปรึกษา, ตลอดจน Implement นั้น พบว่าหลายๆ องค์กรยังขาดความรู้และความเข้าใจคอนเซปตลอดจนรายละเอียดที่สำคัญๆ ของ Microsoft Sentinel และเริ่มด้วยการ Implement ทันที โดยปราศจากการ Planning & Designing ที่ดีและพร้อม จะก่อให้เกิดปัญหาหลายอย่างๆ เช่น เรื่องของค่าใช้จ่าย, ความคาดหวังว่า Microsoft Sentinel จะเข้ามาช่วยป้องกันระบบ IT Environment ขององค์กรจากภัยคุกคาม, และอื่นๆ โดยปัญหาที่ผมยกตัวอย่างนี้ต้นตอมาจากขาดความเข้าใจตลอดจนการวางแผนและออกแบบที่ดีและพร้อมกับ สำหรับท่านใดที่เพิ่งศึกษาเรื่องราวของ Microsoft Sentinel สามารถไปค้นบทความเก่าๆ ของผมได้ครับ ผมเคยเขียนบทความหลายบทความที่เกี่ยวข้องกับ Microsoft Sentinel หรือไปศึกษาจาก Microsoft Documentations ครับ
สำหรับท่านใดที่รู้จักตลอดจนเคยใช้งาน Microsoft Sentinel ก็จะทราบว่าตัวของ Microsoft Sentinel นั้นจะต้องอาศัยการทำงานร่วมกับ Services อื่นๆ ใน Microsoft Azure หลายตัว และหนึ่งในนั้น คือ "Azure Log Analytics Workspace" ครับ
ซึ่งถือมีความสำคัญกับ Microsoft Sentinel มากครับ เพราะ Azure Log Analytics Workspace จะเป็น Service ที่ให้บริการ "Data Repository" หรือที่ที่สำหรับให้เราทำการเก็บข้อมูลต่างๆ (Collected Data) โดยข้อมูลที่ว่านี้จะเป็นข้อมูลที่เกี่ยวข้องและนำมาใช้กับเรื่องของ Security Operations เท่านั้นนะครับ ตัวอย่างเช่น Log, Metric Data เป็นต้นครับ โดยข้อมูลที่ว่านี้จะต้องนำการรวบรวม (Collect) มาจาก IT Assets ต่างๆ ที่อยู่ในองค์กร เช่น Identity, Endpoint, Network, เป็นต้น โดยจะรวบรวมข้อมูลอะไรมาบ้างนั้นขึ้นอยู่กับการ Planning & Designing ตามที่ได้เกริ่นไว้ข้างต้นครับ โดยข้อมูลที่รวบรวมก็จะถูกเก็บเข้าไปยัง Azure Log Analytics Workspace ครับ โดยข้อมูลที่เก็บอยู่ในนั้นจะถูกจัดเก็บในรูปแบบของ Table ครับ และเราสามารถทำการค้นหาข้อมูลดังกล่าวที่ถูกเก็บอยู่ Azure Log Analytics Workspace ได้โดยใช้ Query Language ที่ชื่อว่า "Kusto Query Language" หรือเรียกสั้นๆ ว่า "KQL" ครับ และต้องบอกว่าปัญหาหนึ่งที่ผมได้เกริ่นไว้ข้างต้นว่า ถ้าเราไม่ได้มีการ Planning & Designing สำหรับการนำเอา Microsoft Sentinel เป็นอย่างดี ส่งผลทำให้ค่าใช้จ่ายของ Microsoft Sentinel สูง เพราะต้นตอหรือสาเหตุหลักมาจาก ค่าใช้จ่ายของ Azure Log Analytics Workspace ที่แหละครับ ดังนั้นสิ่งที่พิจารณาหลักๆ ก่อนที่เราจะดำเนินการ Implement Microsoft Sentinel คือ:
- ทำการวางแผนและออกแบบ ตลอดจนจำนวนของ Azure Log Analytics Workspaces ว่าจะออกแบบอย่างไรและจะมีกี่ Workspaces
- ระยะเวลาที่ต้องการจัดเก็บข้อมูลใน Azure Log Analytics Workspace คือเท่าไร (Data Retention)
- ข้อมูลที่จะถูกรวบรวมมาจาก IT Environment ครอบคลุมทั้ง Hybrid และ Multi-Cloud Environments มีอะไรบ้าง
- อื่นๆ
และจากสิ่งต่างๆ ที่จะต้องพิจารณาข้างต้นนั้นจะมีผลโดยตรงกับค่าใช้จ่ายของ Microsoft Sentinel (จริงๆ คือ ค่าใช้จ่ายของ Azure Log Analytics Workspace) เพราะเราจะต้องทำความเข้าใจและเตรียมความพร้อม ตลอดจนการ Planning & Designing ให้ดีและครอบคลุม ตลอดจนรองรับกับความต้องการครับ และจากสิ่งต่างๆ ที่จะต้องพิจารณาหลักที่ผมได้อธิบายไว้ก่อนหน้านี้ จึงเป็นที่มาของความสามารถใหม่ใน Microsoft Sentinel ครับ นั่นก็คือ "Microsoft Sentinel Data Lake" นั่นเองครับ และจากสิ่งที่ผมได้อธิบายเรื่องราวและรายละเอียดข้างต้นเพื่อให้ทุกท่านได้ทำความเข้าใจก่อนว่า Microsoft Sentinel Data Lake จะเข้ามาช่วย Microsoft Sentinel ตรงไหนและอย่างไรครับ หรือจะบอกว่าบทความนี้เป็นบทความที่เกริ่นนำและเล่าเรื่องราวที่มาที่ไปก่อนครับ จากนั้นเราจะมาทำความรู้จักกับ Microsoft Sentinel Data Lake กันในบทความต่อไปซึ่งเป็นตอนที่ 2 ครับ อย่าลืมติดตามกันนะครับ.....
ไม่มีความคิดเห็น:
แสดงความคิดเห็น