Skip to content

【媒體報導】Graylog持續強化事件管理,增設資料湖預覽與掌握敵情的防禦

受限於本身的財力,小型機構或中小企業若想建置專業等級的事件管理系統(LMS)、安全資訊與事件管理系統(SIEM),甚至資安維運中心(SOC),可能會考慮開放原始碼的軟體,而在這個領域當中,較受歡迎的產品,有ELK stack(囊括Elasticsearch、Logstash、Kibana)、OpenSearch、Wazuh、Graylog,而在2024年臺灣資安大會,剛好有講者以免費版本的Graylog為題,介紹他藉此打造資安戰情中心的經驗。

Graylog目前有幾家廠商在臺灣推廣,一家是節省工具箱提供商業版本的服務,另一家是代理多種IT管理系統與資安系統品牌的廠商台灣二版,去年開始宣傳Graylog最新動態。

事件管理系統是主力產品,以開放原始碼版本為核心,延伸提供進階功能的企業版,以及著重資安功能的安全版

Graylog提供多種形式的解決方案,長期發展的事件管理系統是最廣為人知的產品。

首先是以免費使用、開放原始碼聞名的Graylog Open,提供事件記錄集中管理功能,能夠橫跨多種IT環境執行資料的收集、解析、充實、分析;接著是基於Graylog Open、提供更多進階功能的Graylog Enterprise,具備交互關連(Correlation)、歸檔(Archiving)與轉送(Forwarder)、團隊多人協作與統計報表產生,以及多種雲端服務與應用程式的整合支援。

值得注意的是,Graylog Enterprise又被稱為Graylog Operations,原因是2022年5月Graylog Enterprise更名為Graylog Operations兩年後又將名字改回Graylog Enterprise

而在Graylog Enterprise的基礎上,延伸出全代管的SaaS服務Graylog Cloud(2021年3月推出),

以及強化資安團隊所需功能的Graylog Security,能以此進行威脅的偵測、調查、應變工作(2021年10月推出)。

針對各種事件記錄資料解析能力的擴充,Graylog提供易用的內容套件(content packs),稱為Graylog Illuminate(2020年6月推出),目前提供60種,透過內建的處理流程、解析規則、查詢表,協助Graylog Enterprise與Graylog Security充實與正規化處理資料內容,更有效率地分析不同來源的記錄。

Graylog軟體改版相當頻繁,7月4日釋出6.3.1版,今年上半年發布重大更新主要是在今年4月底RSAC大會期間,他們宣布推出6.2版,當中主打幾個特色,都會在付費版本(Graylog Enterprise與Graylog Security)提供,像是:針對去年秋季改版增加的資料湖與資料路由功能,加以延伸,能在擷取資料集之前,預覽工作團隊所需的資料是否在資料湖,隨後可運用選定資料擷取(Selective Data Retrieval)功能,隨需存取小範圍的記錄資訊,可大幅減少授權耗用量。

  

6.2版另一個新功能是提供「掌握敵情而成的防禦機制(Adversary Informed Defense)」,能自動辨識多個敵對團體的攻擊戰略、伎倆與程序(TTP),執行一連串的偵測,並根據每次額外確認的偵測結果以指數的方式增加風險評分,當中不僅基於MITRE ATT&CK列出的戰略與伎倆來標記偵測,也運用真實世界的威脅活動細部資訊,以便指認自身環境存在網路攻擊活動,而且就算是分散在多天、多週、多月的個別行動,也能依此方式進行辨識。

  

跨足API防護應用,能夠監控與偵測API流量,產生攻擊警示與有問題的執行階段活動

除了上述鎖定資安事件記錄管理用途的產品,Graylog旗下還有API安全解決方案,稱為Graylog API Security,可透過擷取API流量,探查存取的API,以及這些API是由合法使用者、惡意攻擊者、合作廠商、內部人員使用的,並運用內建與自定的特徵碼,自動偵測與警示當中的互動,確認是否存在網路攻擊、資料外洩行為。

Graylog API Security的推出,源自2023年7月併購新創資安公司Resurface,2024年1月發表Graylog API Security 3.6,2月釋出免費版——僅能以單節點部署、儲存16 GB資料(容量一旦超過,將刪掉舊資料,留給新進資料)。

產品資訊

Graylog
●代理商:台灣二版
●建議售價:開放版免費,企業版每年1.5萬美元起,資安版每年1.8萬美元起,API Security版每年1.8萬美元起
●作業系統需求:Linux(Ubuntu 20.04, 22.04、RHEL 7/8/9、SUSE Linux Enterprise Server 12/15、Debian 10/11/12)、Docker
●系統基礎元件: Graylog、Data Node、MongoDB(5.0.7版至7.x版),選用OpenSearch(1.1.x版至2.15.x版)

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】

媒體報導轉載:iThome( https://www.ithome.com.tw/review/169622 

關於 Graylog
Graylog 通過完整的 SIEM、企業日誌管理和 API 安全解決方案,提升公司企業網絡安全能力。Graylog 集中監控攻擊面並進行深入調查,提供卓越的威脅檢測和事件回應。公司獨特結合 AI / ML 技術、先進的分析和直觀的設計,簡化了網絡安全操作。與競爭對手複雜且昂貴的設置不同,Graylog 提供強大且經濟實惠的解決方案,幫助公司企業輕鬆應對安全挑戰。Graylog 成立於德國漢堡,目前總部位於美國休斯頓,服務覆蓋超過 180 個國家。

關於 Version 2 Digital
資安解決方案 專業代理商與領導者
台灣二版 ( Version 2 ) 是亞洲其中一間最有活力的 IT 公司,多年來深耕資訊科技領域,致力於提供與時俱進的資安解決方案 ( 如EDR、NDR、漏洞管理 ),工具型產品 ( 如遠端控制、網頁過濾 ) 及資安威脅偵測應 變服務服務 ( MDR ) 等,透過龐大銷售點、經銷商及合作伙伴,提供廣被市場讚賞的產品及客製化、在地化的專業服務。

台灣二版 ( Version 2 ) 的銷售範圍包括台灣、香港、中國內地、新加坡、澳門等地區,客戶涵 蓋各產業,包括全球 1000 大跨國企業、上市公司、公用機構、政府部門、無數成功的中小企業及來自亞 洲各城市的消費市場客戶。