Technology to help organizations collect Logs data from cybersecurity devices, including those involved in corporate cybersecurity, including Server Administrator, Security Administrator, Security Analyst, Auditor, as well as corporate executives. Data collected from various sources can be exploited to analyze unusual behavior in the network. In addition, corporate log collection is necessary in accordance with the laws that the organization must comply with. By collecting Logs data in SIEM, organizations can be aware of threats. Those involved can analyze, determine the cause and take corrective action. Collecting information to prepare executive presentations is also more convenient, faster, and more efficient than having Logs scattered across devices, which wastes a lot of time collecting information to report on cybersecurity situations in the organization's overalls. The limitation of SIEM is that logs are not real-time data, so in order to quickly solve cyber threats in time, it relies on technology that can analyze and respond to threats in real-time. Modern threats like Advanced Persistent Threat may have long infiltrated the organization's system, but real-time security devices can detect behavior when they launch attacks that occur quietly so that they are not noticed by administrators or devices that can be detected. In that effective defense, once the device has detected the threat in the system, it is not. In order to collect evidence, it is necessary to search SIEM with data dating back several months, allowing it to find out when the root cause of the problem enters the organization, which makes the organization's threat management process effective in line with quality SIEM cybersecurity management standards, often with the ability to correlation to relate logs data from sources, making situational analysis quick and efficient.
เทคโนโลยีที่จะช่วยองค์กรในการเก็บรวบรวมข้อมูล Logs จากอุปกรณ์รักษาความปลอดภัยทางไซเบอร์ ซึ่งผู้ที่เกี่ยวข้องในการดูแลระบบไซเบอร์ขององค์กรไม่ว่าจะเป็น Server Administrator, Security Administrator, Security Analyst, Auditor รวมถึงผู้บริหารองค์กร สามารถใช้ประโยชน์จากข้อมูลที่เก็บรวบรวมจากแหล่งต่างๆ มาทำการวิเคราะห์หาพฤติกรรมที่ผิดปกติในระบบเครือข่ายได้ นอกจากนี้การเก็บ Log ขององค์กรยังเป็นสิ่งจำเป็นตามกฏหมายซึ่งองค์กรจะต้องปฏิบัติให้สอดคล้องอีกด้วย การเก็บรวบรวมข้อมูล Logs ไว้ใน SIEM ทำให้องค์กรสามารถทราบถึงภัยคุกคามที่เกิดขึ้น ผู้ที่เกี่ยวข้องสามารถวิเคราะห์หาสาเหตุและดำเนินการแก้ไขได้ การรวบรวมข้อมูลเพื่อจัดทำรายงานนำเสนอผู้บริหารก็สามารถทำได้สะดวกรวดเร็วและมีประสิทธิภาพกว่าการมี Logs กระจัดกระจายอยู่ตามอุปกรณ์ต่างๆ ซึ่งทำให้เสียเวลามากในการรวบรวมข้อมูลเพื่อจัดทำรายงานถึงสถานการณ์ความปลอดภัยทางไซเบอร์ในภาพรวมขององค์กร ข้อจำกัดของ SIEM ก็คือการเก็บข้อมูลที่เป็น Logs ซึ่งไม่ใช่ข้อมูลที่เป็น Real-Time ดังนั้นในการแก้ปัญหาหาภัยคุกคามที่เกิดขึ้นในระบบไซเบอร์อย่างรวดเร็วทันต่อสถานการณ์ก็คงต้องพึ่งพาเทคโนโลยีที่สามารถวิเคราะห์และตอบสนองต่อภัยคุกคามได้ในแบบ Real-Time ซึ่งอุปกรณ์ดังกล่าวก็สามารถทำงานร่วมกับ SIEM ได้เป็นอย่างดี SIEM จึงทำหน้าที่หลักๆ ในการเก็บรวามรวมข้อมูลเพื่อให้สามารถทำการวิเคราะห์เหตุการณ์ย้อนหลังไปได้เป็นเวลานาน เพราะภัยคุกคามยุคใหม่อย่าง Advanced Persistent Threat นั้นอาจแทรกซึมเข้ามาอยู่ในระบบขององค์กรนานแล้วแต่อุปกรณ์ที่ดูแลความปลอดภัยแบบ Real-Time จะสามารถตรวจจับพฤติกรรมได้ก็ตอนที่มันเริ่มทำการโจมตีซึ่งจะเกิดขึ้นแบบเงียบๆ เพื่อไม่ให้เป็นที่สังเกตุของผู้ดูแลระบบหรืออุปกรณ์สามารถที่จะตรวจจับได้ ในการป้องกันที่มีประสิทธิภาพนั้นเมื่ออุปกรณ์ตรวจจับภัยคุกคามในระบบได้แล้ว ในการเก็บรวบรวมหลักฐานก็มีความจำเป็นที่จะต้องไปค้นหาใน SIEM ที่มีข้อมูลย้อนหลังไปหลายเดือนทำให้สามารถสืบทราบได้ว่าต้นตอของปัญหานั้นเข้ามาในองค์กรเมื่อไหร่โดยใคร ซึ่งจะทำให้กระบวนการในการจัดการภัยคุกคามขององค์กรนั้นมีประสิทธิภาพสอดคล้องกับมาตรฐานการจัดการความปลอดภัยทางไซเบอร์ SIEM ที่มีคุณภาพมักจะมีความสามารถในการทำ Correlation เพื่อเชื่อมโยงถึงความสัมพันธ์ของข้อมูล Logs จากแหล่งต่างๆ ทำให้การวิเคราะห์สถานการณ์ทำได้รวดเร็วและมีประสิทธิภาพ