Security Logs คืออะไร
ฟีเจอร์ Security Logs ใช้สำหรับช่วยผู้ดูแลระบบในการ collect, analyze และแสดง raw logs ที่สร้างขึ้นในเครือข่าย ช่วยให้สามารถระบุและแก้ไขปัญหาด้านความปลอดภัยได้อย่างรวดเร็วเพื่อรักษาการดำเนินธุรกิจปกติ
การเข้าถึงหน้า Security Logs
เข้าสู่ Sangfor XDR console แล้วไปที่ Detection & Response > Security Logs
ประเภทของ Security Logs
Security logs แบ่งออกเป็น 4 ประเภทหลัก:
- Security Detection Logs - ประกอบด้วย network security logs, endpoint security logs และ IOA logs
- Behavioral Logs - ประกอบด้วย endpoint behavioral logs
- Traffic Audit Logs - มี 24 ประเภทของ protocol-related audit logs เช่น HTTP audit logs, DNS audit logs
- Third-Party Logs - logs จาก third-party devices เช่น security devices, operating systems และ applications
สามารถกรอง logs ตามประเภทและ traffic direction (inbound, outbound, lateral) ได้ที่ส่วนบนของหน้า
Basic Mode - การค้นหาด้วย Keyword
ใน basic mode สามารถค้นหา logs ด้วย keyword ได้อย่างง่ายดาย:
- คลิก Basic Mode ที่ส่วนบนของหน้า
- เลือก query field เช่น EndpointIP, Security level
- ป้อน keyword ที่ต้องการค้นหา
- คลิกไอคอนค้นหาเพื่อแสดงผลลัพธ์
ตัวอย่าง: ค้นหา high-risk logs ของ endpoint ที่มี IP address 172.17.0.1 โดยป้อน EndpointIP เป็น 172.17.0.1 และ Security เป็น High
Expert Mode - การค้นหาด้วย SPL Expression
ใน expert mode สามารถค้นหา logs ด้วย SPL (Search Processing Language) expressions โดย SPL expression จะเริ่มด้วยคำว่า filter ตามด้วย field name, operator และ field value
หมายเหตุ: หากไม่ใส่คำว่า filter นำหน้า ระบบจะเพิ่มให้อัตโนมัติ
วิธีการเพิ่ม SPL Expression
มี 3 วิธีในการสร้าง SPL expression:
วิธีที่ 1: Manual Entry - พิมพ์ SPL expression โดยตรงตาม syntax ที่กำหนด
วิธีที่ 2: Right-Click Context Menu - hover เมาส์เหนือ column field คลิกขวา แล้วเลือก Add to Criteria ระบบจะสร้าง expression ให้อัตโนมัติ
วิธีที่ 3: Column Filter Icon - คลิกไอคอน filter ข้าง column name เพื่อเข้าถึง dropdown selections สำหรับ field-based filtering รวมถึง statistical options
Add to Favorites
บันทึก SPL expressions ที่ใช้บ่อยเพื่อใช้อ้างอิงในอนาคต:
- คลิกไอคอน Favorites ที่มุมขวาบน
- ป้อนชื่อสำหรับ expression
- Expression จะถูกบันทึกและสามารถเรียกใช้ได้อย่างรวดเร็วในภายหลัง
- รองรับทั้ง Expert Mode และ Basic Mode favorites
Log Details
รายละเอียดของ security log จะแสดงข้อมูลสำคัญที่ช่วยในการวิเคราะห์ incident:
- Log timestamps - เวลาที่บันทึก log
- Request information - ข้อมูล request รวมถึง Request Header และ Request Body
- Response information - ข้อมูล response
- Attack outcomes - ผลลัพธ์ของการโจมตี
- Detection Info - ข้อมูลการตรวจจับ
- JSON view - ดูข้อมูลในรูปแบบ JSON
ข้อมูลเหล่านี้เป็นหลักฐานสำคัญสำหรับการสืบสวน incident
Global Fuzzy Search - การค้นหาแบบ Fuzzy
ในโหมด global fuzzy search สามารถป้อน keyword ในช่องค้นหาเพื่อค้นหา security logs ที่มี keyword นั้นอยู่ภายในช่วงเวลาที่กำหนด:
- เลือก Global Fuzzy Search mode
- ป้อน keyword ที่ต้องการค้นหา เช่น "Ftp"
- ระบบจะค้นหาและแสดง security logs ที่มี keyword ดังกล่าว
- Keyword จะถูก highlight ในผลลัพธ์เพื่อให้มองเห็นได้ง่าย
ตัวอย่าง: ค้นหา keyword "Ftp" จะแสดง security logs จาก 7 วันที่ผ่านมาที่มีคำว่า "Ftp" โดย keyword จะถูกเน้นสีในผลลัพธ์
การ Export Logs
สามารถ export security logs เพื่อนำไปวิเคราะห์เพิ่มเติมหรือเก็บเป็นหลักฐาน โดยเลือก logs ที่ต้องการแล้วคลิก Export
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น