Elasticsearch และ ระบบ Elastic SIEM ดีอย่างไร เหมาะกับการใช้งานแบบใด



Elasticsearch คือ

Elasticsearch คือ เครื่องมือค้นหาที่ใช้ไลบรารี Lucene (Lucene library) โดยให้บริการค้นหา (Search) เอกสารทุกประเภท เพิ่มความสามารถในการค้นหาได้ โดยค้นหาได้เกือบเรียลไทม์ และรองรับการใช้งานจากหลายผู้ใช้พร้อมกัน


การทำงานของ Elasticsearch

Elasticsearch มีหน้าเว็บอินเตอร์เฟสแบบ HTTP และ รองรับเอกสาร JSON ที่ไม่มีสคีมา (Schema) JAVA API และยังสามารถรองรับการ faceting และ percolating ซึ่งจะช่วยในการแจ้งเตือนถ้าข้อมูลใหม่ที่ได้รับตรงกับข้อมูลที่จัดเก็บไว้

Elasticsearch สามารถแบ่งข้อมูลออกเป็นส่วน ๆ ได้ (Indexing) ซึ่งหมายความว่า ดัชนีสามารถแบ่งออกเป็นส่วนย่อย แต่ละส่วนย่อยสามารถมีแบบจำลองเป็นศูนย์ (0) (replicas = 0) หรือมากกว่านั้นได้ โดยทุกโหนดจะทำการโฮสต์อย่างน้อย 1 ส่วนย่อยและทำหน้าที่เป็นผู้ประสานงานไปยังส่วนย่อยที่ถูกต้อง ข้อมูลที่มีความคล้ายคลึงกันมักจะถูกเก็บอยู่ในอินเด็ก (Index) เดียวกัน ประกอบด้วยอย่างน้อย 1 ส่วนหลัก (Primary = 1)และ อย่างน้อย 0 ส่วนย่อย (replicas = 0)เมื่อทำการอินเด็กไว้แล้วส่วนหลักไม่สามารถเปลี่ยนแปลงได้

Elasticsearch รองรับการทำงานแบบเรียลไทม์ในรูปแบบ GET request ทำให้ Elasticsearch เหมาะสำหรับเก็บข้อมูล NoSQL จำนวนมหาศาล ที่ยังขาดการจัดเรียงโครงสร้างข้อมูล





พัฒนาการของ Elasticsearch

Elasticsearch ได้ถูกพัฒนาไปพร้อม ๆ กับการเก็บข้อมูล การแยกบันทึกข้อมูลของ Logstash รวมถึงแพลตฟอร์มการวิเคราะห์และการแสดงผลข้อมูล Kibana และตัวการส่งข้อมูลแบบกลุ่มขนาดเล็กที่เรียกว่า Beats ซึ่งผลิตภัณฑ์เหล่านี้ได้รับการออกแบบมาเพื่อเป็นโซลูชั่นแบบบูรณาการที่ชื่อว่า Elastic Stack


Elastic SIEM

Elastic SIEM (Security Information & Event Management) คือ ระบบที่พัฒนาต่อยอดมาจาก Elastic Stack มีการเพิ่มความสามารถใหม่เข้าไป เช่น

  • พัฒนา SIEM App สำหรับรวบรวมและวิเคราะห์ข้อมูลที่เกี่ยวข้องกับ Host Security และ Network Security โดยเฉพาะ

  • มีระบบ Host Security Event Analysis และ Network Security Event Analysis เพิ่มเข้ามาภายใน Kibana

  • สามารถรวบรวมข้อมูลจาก Sysmon ได้

  • สามารถรวบรมข้อมูลจาก Cisco ASA และ Palo Alto Networks Firewall ได้


ทำไมต้องใช้ Elastic SIEM ?

จากข้อความด้านบนที่กล่าวไว้ว่า Elastic SIEM คือระบบที่พัฒนาต่อยอดมาจาก Elastic Stack เพื่อตรวจสอบความปลอดภัยและวิเคราะห์ข้อมูลการใช้งานที่ผิดปกติเกี่ยวกับ Host และ Network Elastic SIEM มีระบบ Timeline Event Viewer สำหรับใช้ตรวจสอบเหตุการณ์ภัยคุกคามและเจาะลึกในรายละเอียดที่ต้องการได้ Pin เหตุการณ์หรือข้อมูลผู้ต้องสงสัย และสามารถบันทึกข้อมูลเพื่อส่งต่อไปยัง Incident Response Team ให้ทำงานต่อได้โดยง่าย





Elastic SIEM Components

1. Host - เหตุการณ์ความปลอดภัยที่เกี่ยวข้องกับโฮสต์

2. Network - เหตุการณ์ความปลอดภัยที่เกี่ยวข้องกับเครือข่าย

3. Timeline - แบ่งและแบ่งข้อมูลเหตุการณ์ความปลอดภัยของคุณ

4. Add Data - นำเข้าข้อมูลจากแหล่งที่มาที่หลากหลาย

5. Anomaly Detection - กำหนดค่าของคุณ งานตรวจจับความผิดปกติ ML ของตัวเอง






Hosts




- เช็กความผิดปกติของ Host ว่ามีการ login ของ host success / fail เท่าไร ที่ fail เกิดขึ้นได้อย่างไร เช่น user A มีการ login fail 50 ครั้ง ใน 1 นาที อาจสันนิษฐานได้ว่าอาจจะถูกโจมตี


Network





- เช็ก IP จะต่อจากที่เช็ก Host จากตัวอย่างของ Host ที่บอกว่ามีการ login fail ของ user A และสันนิษฐานว่าถูกโจมตี จะมาทำการเช็กเลข IP ที่เข้า login ว่าเป็นของเลข IP อะไร หรือมี IP อื่นที่อยู่ในระบบขององค์กรใช้งานอยู่หรือไม่ และทำการแจ้งเตือนไปยังหน่วยงานเพื่อดำเนินการต่อไป


NOTE





- Note เพื่อบอกว่ามีการโจมตี หรือมีข้อผิดพลาดเกิดขึ้น เพื่อให้หน่วยงานต่อไปทราบถึงปัญหาที่เกิด


Elasticsearch license

Elasticsearch ถูกพัฒนาในภาษา JAVA มีการให้สิทธิ์ (License) ในการเรียกใช้งานแบบคู่ภายใต้ source-available Server Side Public License และ Elastic license


Elasticsearch เหมาะกับองค์กรแบบใด

หากองค์กรใดที่มีข้อมูลจำนวนมากที่ต้องการการค้นหา และวิเคราะห์แบบเรียลไทม์ มีความยืดหยุ่นในการบริหารจัดการข้อมูล และมีความปลอดภัยในการเข้าถึงข้อมูลเหล่านั้น Elasticsearch เป็นหนึ่งในระบบที่มีความจำเป็นไม่น้อยในการเพิ่มประสิทธิภาพการใช้ข้อมูลที่มีอยู่

โดยภาพรวมแล้ว Elasticsearch เหมาะกับอุตสาหกรรมดังต่อไปนี้

  • E-commerce

  • Retail

  • Bank

รวมถึงหน่วยงานรัฐที่มีข้อมูลจำนวนมาก และต้องการการสืบค้นอย่างรวดเร็ว


ตัวอย่างลูกค้าองค์กรที่นำ Elastic search เข้ามาเป็นส่วนหนึ่งในระบบหลังบ้านขององค์กร

Walmart

Elasticsearch ช่วยปกป้องข้อมูลจำนวนนับพันล้านข้อมูลของลูกค้าในการถูกนำไปใช้ในการหลอกลวง โดยเฉพาะกับบัตรของขวัญที่กลุ่มเป้าหมายเป็นผู้สูงอายุ

Adobe

Adobe บริษัทชั้นนำที่มีการเก็บข้อมูลที่มีมากกว่า 10,000 ล้านข้อมูล ในรูปแบบไฟล์รูปภาพ วิดีโอ และข้อมูลเหล่านี้ถูกทำการค้นหามากถึง 6,000 ครั้งต่อวินาที

Elastic Stack และ Elasticsearch ปลั๊กอิน (plug-in) ได้เข้ามาช่วยให้การค้นหาข้อมูลของ Adobe ง่ายขึ้นทั้งในส่วนการค้นหาจาก metadata การบูรณาการกับระบบ deep learning เพื่อให้สามารถค้นหาแบบผสมทั้งในส่วนข้อความ บริบทอื่นๆ เช่น สรูปและวิดีโอ รวมถึงสามารถทำการค้นหา หรือแนะนำรูปที่ผู้ค้นหามีโอกาสชอบได้





Ref for image https://www.elastic.co/blog/image-recognition-and-search-at-adobe-with-elasticsearch-and-sensei

HappyFresh

HappyFresh แอปพลิเคชันสำหรับซื้ออาหารสด และสินค้าอุปโภคบริโภค เจอปัญหาความล่าช้าในการค้นหาสินค้าทั้งในเว็บไซต์และโมบายแอปพลิเคชัน ทำให้เสียโอกาสในการขายไป ทางบริษัทจึงได้เปรียบระบบค้นหาจากเดิมด้วย Elastic App Search ที่ทำงานบน Elastic Cloud

“การย้ายไปใช้ App Search บน Elastic Cloud ช่วยให้เราสามารถให้บริการลูกค้าได้รวดเร็วยิ่งขึ้น เป็นการยกระดับประสิทธิภาพโดยรวม ทำให้มั่นใจในความเชื่อถือของบริการของเรา การเลือก Cloud ให้ใกล้กับลูกค้าและความง่ายในการใช้งานของ App Search บน Elasitc Cloud ช่วยเพิ่มความยืดหยุ่น และการปรับขนาด (Scalability) พร้อมทั้งการเปิดงานฟังก์ชันค้นหาเพื่อรองรับการเพิ่มขึ้นอย่างมากของการเข้าชมเว็บไซต์ (site traffic)

– Fajar Budiprasetyo, CTO, HappyFresh

หลังจากการบูรณาการ Elastic App Search บน Elastic cloud แล้วทาง HappyFresh มีการเข้าชมเว็บไซต์เพิ่มขึ้น 10 เท่า มียอดการค้นหาเพิ่มขึ้น 3 เท่า และลดอัตราความหน่วงในการค้นหาลง 2 เท่า


ปรึกษาผู้เชี่ยวชาญ Elasticsearch


บริษัท เอคซเทนด์ ไอที รีซอร์ส จำกัด รับให้คำปรึกษาในการบูรณาการและประยุกต์ใช้ Elasticsearch สำหรับองค์กรที่มีข้อมูลจำนวนมาก ทั้งที่อยู่บน Cloud หรือ on-premise เพื่อเพิ่มประสิทธิภาพการค้นหาได้อย่างรวดเร็ว โดยทางบริษัทมีประสบการณ์ในการให้คำปรึกษา และรับพัฒนาระบบบูรณาการ Elasticsearch ให้กับองค์กรชั้นนำหลายองค์กรในประเทศไทย

ปรึกษาการบูรณาการและประยุกต์ใช้ Elasticsearch กับเราได้ฟรี ไม่มีค่าใช้จ่าย

ติดต่อ Tel : 02 693 1989 E mail : sales@extend-it-resource.com










9 views0 comments

Recent Posts

See All