Security Logs บน Athena XDR (Basic Mode, Expert Mode, Global Search) – บริษัท ซังฟอร์ เทคโนโลยี (ประเทศไทย) จำกัด

Security Logs คืออะไร

ฟีเจอร์ Security Logs ใช้สำหรับช่วยผู้ดูแลระบบในการ collect, analyze และแสดง raw logs ที่สร้างขึ้นในเครือข่าย ช่วยให้สามารถระบุและแก้ไขปัญหาด้านความปลอดภัยได้อย่างรวดเร็วเพื่อรักษาการดำเนินธุรกิจปกติ

การเข้าถึงหน้า Security Logs

เข้าสู่ Sangfor XDR console แล้วไปที่ Detection & Response > Security Logs

Security Logs page showing filtered log entries with threat categories and attack status

ประเภทของ Security Logs

Security logs แบ่งออกเป็น 4 ประเภทหลัก:

Security Detection Logs - ประกอบด้วย network security logs, endpoint security logs และ IOA logs
Behavioral Logs - ประกอบด้วย endpoint behavioral logs
Traffic Audit Logs - มี 24 ประเภทของ protocol-related audit logs เช่น HTTP audit logs, DNS audit logs
Third-Party Logs - logs จาก third-party devices เช่น security devices, operating systems และ applications

สามารถกรอง logs ตามประเภทและ traffic direction (inbound, outbound, lateral) ได้ที่ส่วนบนของหน้า

Basic Mode - การค้นหาด้วย Keyword

ใน basic mode สามารถค้นหา logs ด้วย keyword ได้อย่างง่ายดาย:

คลิก Basic Mode ที่ส่วนบนของหน้า
เลือก query field เช่น EndpointIP, Security level
ป้อน keyword ที่ต้องการค้นหา
คลิกไอคอนค้นหาเพื่อแสดงผลลัพธ์

ตัวอย่าง: ค้นหา high-risk logs ของ endpoint ที่มี IP address 172.17.0.1 โดยป้อน EndpointIP เป็น 172.17.0.1 และ Security เป็น High

Expert Mode - การค้นหาด้วย SPL Expression

ใน expert mode สามารถค้นหา logs ด้วย SPL (Search Processing Language) expressions โดย SPL expression จะเริ่มด้วยคำว่า filter ตามด้วย field name, operator และ field value

หมายเหตุ: หากไม่ใส่คำว่า filter นำหน้า ระบบจะเพิ่มให้อัตโนมัติ

วิธีการเพิ่ม SPL Expression

มี 3 วิธีในการสร้าง SPL expression:

วิธีที่ 1: Manual Entry - พิมพ์ SPL expression โดยตรงตาม syntax ที่กำหนด

วิธีที่ 2: Right-Click Context Menu - hover เมาส์เหนือ column field คลิกขวา แล้วเลือก Add to Criteria ระบบจะสร้าง expression ให้อัตโนมัติ

วิธีที่ 3: Column Filter Icon - คลิกไอคอน filter ข้าง column name เพื่อเข้าถึง dropdown selections สำหรับ field-based filtering รวมถึง statistical options

Add to Favorites

บันทึก SPL expressions ที่ใช้บ่อยเพื่อใช้อ้างอิงในอนาคต:

คลิกไอคอน Favorites ที่มุมขวาบน
ป้อนชื่อสำหรับ expression
Expression จะถูกบันทึกและสามารถเรียกใช้ได้อย่างรวดเร็วในภายหลัง
รองรับทั้ง Expert Mode และ Basic Mode favorites

Log Details

รายละเอียดของ security log จะแสดงข้อมูลสำคัญที่ช่วยในการวิเคราะห์ incident:

Log timestamps - เวลาที่บันทึก log
Request information - ข้อมูล request รวมถึง Request Header และ Request Body
Response information - ข้อมูล response
Attack outcomes - ผลลัพธ์ของการโจมตี
Detection Info - ข้อมูลการตรวจจับ
JSON view - ดูข้อมูลในรูปแบบ JSON

ข้อมูลเหล่านี้เป็นหลักฐานสำคัญสำหรับการสืบสวน incident

Global Fuzzy Search - การค้นหาแบบ Fuzzy

ในโหมด global fuzzy search สามารถป้อน keyword ในช่องค้นหาเพื่อค้นหา security logs ที่มี keyword นั้นอยู่ภายในช่วงเวลาที่กำหนด:

เลือก Global Fuzzy Search mode
ป้อน keyword ที่ต้องการค้นหา เช่น "Ftp"
ระบบจะค้นหาและแสดง security logs ที่มี keyword ดังกล่าว
Keyword จะถูก highlight ในผลลัพธ์เพื่อให้มองเห็นได้ง่าย

ตัวอย่าง: ค้นหา keyword "Ftp" จะแสดง security logs จาก 7 วันที่ผ่านมาที่มีคำว่า "Ftp" โดย keyword จะถูกเน้นสีในผลลัพธ์

การ Export Logs

สามารถ export security logs เพื่อนำไปวิเคราะห์เพิ่มเติมหรือเก็บเป็นหลักฐาน โดยเลือก logs ที่ต้องการแล้วคลิก Export