
ในยุคที่ ภัยคุกคามทางไซเบอร์ พัฒนาซับซ้อนขึ้นทุกวัน ความปลอดภัย (Security) จึงเป็นเรื่องที่ทุกองค์กรต้องให้ความสำคัญ การปกป้องข้อมูลและระบบขององค์กรไม่ใช่เรื่องง่าย
แต่ต้องการ โซลูชันที่ทันสมัยและมีประสิทธิภาพ เพื่อรับมือกับความเสี่ยงและป้องกันความเสียหายที่อาจเกิดขึ้นได้อย่างมั่นใจ
หนึ่งในเครื่องมือที่ได้รับความนิยมในการจัดการด้านความปลอดภัยคือ SIEM ซึ่งทำหน้าที่เป็น ศูนย์กลางข้อมูล ที่ช่วยให้ทีมความปลอดภัยสามารถจัดการกับเหตุการณ์
และข้อมูลที่เกี่ยวข้องกับความปลอดภัยในระบบได้อย่างมีประสิทธิภาพ โดยฟังก์ชันหลัก ๆ ที่สำคัญได้แก่
SIEM เป็นเหมือนศูนย์กลางในการจัดการเหตุการณ์ความปลอดภัย แต่ก็มีข้อจำกัดในการรับมือกับภัยคุกคามที่ซับซ้อนและข้อมูลจำนวนมากในยุคปัจจุบัน
Elastic Security: โซลูชันที่ก้าวข้ามข้อจำกัด
Elastic Security ถูกออกแบบมาเพื่อแก้ปัญหาด้านความปลอดภัยได้อย่างครอบคลุม ด้วยฟีเจอร์ที่โดดเด่น เช่น:


Elastic Security เป็นโซลูชันที่พัฒนาโดย Elastic เพื่อให้การปกป้องระบบและข้อมูลขององค์กรเป็นเรื่องง่ายและมีประสิทธิภาพ ซึ่งเป็นโซลูชันที่พร้อมใช้งาน (out-of-the-box)
โดยรองรับการทำงานตั้งแต่การ ตรวจจับ (Detection), ตอบสนอง (Response) และ ปกป้อง (Protection) แบบครบวงจร (End-to-End) ด้วยความสามารถพิเศษ
จาก Elasticsearch ที่มีการค้นหาข้อมูลรวดเร็วและแม่นยำ
Elastic Security ใช้เทคโนโลยี AI และ Machine Learning (ML) ในการช่วยวิเคราะห์ภัยคุกคามและสนับสนุนผู้ดูแลระบบ (Admin) รวมถึงผู้ใช้งาน (User)
ให้สามารถเห็นภาพรวมของระบบและเข้าใจความเสี่ยงแบบเรียลไทม์
ฟีเจอร์เด่นของ Elastic Security
1. Automation (ระบบอัตโนมัติ) ช่วยลดภาระงานของผู้ดูแลระบบ โดยสามารถ:
2. Flexibility & Ease of Use (ความยืดหยุ่นและใช้งานง่าย)
ตัวอย่างหน้า Web Console

จากรูปนี้จะเห็นว่า Elastic Security ต้อนรับเราด้วยอินเตอร์เฟซที่ใช้งานง่าย โดยเมนูต่างๆ จะถูกจัดเรียงชัดเจนที่ด้านซ้าย ทำให้การใช้งานง่ายและไม่ยุ่งยาก
ในบทความนี้ เราจะมาทำความรู้จักกับฟีเจอร์แต่ละอย่างของ Elastic Security ว่ามีความสามารถอะไรบ้าง
Elastic Security มาพร้อม pre-built dashboards ที่ช่วยให้ผู้ใช้งานเข้าถึงข้อมูลสำคัญได้ทันที เช่น:
นอกจากนี้ยังสามารถ ปรับแต่ง (Custom Dashboard) ตามความต้องการขององค์กร เพื่อการเข้าถึงข้อมูลที่ละเอียดและเจาะจงมากขึ้น

อ้างอิง : https://www.elastic.co/guide/en/security/current/dashboards-overview.html
ถ้ารู้สึกเยอะไป คุณสามารถเลือกใช้แค่ส่วนนี้ได้

อ้างอิง : Overview dashboard | Elastic Security Solution [8.17] | Elastic

อ้างอิง : Detection & Response dashboard | Elastic Security Solution [8.17] | Elastic
ระบบ Rules สำหรับการตรวจจับภัยคุกคาม (Detection Rules)

Elastic Security ช่วยสร้าง Detection Rules ได้ง่าย โดยมีหลายวิธีที่ตอบโจทย์ความต้องการ เช่น:
หน้าตา EQL ประมาณนี้

จากตัวอย่างนี้ การทำงานจะเป็นการ search จาก winlog เพื่อค้นหาข้อมูลที่ตรงตามเงื่อนไขดังนี้:
หลังจากนั้น จะทำการแสดงผลเป็นตาราง cl_count ที่แสดงจำนวนครั้งที่พบการใช้คำสั่งเหล่านี้ แบ่งตาม hostname และเรียงลำดับจากจำนวนมากไปน้อย โดยจำกัดผลลัพธ์ไว้ที่ 3 อันดับแรก
ผลลัพธ์ที่ได้จะออกมาหน้าตาแบบนี้

เราจะเห็นว่า host2 มีการทำงานที่เกี่ยวข้องกับ AD (Active Directory) มากกว่าเครื่องอื่น ๆ จากตรงนี้เราสามารถนำข้อมูลนี้มาใช้ตั้งค่า alert condition เพื่อจับเหตุการณ์ที่เกี่ยวข้องกับ AD ได้เลย
Indicator Matching ตรวจจับภัยคุกคามโดยการเปรียบเทียบข้อมูลในระบบกับ threat intelligence feeds จากทั่วโลก เช่น การตรวจสอบว่า IP หรือ domain ที่พบตรงกับรายการที่มีความเสี่ยงหรือไม่
Alerts : ใช้สำหรับ Monitor Alerts จาก Rules ที่สร้างไว้

อ้างอิง : Detections and alerts | Elastic Security Solution [8.17] | Elastic
Attack Discover : ใช้ AI ในการตรวจจับและวิเคราะห์ภัยคุกคาม
โดยในหน้า findings ก็จะลงรายละเอียดเป็นรายการดังต่อไปนี้

อ้างอิง : Findings page | Elastic Security Solution [8.17] | Elastic
หมายเหตุ:
Cases เนื่องจาก Elastic Security เป็น SIEM จึงออกแบบมาเพื่อการใช้งานร่วมกันในทีม security โดยหน้า Cases นี้จะใช้ในการรวบรวมเคสต่างๆ ที่สมาชิกในทีมได้เปิดเอาไว้ เพื่อให้สามารถติดตามและจัดการเคสได้อย่างมีประสิทธิภาพ

อ้างอิง : Cases | Elastic Security Solution [8.17] | Elastic

อ้างอิง : Hosts page | Elastic Security Solution [8.17] | Elastic

อ้างอิง : Network page | Elastic Security Solution [8.17] | Elastic

อ้างอิง : Users page | Elastic Security Solution [8.17] | Elastic
Elastic Security ไม่เพียงแค่ทำหน้าที่เป็นโซลูชันสำหรับการปกป้องระบบ แต่ยังช่วยให้ทีมงานสามารถทำงานได้ ง่ายและรวดเร็วขึ้น ด้วยการรวมฟีเจอร์ขั้นสูง
เช่น AI, ML, และการจัดการข้อมูล Cloud Security โดยฟีเจอร์ที่หลากหลายนี้ช่วยให้ผู้ใช้งานสามารถ
Elastic Security เป็นโซลูชันด้านความปลอดภัยที่ช่วยให้องค์กรสามารถตรวจจับและตอบสนองต่อภัยคุกคามไซเบอร์ได้อย่างมีประสิทธิภาพและรวดเร็วด้วยความสามารถ
ในการวิเคราะห์ข้อมูลขนาดใหญ่ และใช้เทคโนโลยี AI และ Machine Learning ในการตรวจจับภัยคุกคามที่ซับซ้อน นอกจากนี้ยังสามารถปรับแต่งและยืดหยุ่นให้เหมาะสม
กับความต้องการของแต่ละองค์กร ทำให้สามารถตอบโจทย์การรักษาความปลอดภัยในยุคดิจิทัลได้ดี
Elastic Security จึงเป็นโซลูชันที่เหมาะสำหรับองค์กรที่ต้องการเพิ่มความปลอดภัยในระบบไอที พร้อมช่วยลดภาระงานของทีม security operation ด้วยการทำงานอัตโนมัติ
ช่วยให้ทีมสามารถมุ่งเน้นไปที่การแก้ไขปัญหาที่ซับซ้อนยิ่งขึ้น
ปรึกษาเพิ่มเติมและเริ่มต้นใช้งาน Elastic Security กับทีมงานผู้เชี่ยวชาญได้แล้ววันนี้!
เกี่ยวกับ Sirisoft
Sirisoft ผู้ให้คำปรึกษาด้านเทคโนโลยีสารสนเทศโดยใช้ DevOps Culture เป็นแนวคิดที่ช่วยพัฒนาและดูแลลูกค้าในรูปแบบสมัยใหม่
และให้บริการออกแบบพัฒนาซอฟต์แวร์โดยใช้สถาปัตยกรรมแบบ Microservices ในการพัฒนา พร้อมด้วยศักยภาพในการทำงาน
และการบริหารบุคลากรที่มีความเชี่ยวชาญด้าน High Code พร้อมให้บริการด้านเทคโนโลยีแบบ end-to-end ในเรื่องของ Infrastructure Optimization
และ Cyber Security ไปจนถึง Digital Transformation ที่จะช่วยออกแบบซอฟต์แวร์และโครงสร้างระบบไอทีหลังบ้านคุณ
ให้ตอบโจทย์ธุรกิจ เติบโตได้ไว ขยายได้ทันในทุกโอกาสของโลกธุรกิจที่เปลี่ยนแปลงอย่างรวดเร็ว