網路安全工具簡介（Introduction to cybersecurity tools ）

安全行事：管理安全風險

網路安全工具簡介

Introduction to cybersecurity tools 

您將深入探討業界領先的安全資訊與事件管理 (SIEM) 工具，這些工具是由安全專業人員用來保護業務運作的。您將了解初階安全分析師如何在日常工作中使用 SIEM 儀表板。

Security information and event management (SIEM) dashboards

影片：Welcome to module 3

影片主要是關於資訊安全工具 (Security Tools)，這些工具可以幫助你保護組織和人們的安全。以下是重點摘要：

• 資訊安全專家會使用各種工具來應對特定的資安挑戰，例如收集安全數據、偵測和分析威脅（search, analyze, and retain ），或自動化任務。
• 首先會介紹不同類型的日誌 (Logs)，它們所追蹤的內容，以及如何使用它們。
• 接著會探討安全資訊與事件管理 (Security Information and Event Management, SIEM) 的儀表板 (Dashboards)。
• 最後會討論一些在安全產業中常用的 SIEM 工具。

影片：Logs and SIEM tools

影片在講解安全分析師如何利用日誌 (log) 來管理安全風險。

• 安全分析師會使用來自防火牆 (firewall)、網路 (network) 和伺服器 (server) 的日誌。
• 防火牆日誌記錄網路連線的嘗試；
• 網路日誌記錄網路設備的活動；
• 伺服器日誌記錄網站、電子郵件等服務的活動。
• 安全資訊與事件管理 (SIEM) 工具可以收集和分析這些日誌，幫助識別漏洞和潛在威脅。
• SIEM 工具可以自動化監控，並提供實時資訊，提高安全團隊的效率。

影片：SIEM dashboards

影片探討了 SIEM(Security Information and Event Management) 工具的用途，除了用於收集和分析日誌數據外，還可以用於創建儀表板 (dashboard)。

• 儀表板以圖表、圖形和其他視覺元素呈現資訊，例如溫度、降雨量、風速和天氣預報，以便於理解。
• SIEM 儀表板 (SIEM dashboard) 能幫助安全分析師以圖表、圖形或表格的形式快速輕鬆地訪問組織的安全性資訊。
• SIEM 儀表板 (SIEM dashboard) 還為利害關係人提供了不同的指標 (metrics)，例如回應時間、可用性和故障率，用於評估軟體應用程式的效能。

總之，SIEM 儀表板 (SIEM dashboard) 提供了一個全面的安全性相關數據摘要，並允許自定義顯示特定指標或其他與組織中不同成員相關的數據。

閱讀：The future of SIEM tools

SIEM 工具的功能：

• 收集並分析日誌資料（log data）來監控組織中的重要活動。
• 提供安全事件日誌的即時監控和追蹤。
• 透過數據分析，識別潛在的安全威脅、風險或漏洞。
• 提供多種儀表板選項，協助網路安全團隊成員管理和監控組織數據。

SIEM 工具的未來發展：

• 雲端功能： 雲端託管（Cloud-hosted）和雲端原生（Cloud-native）的 SIEM 工具越來越普遍，為組織提供更多彈性和可擴展性。
• 應對物聯網（IoT）挑戰： 隨著物聯網設備的增加，SIEM 工具需要處理更多數據和攻擊面，以保護組織安全。
• 人工智慧（AI）和機器學習（ML）的整合： AI 和 ML 技術將增強 SIEM 工具識別威脅、可視化儀表板和數據儲存的功能。
• 自動化和安全協調、自動化和回應Security orchestration, automation, and response（SOAR）： 自動化將加快事件回應速度，讓安全分析師能夠專注於更複雜的事件。
• 平台間的互通性： 未來，不同網路安全平台之間的溝通和互動將更加緊密。

重點摘要：

• SIEM 工具在監控組織數據方面扮演著至關重要的角色。
• 作為入門級安全分析師，您可能會需要監控 SIEM 儀表板。
• 持續關注 SIEM 技術的新發展，例如雲端運算、應用程式整合和自動化，將有助於您在網路安全領域的成長和適應。

影片：Parisa: The parallels of accessibility and security

影片主要在說明網路（web）安全性的「易用性」（accessibility）概念。Parisa，身為 Google Chrome 團隊的副總裁，強調網路安全設計應該讓所有人，包含身心障礙者，都能夠輕易理解和使用。影片中提到：

• 易用性設計應考量到不同使用者的需求，例如色盲人士無法辨識紅色警示訊息。
• 為了解決特定安全問題而開發的創新功能，最終也能造福大眾，例如「隱藏式字幕」（Closed Captioning）的發明。
• 網路安全設計應該進行廣泛的用户研究和測試，以確保各種能力的使用者都能有效地使用安全功能。

Explore security information and event management (SIEM) tools

影片：Explore common SIEM tools

影片主要在介紹幾種業界領先的 SIEM工具，包含：

• 自架式 SIEM 工具 (Self-hosted SIEM tools): 需要組織自行安裝、維運，並使用自己的設備資源，例如伺服器。這種 SIEM 工具適合需要完全掌控機密資料的組織。
• 雲端 SIEM 工具 (Cloud-hosted SIEM tools): 由 SIEM 供應商負責維護和管理，組織可以透過網路存取。這種 SIEM 工具適合不想自行建立和維護基礎設施的組織。
• 混合式 SIEM 解決方案 (Hybrid SIEM solution): 結合自架式和雲端 SIEM 工具，讓組織可以同時利用雲端優勢和維持對機密資料的實體控管。

影片中也介紹了幾種常見的 SIEM 工具，例如 Splunk Enterprise、Splunk Cloud 和 Google Chronicle，並說明了它們各自的特色和適用場景。

• Splunk Enterprise: 
• 功能: 資料分析平台，提供 SIEM 解決方案，包含日誌收集、索引、搜尋、分析、關聯和視覺化等功能。也提供機器學習驅動的異常偵測和威脅情報整合。
• 用途: 幫助安全分析師從大量的機器生成的資料中偵測威脅、調查安全事件和回應事件。適合需要高度可定制化和部署彈性的組織。
• Splunk Cloud:
• 功能: 基於雲端的 SIEM 解決方案，提供與 Splunk Enterprise 類似的功能，例如日誌管理、安全監控和事件回應。
• 用途: 讓組織可以更輕鬆地部署和管理 SIEM 解決方案，而無需維護自己的基礎設施。適合希望降低管理成本和縮短部署時間的組織。
• Google Chronicle:
• 功能: 雲端原生 SIEM 平台，利用 Google 的安全分析技術和全球規模基礎設施，提供快速且可擴展的日誌分析和威脅偵測。
• 用途: 幫助組織更有效地偵測、調查和回應網路威脅。適合需要處理大量安全資料和希望利用 Google 雲端服務的組織。

閱讀：More about cybersecurity tools

• 網路安全工具的種類 (Types of Cybersecurity Tools)
• 開源工具 (Open-source tools): 這些工具通常免費使用，且因為是由大眾共同開發，所以可能更加安全。開源工具也允許使用者進行更多客製化調整。範例：Linux 和 Suricata。
• 專有工具 (Proprietary tools): 這些工具由個人或公司開發和擁有，使用者通常需要支付使用費和培訓費用。專有軟體通常允許使用者修改有限的數量功能，以滿足個人和組織的需求。範例：Splunk® 和 Chronicle SIEM 工具。
• 關於開源工具的迷思 (Misconceptions about Open-source Tools): 很多人誤以為開源工具效果較差，安全性也不如專有工具。然而，事實上許多開發者多年來一直在創造已成為業界標準的開源軟體。
• 開源工具的例子 (Examples of Open-source Tools)
• Linux: 一個被廣泛使用的開源作業系統 (operating system)。
• Suricata: 一個開源的網路分析和威脅偵測軟體 (network analysis and threat detection software)。

影片：Talya: Myths about the cybersecurity field

Talya 分享了關於網路安全迷思 (Cybersecurity Myths) 的見解，並提供想進入這個領域的人一些建議。

• 網路安全並不需要高深的程式或數學能力，擁有良好溝通能力、學習能力與好奇心同樣重要。 (Good communication, Learning ability, Curiosity)
• 並非絕對需要網路安全相關學位才能進入這個產業。 (Cybersecurity degree)
• 網路安全工作並非總是單打獨鬥，很多時候需要與團隊合作。 (Teamwork)

最重要的是，網路安全領域的職涯發展相當多元，為自己設定目標並找到願意支持你的夥伴，才能在網路安全的旅程中走得長遠！

閱讀：Use SIEM tools to protect organizations

SIEM（安全資訊與事件管理）工具提供的資訊看板，能協助資安專家整理並專注於資安工作重點。

• 資訊看板類型與功能：
• Splunk：
• Security Posture Dashboard： 顯示過去 24 小時內，組織內值得注意的資安相關事件與趨勢。
• Executive Summary Dashboard： 分析並監控組織整體的資安健全程度。
• Incident Review Dashboard： 協助分析師識別事件發生時可能出現的可疑模式。
• Risk Analysis Dashboard： 協助分析師識別每個風險對象（例如：特定使用者、電腦或 IP 位址）的風險。
• Chronicle：
• Enterprise Insights Dashboard： 強調顯示最近的警報，並識別紀錄檔中可疑的網域名稱，稱為 IOC（Indicators of Compromise，入侵指標）。
• Data Ingestion and Health Dashboard： 顯示事件紀錄檔的數量、紀錄檔來源，以及資料處理到 Chronicle 的成功率。
• IOC Matches Dashboard： 顯示組織內的主要威脅、風險和弱點。
• Main Dashboard： 顯示與組織的資料擷取、警報和事件活動相關資訊的高階摘要。
• Rule Detections Dashboard： 提供與事件相關的統計資料，包括發生次數、嚴重性和偵測次數。
• User Sign In Overview Dashboard： 提供跨組織使用者存取行為的相關資訊。
• 資訊看板的價值：
• 透過資訊看板，分析師可以即時識別、分析和修復最優先事項，進而降低風險。

Review: Introduction to cybersecurity tools

影片：Wrap-up

影片回顧了關於日誌 (log) 和網路安全的重要觀念。

• 首先，我們探討了日誌在網路安全中的重要性，並介紹了不同類型的日誌，例如防火牆日誌 (firewall log)、網路日誌 (network log) 和伺服器日誌 (server log)。
• 接著，我們了解了 SIEM (Security Information and Event Management，安全資訊與事件管理) 儀表板，以及它們如何使用視覺化方式讓安全團隊能夠快速且清楚地掌握組織的安全狀況。
• 最後，我們介紹了網路安全產業中常用的 SIEM 工具，包括 Splunk 和 Chronicle。

在這個課程的後面章節中，我們將會探索更多安全工具，你也有機會實際操作這些工具。接下來，我們會討論行動手冊 (playbook)，以及它們如何幫助安全專家妥善應對已識別的威脅、風險和漏洞。