ManageEngine ยกระดับแพลตฟอร์มความปลอดภัยแบบครบวงจร ด้วยระบบตรวจจับใหม่ ลดความล้าของทีม SOC ในการรับแจ้งเตือน

By
piphat phoemphan
-

ManageEngine บริษัทในเครือของ Zoho Corporation และผู้ให้บริการโซลูชันด้านการจัดการไอทีระดับองค์กรชั้นนำ ประกาศอัปเกรดโซลูชันด้านการจัดการข้อมูลและเหตุการณ์ด้านความปลอดภัย (SIEM) Log360 ด้วยการพัฒนาแนวทางการตรวจจับภัยคุกคามใหม่ ที่ออกแบบมาเพื่อตอบโจทย์การทำงานของศูนย์ปฏิบัติการด้านความปลอดภัยไซเบอร์ (SOC) ในยุคปัจจุบันโดยเฉพาะ

จากผลการศึกษา 2025 Threat Intelligence Benchmark ที่จัดทำโดย Google พบว่า กว่า 60% ของทีม SOC ต้องเผชิญกับข้อมูลภัยคุกคามที่ไม่เกี่ยวข้อง และกว่า 53% ของการแจ้งเตือนด้านความปลอดภัยบนคลาวด์ถือเป็นสัญญาณรบกวน (Noise) ล่าสุด ManageEngine ได้เปิดตัวการอัปเกรด Log360 เพื่อเสริมศักยภาพในฐานะแพลตฟอร์มด้านความปลอดภัยแบบครบวงจร โดยมุ่งเน้นการคัดกรองและลดสัญญาณเตือนที่ไม่จำเป็น ช่วยให้การจัดลำดับความสำคัญ (Triage) ทำได้รวดเร็วยิ่งขึ้น พร้อมลดปัญหาความเหนื่อยล้าจากการทำงานของนักวิเคราะห์ด้านความปลอดภัยอีกด้วย

“ความท้าทายที่ใหญ่ที่สุดของทีมรักษาความปลอดภัยในปัจจุบัน ไม่ใช่การเก็บข้อมูล แต่คือการแยกสัญญาณจริงออกจากสัญญาณรบกวนที่มีอยู่เป็นจำนวนมาก” มานิคานเดน ธังการาจ รองประธานบริษัท ManageEngine กล่าว “เราจึงได้ออกแบบระบบตรวจจับขึ้นใหม่ ไม่ใช่แค่สร้างกฎที่ซับซ้อนขึ้น แต่เพื่อมอบประสิทธิภาพที่แท้จริง พร้อมทั้งเสริมศักยภาพให้ SOC ด้วยความสามารถในการปรับแต่งกฎได้อย่างยืดหยุ่นและละเอียดกว่าการใช้เพียงค่า threshold ทั่วไป ด้วยการพัฒนานี้ นักวิเคราะห์ SOC สามารถกรองสัญญาณที่ไม่เป็นอันตรายออกไปได้ โดยไม่สูญเสียความสามารถในการตรวจจับการเจาะระบบที่แท้จริง นี่คือการเปลี่ยนโฟกัสไปสู่การไล่ล่าภัยคุกคามที่แท้จริงอย่างตรงจุด เพื่อให้มั่นใจว่าเรากำลังปกป้องอย่างมีประสิทธิภาพ ไม่ใช่เพียงแค่เฝ้าระวังตลอด 24 ชั่วโมงเท่านั้น”

ความสามารถใหม่ที่เพิ่มเข้ามาใน Log360 ได้แก่ คอนโซลการตรวจจับแบบศูนย์กลาง (Centralized Detection Console), ฟิลเตอร์การกำหนดกฎในระดับออบเจกต์ (Object-level Rule Filters) และกฎการตรวจจับที่สร้างไว้ล่วงหน้ามากกว่า 1,500 ข้อ ได้รับการอัปเดตอย่างต่อเนื่องจากคลาวด์ การอัปเกรดครั้งนี้ยังวางรากฐานสู่ความสามารถในการรองรับการขยายตัวในระดับองค์กร (Enterprise-grade Scalability) ด้วยสถาปัตยกรรมแบบหลายชั้น (Multi-tier Architecture), การประมวลผลบันทึก (Log) ที่ออกแบบเฉพาะตามบทบาทการทำงาน และการรวบรวมข้อมูลจากหลายไซต์แบบศูนย์กลาง เพื่อให้มั่นใจได้ถึงประสิทธิภาพและความทนทาน เมื่อแหล่งข้อมูลและปริมาณบันทึกเพิ่มมากขึ้น

ECSO 911 ยืนยันประสิทธิภาพของ Log360

การทดสอบเบต้าในช่วงแรกโดย Emergency Communications of Southern Oregon (ECSO) 911 หน่วยงานลูกค้าของ Log360 ในสหรัฐอเมริกา ยืนยันถึงประสิทธิผลของการปรับปรุงครั้งนี้ โดยแสดงให้เห็นถึงการลดสัญญาณเตือนผิดพลาด (False Positive) ได้อย่างชัดเจน และทำให้วงจรการตรวจจับถึงตอบสนอง (Detection-to-Response) เร็วขึ้น ECSO เป็นศูนย์บริการรวมสำหรับการสั่งการฉุกเฉินและ Public Safety Answering Point (PSAP) ครอบคลุมสายด่วน 911 ทั้งหมดใน Jackson County และ Crater Lake National Park รัฐโอเรกอน

“สำหรับศูนย์การสื่อสารฉุกเฉิน 911 ความปลอดภัยคือรากฐานของความไว้วางใจของสาธารณะชน และความล้มเหลวใด ๆ ย่อมส่งผลทันทีในโลกของความเป็นจริง ความสามารถการตรวจจับขั้นสูงล่าสุดไม่ใช่เรื่องทางเลือก แต่เป็นสิ่งจำเป็น” คอรี่ย์ เนลสัน ผู้จัดการฝ่ายไอที ECSO 911 กล่าว “ด้วยกฎการตรวจจับและเทคนิคการกรองที่ปรับแต่งจาก Log360 เราสามารถลดสัญญาณเตือนที่ผิดพลาดหรือมีความสำคัญต่ำลงได้ถึง 90% ทำให้นักวิเคราะห์ของเราสามารถมุ่งเน้นไปที่ภัยคุกคามที่สำคัญที่สุด การปรับปรุงนี้ช่วยเร่งความสามารถในการระบุและตอบสนองต่อเหตุการณ์ไซเบอร์จริงได้อย่างมีนัยสำคัญ”

ไฮไลท์สำคัญของการอัปเกรดใหม่ใน Log360

  • การตรวจจับที่ออกแบบใหม่: Log360 มาพร้อม คอนโซลตรวจจับแบบรวมศูนย์ (Unified Detection Console) ที่รวบรวมเนื้อหาการตรวจจับทั้งหมดไว้ในที่เดียว ไม่ว่าจะเป็นกฎที่สอดคล้องกับ MITRE ATT&CK, โลจิกการเชื่อมโยงเหตุการณ์ (Correlation Logic), ข้อมูลเชิงลึกจาก User and Entity Behavior Analytics (UEBA) และแหล่งข้อมูลภัยคุกคาม (Threat Intel Feeds) ทีมงานด้านความปลอดภัยสามารถสร้างกฎตรวจจับแบบมาตรฐาน, แบบตรวจจับความผิดปกติ หรือแบบขั้นสูง ผ่านอินเทอร์เฟซแบบโต้ตอบได้โดยไม่ต้องเขียนคำสั่งที่ซับซ้อน ฟิลเตอร์ในระดับออบเจกต์ (Object-level Filters) ครอบคลุมผู้ใช้, กลุ่ม และ OU ใน Active Directory ช่วยให้สามารถตรวจสอบตัวตนที่มีค่าสูงอย่างต่อเนื่อง พร้อมลดปริมาณข้อมูลที่ไม่มีความสำคัญ (Low-priority Noise)
  • เนื้อหาที่จัดส่งผ่านคลาวด์: กฎตรวจจับสำเร็จรูปมากกว่า 1,500 ข้อ ครอบคลุมกรณีการใช้งานหลากหลาย ตั้งแต่การยกระดับสิทธิ์ (Privilege Escalation) การเคลื่อนที่ข้ามระบบ (Lateral Movement) ไปจนถึงการดัดแปลงอุปกรณ์ปลายทาง (Endpoint Tampering) และการโจมตี SaaS กฎเหล่านี้ได้รับการวิจัย คัดสรร และทดสอบโดยทีมวิจัยภัยคุกคามภายในของ ManageEngine เพื่อให้มั่นใจถึงความแม่นยำและลดสัญญาณเตือนผิดพลาด (False Positives) พร้อมจัดส่งผ่านกลไกอัปเดตบนคลาวด์ ทำให้ผู้ใช้สามารถติดตามข้อมูลล่าสุดได้เสมอ นอกจากนี้ แพ็กเกจนี้ยังรองรับ กฎตรวจจับแบบ SIGMA ด้วย
  • สถาปัตยกรรมองค์กรแบบหลายชั้น (Multi-tier Enterprise Architecture): การปรับปรุงสถาปัตยกรรมของ Log360 ช่วยให้รองรับการขยายตัวในแนวนอน (Horizontal Scalability) ผ่าน คลัสเตอร์ตัวประมวลผลบันทึก (Log Processor Clusters) และการประมวลผลตามบทบาท (Role-based Processing) ทั้งด้านการเชื่อมโยงเหตุการณ์ (Correlation) การเพิ่มข้อมูลเชิงลึก (Enrichment) และการแจ้งเตือน (Alerting) รวมถึงการรวบรวมข้อมูลจากหลายไซต์แบบศูนย์กลาง ช่วยให้มั่นใจถึง ความต่อเนื่องของประสิทธิภาพ แม้ในองค์กรขนาดใหญ่ที่มีการกระจายตัวทางภูมิศาสตร์

RELATED ARTICLESMORE FROM AUTHOR