Machine တွေကနေ ထုတ်ပေးတဲ့ Data ပေါ့။ Machines တွေ Systems တွေက ထုတ်ပေးနိုင်တာ Logs တွေပဲ။ Logs တွေရဲ့ အရေးပါမှုကို အရင်က တခါရေးခဲ့ဖူးတယ်။ Logs ဆိုတာဟာ အရင်နှစ်ပေါင်းများစွာ ကတည်းက သုံးနေခဲ့တာပဲ အခုမှ ဘာလို့ အဆန်းတကြယ် ထပ်ပြောနေရတာလဲဆိုတာ စိတ်ဝင်စားစရာပါ။
အရင်က ဒီ Logs တွေကို ဘယ်သူမှ စိတ်မဝင်စားကြဘူး။ ဒီ Systems တွေကို ကိုင်တွယ်တဲ့ သူတွေကလွဲလို့ ဘယ်သူမှ ရှိတယ်လို့တောင် မထင်ကြဘူး။ အဲဒီ Systems Engineer တွေ Network Engineer တွေတောင် တချို့က Logs ဆိုတာ ယူထားရကောင်းမှန်း၊ ကြည့်သင့်မှန်း မသိသေးတဲ့သူတွေ အများကြီးပဲ။ ထုံးစံအတိုင်း ဘာမှ မဖြစ်ရင် ဘာမှမဖြစ်ဘူးပဲ။ ဖြစ်တော့မှ Logs လေးဘာလေးကြည့်အုံးမှဆိုပီး လုပ်ကြတာ။ အဲဒီအချိန်ကျ Logs တွေကမရှိတာ၊ Logs server down နေတာမျိုးတွေ ဖြစ်နေကြတာ မဆန်းပါဘူး။ အဲဒီလို အခြေအနေမျိုးမှာ တဖွဲ့နဲ့ တဖွဲ့ Logs တွေ ဖလှယ်ဖို့၊ အချင်းချင်း ချိတ်ဆက်ဖို့ရာဝေးရောပေါ့။ အားလုံးဟာ တခုခုဖြစ်ရင် ပြန်လည်တုံပြန်နိုင်ဖို့ကိုတောင် သေချာမလုပ်နိုင်တဲ့အဖြစ်၊ Reactive respond ကို အချိန်ပေးပီး မနည်းလုပ်ဆောင်နေကြတာ။
အခုနောက်ပိုင်းမှာတော့ Data ဟာ ရွှေဆိုတာ နားလည်လာကြတော့ နေရာတိုင်းမှာ Data Data ဆိုပီး ဖြစ်လာကြတယ်။ Data များများပိုင်လေ Information နဲ့ Insights တွေများများ ထုတ်ပေးနိုင်လေပဲ။ တချို့က Data တွေရဖို့အတွက် နှစ်ပေါင်းများစွာကတည်းက စတင်ပီး ယူထားပီးသား၊ နှစ်တွေကြာလာ Data တွေများလာတာနဲ့အမျှ အဲဒီ Data တွေကိုအသုံးချပီး သုံးသပ်ပီး သူများတကာထက် ရှေ့ရောက်အောင် စီမံ လုပ်ဆောင်ကြတာပဲ။ လမ်းမှာ သွားလာနေရင်း တစ်ရှုးထုပ်လေးလက်ဆောင်ပေးမယ် ဒီမေးခွန်းလေးတွေ ဖြေခဲ့ပါလားတို့၊ ဒီ Software/Apps လေးက အလကား စာရင်းသွင်းပီး လုပ်ကြည့်ပါလား၊ စတာတွေဟာ နောက်ကွယ်က Data တွေလိုချင်လို့ပဲ။ Data တွေကို စုဆောင်းနေတာပဲ။ တကယ်က အလကားပေးနေတာမဟုတ်ဘူး၊ ကိုယ့်မှာရှိတဲ့အချက်အလက်တွေကို ပေးလိုက်ရတာ။
အဲဒီလို Data ခေတ်ရောက်လာတဲ့အခါမှာ ရှိသမျှ Data တွေက စိတ်ဝင်စားစရာ ဖြစ်လာတယ်။ ဥပမာ Network တစ်ခု ပြတ်တောက်သွားတယ် Down သွားတယ် ဆိုပါတော့။ အရင်ကဆို Business ဖက်က ပြဿနာရှာမယ်၊ သူတို့ဖက်က ထိခိုက်သွားတဲ့ ဟာမျိုးပြောမယ်၊ ဘာကြောင့်ဖြစ်ရသလဲမေးမယ်၊ ရှေ့ဆက် ဘယ်လိုကောင်းအောင် လုပ်မလဲ စတာတွေမေးမယ်။ ဒါပေမဲ့ ဒါတွေကို Network Manager က ကိုယ့်မှာရှိတဲ့ Logs လေးတွေ၊ Monitoring လုပ်တဲ့ NMS လေးတွေသုံးပြီး အကြောင်းပြန်ရတာ၊ တခြားအဖွဲ့တွေ၊ Business ဖက်ကသူတွေက အဲဒီဟာတွေ မမြင်ရဘူး။ RCA (Root Cause Analysis) ကို ကိုယ့်အပိုင်းကနေပဲ ထုတ်ပေးနိုင်တာများတယ်။ ဒါကြောင့်ဖြစ်တာပါဆိုတဲ့ ဟာမျိုးလောက်တော့ ပြောနိုင်ပေမဲ့ အဲဒီဒါကြောင့်ဟာ အနောက်က တခုခုရဲ့ ပယောဂ ကြောင့်ဆိုတာကို လိုက်ဖို့ အတော်ခက်တယ်။
အခုနောက်ပိုင်းကျတော့ Business ဖက်ကလဲ Data တွေရှိလာတော့ တခုခု ပြဿနာဖြစ်ရင် အဲဒီဟာကြောင့် ငွေကြေးပိုင်းအရ ဒီလောက်အထိ ဆုံးရှုံးသွားပါတယ်၊ အဲဒီလိုသာ ထပ်ဖြစ်နေမယ်ဆိုရင် ဘယ်လောက်အထိ ထပ်ပီးဆုံးရှုံးသွားနိုင်တယ် စသဖြင့်နဲ့ ပြောနိုင်လာသလို၊ IT/ Network ဖက်ကိုလဲ Uptime ပြနိုင်တဲ့ Dashboard တွေထုတ်ပေးဖို့တောင်းဆိုတာမျိုး၊ လစဉ် အစီရင်ခံစာတွေမှာ အသေးစိတ်ဖော်ပြပေးဖို့တောင်းဆိုတာမျိုးတွေ ရှိလာပါတယ်။ နောက်တခါ IT/Network ဖက်ကသာ ဒီထက်ပို့ပီး ကောင်းလာမယ်ဆို လုပ်ငန်း ရာခိုင်နှုန်း ဘယ်လောက်အထိ တက်လာနိုင်တယ် ဆိုတာမျိုးတွေလဲ ရှိလာပါတယ်။ အဲဒီတော့ Network ဖက်ကလဲ Business ကရတဲ့ Data အရ ဘယ်နေရာမျိုးတွေမှာ Network အစိတ်အပိုင်းတွေကို အဆင့်မြှင့်သင့်တာတွေ၊ အောက်က ကိုယ့်ကို ပြန်ထောက်ပံ့ပေးမဲ့ နေရာတွေက Data တွေကို ဘယ်လိုယူရမလဲ ပေးမဲ့သူနဲ့ ဆက်လက်ညှိနှိုင်းတာမျိုးတွေ လုပ်လာရပါတယ်။ Upstream Downstream အကုန် လိုက်ဖြည့်ရပါတယ်။ ဒီတော့ ကိုယ်ကိုင်တွယ်နေတဲ့ စနစ်တွေရဲ့ Logs တွေ Data တွေဟာ Business နဲ့ ဆက်စပ်နေပါလားဆိုတာ သဘောပေါက်လာပါလိမ့်မယ်။ ရလာတဲ့ Data တွေကနေ သုံးသပ်ခြုံငုံထားတဲ့ အချက်တွေက တခုခုဆိုရင် ဘယ်နေရာ ဘာဖြစ်နေလဲဆိုတာ ပိုပီးမြန်ဆန်စွာသိနိုင်လာသလို၊ ကြိုတင်ခန့်မှန်းနိုင်တာမျိုးတွေပါ လုပ်ဆောင်နိုင်လာပါလိမ့်မယ်။ Reactive ကနေ Proactive ပုံစံမျိုး ပြောင်းလာတာကို တွေ့ရပါလိမ့်မယ်။
Network ဖက်က ရနိုင်တဲ့ Machine Data အချို့ကို လေ့လာကြည့်တာနဲ့တင် ဘယ်လောက် စိတ်ဝင်စားစရာကောင်းလဲ ဘယ်လောက်အသုံးဝင်လဲဆိုတာ တွေ့ရမှာပါ။
DHCP
DHCP Log ကိုကြည့်လိုက်ရင် ဘယ် Device/Client ဟာ ဘယ်အချိန်က၊ ဘယ် Network ကနေ IP ရခဲ့တယ်၊ အဲဒီ Device ရဲ့ MAC address ကိုကြည့်တာနဲ့ MAC OUI ကို ကြည့်ပီး ဘာအမျိုးအစား ဖြစ်တယ်ဆိုတာမျိုးပါ သိနိုင်တယ်။ Device Fingerprint ကို ရနိုင်တယ်။
DNS
DNS log ကို ကြည့်လိုက်ရင် Clients တွေကို ဘယ် Domain တွေကို ရှာနေလဲ၊ အဲဒီ Domain တွေထဲမှာ သံသယဖြစ်ဖွယ် Suspicious Domain တွေ၊ C&C domain တွေပါနေလား စတာတွေကို သိနိုင်တယ်။ Cisco ရဲ့ Umbrella နာမည်ကြီးသွားတာ WannaCry ransomware ဖြစ်တုန်းက ပုံမှန်မဟုတ်တဲ့ DNS Lookup တွေများနေတာကို Umbrella ကတွေ့သွားပီး သူနဲ့သက်ဆိုင်တဲ့ Domain တွေကို လိုက်နိုင်လို့ပဲ။
Firewall
အင်တာနက်သွားသမျှ Firewall ကနေပဲ ဖြတ်သွားရလေ့ရှိတာကြောင့် Firewall Logs ကြည့်လိုက်ရင် ရုံးအတွင်းက အင်တာနက် ဘာတွေသုံးနေသလဲ၊ ဘယ်လို အန္တရာယ်တွေ ဖြစ်လာနိုင်သလဲ ဆိုတာကို အကုန်သိနိုင်တယ်။ နောက်ပိုင်း NGFW တွေဆို IPS/IDS တွေ Apps Control/ Web filter/ Antivirus / AntiMalware စသဖြင့် အမျိုးစုံပါလာတော့ ပိုတောင်သိနိုင်သေးတယ်။
Router
Router Log တွေကြည့်လိုက်ရင် Network ငြိမ်မငြိမ်၊ Routing path လမ်းကြောင်းတွေ၊ Interfaces တွေရဲ့ Bandwidth အသုံးပြုမှုတွေ စတာတွေ သိနိုင်တယ်။
Switch
ဘယ် Devices တွေ လာချိတ်ထားသလဲ၊ LAN အတွင်းမှာ ပြဿနာတွေရှိနိုင်သလား စတာမျိုး။
NAC
ဘယ်လို Device အမျိုးစားတွေ လာချိတ်နေသလဲ။ ခွင့်ပြုမထားတဲ့ အပြင် Device တွေ ခိုးဝင်ချိတ်ဆက်ဖို့ ကြိုးစားနေသလား စသဖြင့်။
ရေးမယ်ဆို အများကြီး ရေးလို့ရသေးတယ်။ WLC/ Proxies / SNMP/ Netflow / IPS/ IDS/ Load balancer စတဲ့Devices မျိုးစုံကနေ ထုတ်ပေးနေတဲ့ Data တွေဟာ သုံးတတ်ရင် သုံးတတ်သလို အရေးပါတာကို တွေ့နိုင်ပါတယ်။ နောက်မှ သီးသန့်ထပ်ရေးတာ ပိုကောင်းလိမ့်မယ်။ အပေါ်က အကြောင်းအရာနဲ့ ပြန်ဆက်ရရင် တော့ ဒီဟာတွေဟာ သိပီးသားတွေပါပဲ ဒါပေမဲ့ အဲဒါကို အချင်းချင်း ချိတ်ဆက်ပီး ၊Correlate လုပ်ပီး Data Analytic Dashboard တခုအဖြစ်သာ လုပ်ထားကြည့် မယ်ဆိုရင် အခုလို မေးခွန်းမျိုးကို အလွယ်တကူနဲ့ ဖြေနိုင်မှာ ဖြစ်ပါတယ်။
ရုံးရဲ့ လုပ်ငန်းအားလုံး ၁ နာရီလောက် ရပ်ဆိုင်းသွားရခြင်းကို ဖြေရှင်းပါဆိုရင်
ဝန်ထမ်းတစ်ယောက်က အိမ်ကနေ ယူလာတဲ့ သူကိုယ်ပိုင် ကွန်ပျူတာ BYOD Laptop မှာ Malware ပါလာတာကို မသိပဲ ရုံးက Network ကိုချိတ်ဆက်တဲ့အခါ NAC မှာ လုပ်ထားတဲ့ Configuration ဟာ မှားနေတဲ့အတွက် ပေးဝင်ချိတ်ဆက်သွားပီးနောက် အဲဒီ Malware ကနေ အပြင်က Malicious Command & Control system ကို ဆက်သွယ်ပီး အတွင်းက Network အဆင့်ဆင့်ကို ဝင်ရောက်တိုက်ခိုက်သွားတာဖြစ်ပါတယ်။ ဒါကိုကျွန်တော်တို့မှာ ရှိတဲ့ Device မျိုးစုံကနေလာတဲ့ Data lake ကနေ SIEM ကို ပေးပို့ထားတဲ့ အချက်အလက်တွေနဲ့ NMS ရဲ့ ဖော်ပြနေတဲ့ ပုံစံတွေကို ၃၆၀ ဒီကရီ နဲ့ ပြပေးတဲ့ Analytic Insight အရ ပြဿနာရဲ့ ရင်းမြစ်ကို အလျှင်အမြန်လိုက်နိုင်ပီး မိနစ်ပိုင်းအတွင်း ဖြေရှင်းလို့ ရခဲ့ပါတယ်။