ก้าวสู่ระบบความปลอดภัยด้วย Elastic Security ปกป้องธุรกิจให้มั่นคง ปลอดภัย พร้อมรับมือภัยคุกคามทางไซเบอร์ที่เปลี่ยนแปลงอยู่เสมอ

ทำไมต้องเลือก Elastic Security

ในยุคที่ ภัยคุกคามทางไซเบอร์ พัฒนาซับซ้อนขึ้นทุกวัน ความปลอดภัย (Security) จึงเป็นเรื่องที่ทุกองค์กรต้องให้ความสำคัญ การปกป้องข้อมูลและระบบขององค์กรไม่ใช่เรื่องง่าย
แต่ต้องการ โซลูชันที่ทันสมัยและมีประสิทธิภาพ เพื่อรับมือกับความเสี่ยงและป้องกันความเสียหายที่อาจเกิดขึ้นได้อย่างมั่นใจ

SIEM (Security Information and Event Management) คืออะไร?

หนึ่งในเครื่องมือที่ได้รับความนิยมในการจัดการด้านความปลอดภัยคือ SIEM ซึ่งทำหน้าที่เป็น ศูนย์กลางข้อมูล ที่ช่วยให้ทีมความปลอดภัยสามารถจัดการกับเหตุการณ์
และข้อมูลที่เกี่ยวข้องกับความปลอดภัยในระบบได้อย่างมีประสิทธิภาพ โดยฟังก์ชันหลัก ๆ ที่สำคัญได้แก่

• การวิเคราะห์บันทึกข้อมูล (Logs) ที่เกี่ยวข้องกับความปลอดภัยจากแหล่งต่างๆ เช่น Firewall, Servers, หรือ Endpoints อื่น ๆ
• การจัดการการแจ้งเตือน (Alert Management) เมื่อระบบตรวจพบเหตุการณ์ที่ผิดปกติหรือเป็นภัยคุกคาม SIEM จะทำการแจ้งเตือนให้ทีมความปลอดภัยสามารถตอบสนองได้ทันท่วงที

SIEM เป็นเหมือนศูนย์กลางในการจัดการเหตุการณ์ความปลอดภัย แต่ก็มีข้อจำกัดในการรับมือกับภัยคุกคามที่ซับซ้อนและข้อมูลจำนวนมากในยุคปัจจุบัน

Elastic Security: โซลูชันที่ก้าวข้ามข้อจำกัด

Elastic Security ถูกออกแบบมาเพื่อแก้ปัญหาด้านความปลอดภัยได้อย่างครอบคลุม ด้วยฟีเจอร์ที่โดดเด่น เช่น:

• การวิเคราะห์ข้อมูลแบบเรียลไทม์ (Real-Time Analytics): ตรวจจับภัยคุกคามได้อย่างทันท่วงที
• AI และ Machine Learning (ML): ใช้เทคโนโลยีอัจฉริยะในการตรวจจับภัยคุกคามที่ซับซ้อนและล้ำสมัย
• การตอบสนองอัตโนมัติ (Automated Response): ลดเวลาในการจัดการเหตุการณ์และช่วยให้ทีมรักษาความปลอดภัย
  ทำงานได้มีประสิทธิภาพยิ่งขึ้น

Elastic Security ทำหน้าที่อะไร และมีฟีเจอร์เด่นๆอะไรบ้าง?

Elastic Security เป็นโซลูชันที่พัฒนาโดย Elastic เพื่อให้การปกป้องระบบและข้อมูลขององค์กรเป็นเรื่องง่ายและมีประสิทธิภาพ ซึ่งเป็นโซลูชันที่พร้อมใช้งาน (out-of-the-box)
โดยรองรับการทำงานตั้งแต่การ ตรวจจับ (Detection), ตอบสนอง (Response) และ ปกป้อง (Protection) แบบครบวงจร (End-to-End) ด้วยความสามารถพิเศษ
จาก Elasticsearch ที่มีการค้นหาข้อมูลรวดเร็วและแม่นยำ

หน้าที่หลักของ Elastic Security

• การตรวจจับภัยคุกคาม (Threat Detection): ตรวจจับและแจ้งเตือนเหตุการณ์ที่อาจเป็นภัยต่อระบบอย่างรวดเร็ว
• การตอบสนองต่อเหตุการณ์ (Incident Response): ช่วยผู้ดูแลระบบตอบสนองต่อเหตุการณ์ที่เกิดขึ้นแบบอัตโนมัติ
• การป้องกันความเสี่ยง (Risk Protection): ลดความเสี่ยงในการใช้งานและเพิ่มประสิทธิภาพในการรักษาความปลอดภัย

Elastic Security ใช้เทคโนโลยี AI และ Machine Learning (ML) ในการช่วยวิเคราะห์ภัยคุกคามและสนับสนุนผู้ดูแลระบบ (Admin) รวมถึงผู้ใช้งาน (User)
ให้สามารถเห็นภาพรวมของระบบและเข้าใจความเสี่ยงแบบเรียลไทม์

ฟีเจอร์เด่นของ Elastic Security

1. Automation (ระบบอัตโนมัติ) ช่วยลดภาระงานของผู้ดูแลระบบ โดยสามารถ:

• ตรวจจับภัยคุกคามโดยอัตโนมัติ
• ตอบสนองต่อเหตุการณ์แบบเรียลไทม์

2. Flexibility & Ease of Use (ความยืดหยุ่นและใช้งานง่าย)

• รองรับการปรับแต่งการทำงานให้เหมาะสมกับความต้องการขององค์กร
• จัดการผ่านศูนย์กลางที่ใช้งานง่าย

ตัวอย่างหน้า Web Console

จากรูปนี้จะเห็นว่า Elastic Security ต้อนรับเราด้วยอินเตอร์เฟซที่ใช้งานง่าย โดยเมนูต่างๆ จะถูกจัดเรียงชัดเจนที่ด้านซ้าย ทำให้การใช้งานง่ายและไม่ยุ่งยาก

ในบทความนี้ เราจะมาทำความรู้จักกับฟีเจอร์แต่ละอย่างของ Elastic Security ว่ามีความสามารถอะไรบ้าง

ฟีเจอร์สำคัญใน Elastic Security

Elastic Security มาพร้อม pre-built dashboards ที่ช่วยให้ผู้ใช้งานเข้าถึงข้อมูลสำคัญได้ทันที เช่น:

• Overview: ดูภาพรวมระบบ
• Detection & Response: แสดงข้อมูลการตรวจจับและตอบสนอง
• Entity Analytics: วิเคราะห์พฤติกรรมและกิจกรรมในระบบ

นอกจากนี้ยังสามารถ ปรับแต่ง (Custom Dashboard) ตามความต้องการขององค์กร เพื่อการเข้าถึงข้อมูลที่ละเอียดและเจาะจงมากขึ้น

                   อ้างอิง : https://www.elastic.co/guide/en/security/current/dashboards-overview.html 

ถ้ารู้สึกเยอะไป คุณสามารถเลือกใช้แค่ส่วนนี้ได้

                   อ้างอิง : Overview dashboard | Elastic Security Solution [8.17] | Elastic 

                   อ้างอิง : Detection & Response dashboard | Elastic Security Solution [8.17] | Elastic 

ระบบ Rules สำหรับการตรวจจับภัยคุกคาม (Detection Rules)

• ในส่วนของ Rules นี้ ใช้สำหรับสร้าง detection rules เพื่อตรวจจับและแจ้งเตือนเมื่อเกิดเหตุการณ์ต่างๆ โดยเราสามารถกดสร้าง Detection rule ได้ง่ายๆ ตาม
  
  

Elastic Security ช่วยสร้าง Detection Rules ได้ง่าย โดยมีหลายวิธีที่ตอบโจทย์ความต้องการ เช่น:

• Search Queries: ใช้ KQL (Kibana Query Language) ในการกำหนดเงื่อนไข เช่น ตรวจจับการ Login หรือ IP ที่ระบุ
• Machine Learning (ML): ใช้ AI ในการวิเคราะห์พฤติกรรมผิดปกติ เช่น Traffic ในเครือข่าย
• Thresholds: ตั้งค่าแจ้งเตือนตามตัวเลข เช่น การ Login มากกว่า 10 ครั้งใน 1 นาที
• EQL (Event Query Language): ใช้สำหรับจับลำดับเหตุการณ์ เช่น การ execute script ที่นำไปสู่การสร้างไฟล์ที่น่าสงสัย

หน้าตา EQL ประมาณนี้

จากตัวอย่างนี้ การทำงานจะเป็นการ search จาก winlog เพื่อค้นหาข้อมูลที่ตรงตามเงื่อนไขดังนี้:

• host.os.family เป็น windows
• process.name เป็น powershell.exe
• process.command_line ต้องมีคำว่า get-acl หรือ Get-AD

หลังจากนั้น จะทำการแสดงผลเป็นตาราง cl_count ที่แสดงจำนวนครั้งที่พบการใช้คำสั่งเหล่านี้ แบ่งตาม hostname และเรียงลำดับจากจำนวนมากไปน้อย โดยจำกัดผลลัพธ์ไว้ที่ 3 อันดับแรก

ผลลัพธ์ที่ได้จะออกมาหน้าตาแบบนี้

เราจะเห็นว่า host2 มีการทำงานที่เกี่ยวข้องกับ AD (Active Directory) มากกว่าเครื่องอื่น ๆ จากตรงนี้เราสามารถนำข้อมูลนี้มาใช้ตั้งค่า alert condition เพื่อจับเหตุการณ์ที่เกี่ยวข้องกับ AD ได้เลย

Indicator Matching ตรวจจับภัยคุกคามโดยการเปรียบเทียบข้อมูลในระบบกับ threat intelligence feeds จากทั่วโลก เช่น การตรวจสอบว่า IP หรือ domain ที่พบตรงกับรายการที่มีความเสี่ยงหรือไม่

Alerts : ใช้สำหรับ Monitor Alerts จาก Rules ที่สร้างไว้

• การทำงาน: แสดง Alert ทั้งหมดที่เกิดขึ้น โดยแบ่งตาม Severity (ระดับความรุนแรง) และ Hosts มี Top Alerts ให้เห็นว่าเหตุการณ์ใดเกิดขึ้นบ่อยที่สุด
• ข้อดี: เป็นระบบ Alert Management ที่ใช้งานง่ายและครอบคลุม

                   อ้างอิง : Detections and alerts | Elastic Security Solution [8.17] | Elastic 

Attack Discover : ใช้ AI ในการตรวจจับและวิเคราะห์ภัยคุกคาม

• การทำงาน: ฟีเจอร์นี้ช่วยให้การตรวจจับภัยคุกคาม ชาญฉลาดและแม่นยำมากขึ้น ลดเวลาและภาระงานของทีมรักษาความปลอดภัย
• Findings: หน้านี้จะใช้สำหรับ Cloud Security โดยเป็นส่วนที่ช่วยจัดการข้อมูลจาก Cloud Security Posture Management (CSPM)
• การทำงาน:
• เก็บข้อมูลจาก Cloud Environment เช่น Storage, Compute, IAM
• วิเคราะห์ข้อมูลและเปรียบเทียบกับ Security Guidelines จาก CIS (Center for Internet Security)
• ค้นหาจุดที่มี Misconfiguration หรือช่องโหว่ที่อาจนำไปสู่การโจมตี

โดยในหน้า findings ก็จะลงรายละเอียดเป็นรายการดังต่อไปนี้



                   อ้างอิง : Findings page | Elastic Security Solution [8.17] | Elastic 

หมายเหตุ:

• CSPM (Cloud Security Posture Management) สามารถใช้งานได้สำหรับผู้ใช้ Elastic Cloud ทุกคน
• สำหรับการใช้งานใน on-premise deployments จะต้องมี Enterprise subscription

Cases เนื่องจาก Elastic Security เป็น SIEM จึงออกแบบมาเพื่อการใช้งานร่วมกันในทีม security โดยหน้า Cases นี้จะใช้ในการรวบรวมเคสต่างๆ ที่สมาชิกในทีมได้เปิดเอาไว้ เพื่อให้สามารถติดตามและจัดการเคสได้อย่างมีประสิทธิภาพ 

                   อ้างอิง : Cases | Elastic Security Solution [8.17] | Elastic 

• Intelligence (Elastic Defend) : คือส่วนที่ใช้ดูข้อมูล Elastic Threat Intelligence ซึ่งจะเก็บข้อมูลจาก Integration Threat Intelligence ต่างๆ
  เพื่อช่วยในการตรวจจับภัยคุกคามและทำการวิเคราะห์ได้อย่างรวดเร็ว
• Explore : แสดง security events ที่เกิดขึ้นในรูปแบบที่เข้าใจง่าย โดยแยกข้อมูลตามหมวดหมู่ เช่น by hosts, by network, และ by users
  ช่วยให้การตรวจสอบและการวิเคราะห์ข้อมูลเป็นไปอย่างมีระเบียบ

                   อ้างอิง : Hosts page | Elastic Security Solution [8.17] | Elastic 

                 อ้างอิง : Network page | Elastic Security Solution [8.17] | Elastic 

                 อ้างอิง : Users page | Elastic Security Solution [8.17] | Elastic 

สรุปข้อดีของ Elastic Security

Elastic Security ไม่เพียงแค่ทำหน้าที่เป็นโซลูชันสำหรับการปกป้องระบบ แต่ยังช่วยให้ทีมงานสามารถทำงานได้ ง่ายและรวดเร็วขึ้น ด้วยการรวมฟีเจอร์ขั้นสูง
เช่น AI, ML, และการจัดการข้อมูล Cloud Security โดยฟีเจอร์ที่หลากหลายนี้ช่วยให้ผู้ใช้งานสามารถ

1. ลดภาระทีม SOC (Security Operation Center): Elastic Security ช่วยเพิ่มประสิทธิภาพในการตรวจจับและส่ง alert อัตโนมัติ ทำให้ทีมสามารถโฟกัสกับงานที่ซับซ้อนกว่า
   และการตอบสนองภัยคุกคามที่มีความรุนแรงสูงขึ้นได้
2. เพิ่มความแม่นยำในการตรวจจับภัยคุกคาม: ช่วยเพิ่มความแม่นยำในการตรวจจับภัยคุกคาม พร้อมทั้งยกระดับความปลอดภัยในระบบขององค์กร
3. รองรับการทำงานแบบ TDIR (Threat Detection, Investigation, and Response): Elastic Security ครอบคลุมกระบวนการ TDIR อย่างครบวงจร ตั้งแต่การตรวจจับภัยคุกคาม
   การสอบสวนต้นเหตุ และการตอบสนองอย่างรวดเร็ว
4. แก้ปัญหา Skill Gap: ด้วยเครื่องมือที่ใช้งานง่ายของ Elastic Security จะช่วยลดความซับซ้อนในการทำงาน ทำให้ทีมที่มีทรัพยากรบุคคล
   จำกัดสามารถจัดการกับภัยคุกคามได้อย่างมีประสิทธิภาพมากขึ้น
   
   

Elastic Security เป็นโซลูชันด้านความปลอดภัยที่ช่วยให้องค์กรสามารถตรวจจับและตอบสนองต่อภัยคุกคามไซเบอร์ได้อย่างมีประสิทธิภาพและรวดเร็วด้วยความสามารถ
ในการวิเคราะห์ข้อมูลขนาดใหญ่  และใช้เทคโนโลยี AI และ Machine Learning ในการตรวจจับภัยคุกคามที่ซับซ้อน นอกจากนี้ยังสามารถปรับแต่งและยืดหยุ่นให้เหมาะสม
กับความต้องการของแต่ละองค์กร ทำให้สามารถตอบโจทย์การรักษาความปลอดภัยในยุคดิจิทัลได้ดี

Elastic Security จึงเป็นโซลูชันที่เหมาะสำหรับองค์กรที่ต้องการเพิ่มความปลอดภัยในระบบไอที พร้อมช่วยลดภาระงานของทีม security operation ด้วยการทำงานอัตโนมัติ
ช่วยให้ทีมสามารถมุ่งเน้นไปที่การแก้ไขปัญหาที่ซับซ้อนยิ่งขึ้น

ปรึกษาเพิ่มเติมและเริ่มต้นใช้งาน Elastic Security กับทีมงานผู้เชี่ยวชาญได้แล้ววันนี้!

เกี่ยวกับ Sirisoft 

Sirisoft ผู้ให้คำปรึกษาด้านเทคโนโลยีสารสนเทศโดยใช้ DevOps Culture เป็นแนวคิดที่ช่วยพัฒนาและดูแลลูกค้าในรูปแบบสมัยใหม่
และให้บริการออกแบบพัฒนาซอฟต์แวร์โดยใช้สถาปัตยกรรมแบบ Microservices ในการพัฒนา พร้อมด้วยศักยภาพในการทำงาน
และการบริหารบุคลากรที่มีความเชี่ยวชาญด้าน High Code พร้อมให้บริการด้านเทคโนโลยีแบบ end-to-end ในเรื่องของ Infrastructure Optimization
และ Cyber Security ไปจนถึง Digital Transformation ที่จะช่วยออกแบบซอฟต์แวร์และโครงสร้างระบบไอทีหลังบ้านคุณ 
ให้ตอบโจทย์ธุรกิจ เติบโตได้ไว ขยายได้ทันในทุกโอกาสของโลกธุรกิจที่เปลี่ยนแปลงอย่างรวดเร็ว