<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom" xmlns:content="http://purl.org/rss/1.0/modules/content/"><channel><title>Siem on Tarragon</title><link>https://tarrragon.github.io/blog/tags/siem/</link><description>Recent content in Siem on Tarragon</description><generator>Hugo -- gohugo.io</generator><language>zh-TW</language><copyright>Tarragon (CC BY 4.0)</copyright><lastBuildDate>Fri, 22 May 2026 00:00:00 +0000</lastBuildDate><atom:link href="https://tarrragon.github.io/blog/tags/siem/index.xml" rel="self" type="application/rss+xml"/><item><title>Splunk</title><link>https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/splunk/</link><pubDate>Mon, 18 May 2026 00:00:00 +0000</pubDate><guid>https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/splunk/</guid><description>&lt;p>Splunk 是 SIEM（Security Information and Event Management）的事實標準、大企業 / 金融 / 政府的 SOC 主流選擇。2024 年被 Cisco 收購、產品線維持獨立發展。它跟 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/elastic-security/" data-link-title="Elastic Security" data-link-desc="Elastic Stack 上的 SIEM &amp;#43; EDR &amp;#43; Cloud Security 套件、OSS 起源、KQL/EQL/Lucene/ES|QL 多查詢語言、resource-based pricing">Elastic Security&lt;/a> / &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/datadog-security/" data-link-title="Datadog Security" data-link-desc="Datadog observability platform 上的 security suite：Cloud SIEM &amp;#43; CSPM &amp;#43; CWS &amp;#43; AAP &amp;#43; Sensitive Data Scanner、跟 observability 同 plane">Datadog Security&lt;/a> / &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/google-security-operations/" data-link-title="Google Security Operations" data-link-desc="Google 雲原生 SIEM &amp;#43; SOAR &amp;#43; Mandiant threat intel 三合一（前 Chronicle）、UDM &amp;#43; YARA-L、fixed-price by data tier、PB-scale 友善">Google Security Operations&lt;/a> 的差異在 &lt;em>計費模型 + ecosystem maturity + detection content 深度&lt;/em>、偵測能力本身相近 — Splunk 的 ingestion-based pricing 是業界最貴的 SIEM 計費模式、但 detection content 跟 SOC tooling ecosystem 也是最成熟的。&lt;/p>
&lt;h2 id="服務定位">服務定位&lt;/h2>
&lt;p>Splunk 的核心定位是 &lt;em>任意 log source 的統一查詢平台&lt;/em>、SIEM 是其上的 &lt;em>application layer&lt;/em>（Splunk Enterprise Security app）。底層是 &lt;em>Splunk Enterprise&lt;/em>（自管）或 &lt;em>Splunk Cloud Platform&lt;/em>（SaaS）、頂層產品包含：&lt;em>Enterprise Security (ES)&lt;/em> — premium SIEM app、含 correlation rule、Risk-Based Alerting、ITSI 整合；&lt;em>SOAR&lt;/em>（前 Phantom）— security orchestration / automated response；&lt;em>UBA&lt;/em>（User Behavior Analytics）— ML-based anomaly detection。&lt;/p>
&lt;p>跟 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/elastic-security/" data-link-title="Elastic Security" data-link-desc="Elastic Stack 上的 SIEM &amp;#43; EDR &amp;#43; Cloud Security 套件、OSS 起源、KQL/EQL/Lucene/ES|QL 多查詢語言、resource-based pricing">Elastic Security&lt;/a> 比、Splunk 走 &lt;em>deeper but more expensive&lt;/em> — SPL 比 KQL / EQL 表達力更強、detection content（Splunk Security Content 公開 YAML rules）覆蓋廣、ES app 的 Risk-Based Alerting 是業界先驅；但 ingestion-based pricing 在 TB/day 級別會痛。跟 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/datadog-security/" data-link-title="Datadog Security" data-link-desc="Datadog observability platform 上的 security suite：Cloud SIEM &amp;#43; CSPM &amp;#43; CWS &amp;#43; AAP &amp;#43; Sensitive Data Scanner、跟 observability 同 plane">Datadog Security&lt;/a> 比、Splunk 走 &lt;em>security-first&lt;/em>、Datadog Cloud SIEM 是 &lt;em>observability platform 加上 security view&lt;/em>；Datadog 適合 cloud-native + 中等規模、Splunk 適合 enterprise + 跨 on-prem。跟 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/google-security-operations/" data-link-title="Google Security Operations" data-link-desc="Google 雲原生 SIEM &amp;#43; SOAR &amp;#43; Mandiant threat intel 三合一（前 Chronicle）、UDM &amp;#43; YARA-L、fixed-price by data tier、PB-scale 友善">Google Security Operations&lt;/a>（前 Chronicle）比、Google Security Ops 走 &lt;em>fixed-price by data、massive scale&lt;/em>、Splunk 是 &lt;em>per-GB 累進&lt;/em>、超大規模反而 Google 划算。&lt;/p></description><content:encoded><![CDATA[<p>Splunk 是 SIEM（Security Information and Event Management）的事實標準、大企業 / 金融 / 政府的 SOC 主流選擇。2024 年被 Cisco 收購、產品線維持獨立發展。它跟 <a href="/blog/backend/07-security-data-protection/vendors/elastic-security/" data-link-title="Elastic Security" data-link-desc="Elastic Stack 上的 SIEM &#43; EDR &#43; Cloud Security 套件、OSS 起源、KQL/EQL/Lucene/ES|QL 多查詢語言、resource-based pricing">Elastic Security</a> / <a href="/blog/backend/07-security-data-protection/vendors/datadog-security/" data-link-title="Datadog Security" data-link-desc="Datadog observability platform 上的 security suite：Cloud SIEM &#43; CSPM &#43; CWS &#43; AAP &#43; Sensitive Data Scanner、跟 observability 同 plane">Datadog Security</a> / <a href="/blog/backend/07-security-data-protection/vendors/google-security-operations/" data-link-title="Google Security Operations" data-link-desc="Google 雲原生 SIEM &#43; SOAR &#43; Mandiant threat intel 三合一（前 Chronicle）、UDM &#43; YARA-L、fixed-price by data tier、PB-scale 友善">Google Security Operations</a> 的差異在 <em>計費模型 + ecosystem maturity + detection content 深度</em>、偵測能力本身相近 — Splunk 的 ingestion-based pricing 是業界最貴的 SIEM 計費模式、但 detection content 跟 SOC tooling ecosystem 也是最成熟的。</p>
<h2 id="服務定位">服務定位</h2>
<p>Splunk 的核心定位是 <em>任意 log source 的統一查詢平台</em>、SIEM 是其上的 <em>application layer</em>（Splunk Enterprise Security app）。底層是 <em>Splunk Enterprise</em>（自管）或 <em>Splunk Cloud Platform</em>（SaaS）、頂層產品包含：<em>Enterprise Security (ES)</em> — premium SIEM app、含 correlation rule、Risk-Based Alerting、ITSI 整合；<em>SOAR</em>（前 Phantom）— security orchestration / automated response；<em>UBA</em>（User Behavior Analytics）— ML-based anomaly detection。</p>
<p>跟 <a href="/blog/backend/07-security-data-protection/vendors/elastic-security/" data-link-title="Elastic Security" data-link-desc="Elastic Stack 上的 SIEM &#43; EDR &#43; Cloud Security 套件、OSS 起源、KQL/EQL/Lucene/ES|QL 多查詢語言、resource-based pricing">Elastic Security</a> 比、Splunk 走 <em>deeper but more expensive</em> — SPL 比 KQL / EQL 表達力更強、detection content（Splunk Security Content 公開 YAML rules）覆蓋廣、ES app 的 Risk-Based Alerting 是業界先驅；但 ingestion-based pricing 在 TB/day 級別會痛。跟 <a href="/blog/backend/07-security-data-protection/vendors/datadog-security/" data-link-title="Datadog Security" data-link-desc="Datadog observability platform 上的 security suite：Cloud SIEM &#43; CSPM &#43; CWS &#43; AAP &#43; Sensitive Data Scanner、跟 observability 同 plane">Datadog Security</a> 比、Splunk 走 <em>security-first</em>、Datadog Cloud SIEM 是 <em>observability platform 加上 security view</em>；Datadog 適合 cloud-native + 中等規模、Splunk 適合 enterprise + 跨 on-prem。跟 <a href="/blog/backend/07-security-data-protection/vendors/google-security-operations/" data-link-title="Google Security Operations" data-link-desc="Google 雲原生 SIEM &#43; SOAR &#43; Mandiant threat intel 三合一（前 Chronicle）、UDM &#43; YARA-L、fixed-price by data tier、PB-scale 友善">Google Security Operations</a>（前 Chronicle）比、Google Security Ops 走 <em>fixed-price by data、massive scale</em>、Splunk 是 <em>per-GB 累進</em>、超大規模反而 Google 划算。</p>
<p>關鍵張力：<em>ingestion-based 計費</em> ↔ <em>偵測覆蓋率</em> 是 Splunk 客戶最大的 trade-off。為了省錢選擇性 ingest log（只進 Windows Event Log 不進 Linux auth log、只進 prod 不進 dev）、結果 Storm-0558 / Uber MFA 那種跨來源 correlation 抓不到。要看清楚自己 <em>容忍多少偵測盲點換多少預算</em>。</p>
<h2 id="本章目標">本章目標</h2>
<p>讀完本頁、讀者能判斷：</p>
<ol>
<li>Splunk 在 SOC stack 中承擔哪一段（log aggregation / SIEM / SOAR / UBA）、哪些要外接（<a href="/blog/backend/07-security-data-protection/vendors/hashicorp-vault/" data-link-title="HashiCorp Vault" data-link-desc="Self-hosted secret management 與 dynamic credential / encryption-as-a-service / PKI engine、跨雲跨環境的 secret 控制面">Vault</a> 管 service token、IdP log 來源治理）</li>
<li>SPL / correlation rule / detection content 的 ownership 設計（誰寫、誰 review、誰調 false positive）</li>
<li>Ingestion pricing trap 的應對（log priority tiering、Cribl / Cribl Stream 做 pre-filter、Splunk SmartStore 把冷資料丟 S3）</li>
<li>何時用 Splunk、何時走 Elastic / Datadog / Google Security Ops 的取捨</li>
</ol>
<h2 id="最短判讀路徑">最短判讀路徑</h2>
<p>判斷 Splunk deployment 是否健康、最少看四件事：</p>
<ul>
<li><strong>誰能改 correlation rule</strong>：Splunk admin / ES admin / KV store admin 的人數、SPL search 跟 saved search 是否走版控（Git → <code>git-fusion</code> / Splunk Cloud Versioned Configs）、rule change 是否經 PR review</li>
<li><strong>Ingestion 治理</strong>：哪些 source 進 Splunk（IdP audit log / cloud control plane log / endpoint log / network log / app log）、是否有 <em>log priority tier</em>（critical / standard / archive）、Cribl Stream 是否在前面做 pre-filter / routing</li>
<li><strong>Detection content coverage</strong>：Splunk Security Content（<a href="https://research.splunk.com/">公開 YAML rule library</a>）有多少 enabled、是否跟 MITRE ATT&amp;CK 對照、自家 custom rule 是否補 organization-specific anti-pattern</li>
<li><strong>Alert quality / SOC handoff</strong>：alert volume per day、SOC analyst triage time、false positive rate、alert 是否進 SOAR playbook 自動處理低風險、跟 <a href="/blog/backend/08-incident-response/" data-link-title="模組八：事故處理與復盤" data-link-desc="用 IR 領域詞彙建問題節點、以服務級案例庫累積事故脈絡，先建概念與案例庫再進實作交接">8 incident response</a> 的 routing 是否定義</li>
</ul>
<p>四件事任一缺失、就是 <a href="/blog/backend/07-security-data-protection/detection-coverage-and-signal-governance/" data-link-title="7.13 偵測覆蓋率與訊號治理" data-link-desc="定義偵測覆蓋、訊號品質與誤報成本的治理問題">Detection Coverage and Signal Governance</a> 邊界的待補項目。</p>
<h2 id="日常操作與決策形狀">日常操作與決策形狀</h2>
<p><strong>Ingestion architecture</strong>：log 進 Splunk 三種路徑 — <em>Universal Forwarder</em> / <em>Heavy Forwarder</em>（agent-based，自管 host）、<em>HTTP Event Collector (HEC)</em>（push log via HTTP endpoint、SaaS / serverless workload 預設）、<em>Splunk Add-on for 各 cloud / SaaS</em>（cloud-native log pull）。production 通常混用：endpoint 用 Universal Forwarder、cloud control plane 用 Add-on（AWS / GCP / Azure / Okta）、自家 app 用 HEC。在前面接 <em>Cribl Stream</em> 做 routing / filtering / sampling 是大型 deployment 的標準補位。</p>
<p><strong>SPL（Search Processing Language）</strong>：類 Unix pipe 的 <code>|</code> 串接（<code>index=ids sourcetype=auth | stats count by user | where count &gt; 100</code>）、表達力強但學習曲線陡。SPL 是 first-class concept、不只是查詢工具 — saved search 變 correlation rule、scheduled search 變 alert、accelerated search 變 data model 加速。SPL 寫得好不好直接決定 <em>偵測規則品質 + 查詢成本</em>。</p>
<p><strong>Correlation rule / Notable Event</strong>：ES app 把 high-confidence finding 轉成 <em>Notable Event</em>、進 Incident Review queue。Correlation rule 的反例是 <em>single-event alert</em>（看到一個 SSH brute force attempt 就 alert、SOC analyst 一天看 10000 個沒意義）— production rule 應該是 <em>time-bounded aggregation</em>（過去 5min 內 100 個 brute force from same IP）+ <em>cross-source correlation</em>（brute force IP 同時出現在 cloud control plane access）。</p>
<p><strong>Detection content lifecycle</strong>：Splunk Security Content 是 Splunk 維護的 OSS detection rule library、YAML format、跟 MITRE ATT&amp;CK 對應。組織通常 <em>先 import 全部 baseline、再選擇性 disable noisy 規則 + 新增 organization-specific 規則</em>。Rule change 走 PR review、staging tenant 跑 24-48hr 觀察 false positive curve 才 promote 到 production。對應 <a href="/blog/backend/07-security-data-protection/blue-team/detection-engineering-lifecycle/" data-link-title="7.B5 Detection Engineering Lifecycle" data-link-desc="把偵測規則視為可維護資產，建立從來源、測試、調校到退場的完整生命週期">Detection Engineering Lifecycle</a> 的章節原則。</p>
<p><strong>Risk-Based Alerting (RBA)</strong>：ES app 7.0+ 引入、給每個 user / asset 累積 <em>risk score</em>（取代逐 finding alert）、累積到 threshold 才 alert。處理 alert fatigue 的工程化做法：5 個 low-confidence signal 加總超過 threshold 比單一 high-confidence alert 更接近真實 attack pattern。對應 <a href="/blog/backend/07-security-data-protection/blue-team/alert-fatigue-and-signal-quality/" data-link-title="7.B10 Alert Fatigue and Signal Quality" data-link-desc="建立告警疲勞治理方法，讓訊號品質、分級一致性與處置效率同步提升">Alert Fatigue and Signal Quality</a>。</p>
<p><strong>SOAR integration</strong>：Splunk SOAR（前 Phantom）接 alert + playbook 自動執行 — 例如 leaked credential 自動 rotate（拉 <a href="/blog/backend/07-security-data-protection/vendors/hashicorp-vault/" data-link-title="HashiCorp Vault" data-link-desc="Self-hosted secret management 與 dynamic credential / encryption-as-a-service / PKI engine、跨雲跨環境的 secret 控制面">Vault</a> API）、suspect IP 自動加 firewall block（拉 <a href="/blog/backend/07-security-data-protection/vendors/cloudflare-waf/" data-link-title="Cloudflare WAF" data-link-desc="Edge WAF &#43; DDoS &#43; Bot management 整合套件、global anycast 網路、控制面信任邊界跟客戶側補強的對照">Cloudflare WAF</a> custom rule）、suspect user 自動 force MFA re-enroll（拉 <a href="/blog/backend/07-security-data-protection/vendors/okta/" data-link-title="Okta" data-link-desc="SaaS Identity Provider 主流選項、SSO / MFA / lifecycle 整合、第三方信任邊界的代價">Okta</a> API）。playbook 進版控、定期 dry-run、不能黑箱 production fire-and-forget。</p>
<p><strong>Ingestion pricing 治理</strong>：Splunk 按 ingestion volume（GB/day）計費、TB-scale deployment 年費千萬美元級別。實務治理：<em>tier 1 log</em>（IdP / cloud control plane / payment processor / DB audit）進 Splunk hot index、<em>tier 2 log</em>（app log / web access log）按 sampling / filtering 進 Splunk、<em>tier 3 log</em>（debug / verbose）走 <a href="https://docs.splunk.com/Documentation/Splunk/latest/Indexer/AboutSmartStore">SmartStore</a> 到 S3 / GCS 冷儲存、或繞過 Splunk 直接打到 Elastic / data lake。Cribl Stream 在 forwarder 前 pre-filter 是業界標準作法、可省 30-50% ingestion cost。</p>
<p><strong>SmartStore 跟冷熱分離</strong>：SmartStore 把 indexer 的 <em>warm + cold bucket</em> 放到 S3 / Azure Blob / GCS、indexer 只保留 hot data + cache。意義是 <em>retention 從幾個月延長到幾年但 cost 不線性漲</em>。production deployment 幾乎都該開、不開等於每年砸錢買 EBS。</p>
<h2 id="核心取捨表">核心取捨表</h2>
<table>
  <thead>
      <tr>
          <th>取捨維度</th>
          <th>Splunk</th>
          <th>Elastic Security</th>
          <th>Datadog Security</th>
          <th>Google Security Operations</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>計費模型</td>
          <td>Ingestion-based（GB/day、累進）</td>
          <td>Resource-based（node / cluster size）</td>
          <td>Per-host + per-event（events/month）</td>
          <td>Fixed price by data tier（PB-scale 划算）</td>
      </tr>
      <tr>
          <td>學習曲線</td>
          <td>陡 — SPL 表達力強但 idiom 多</td>
          <td>中 — KQL / EQL 較直觀</td>
          <td>緩 — 沿用 Datadog observability 語法</td>
          <td>中 — YARA-L 是新語法但結構清楚</td>
      </tr>
      <tr>
          <td>部署模型</td>
          <td>Self-hosted (Splunk Enterprise) / SaaS (Cloud)</td>
          <td>Self-hosted / Elastic Cloud / Serverless</td>
          <td>SaaS only</td>
          <td>SaaS only（Google Cloud）</td>
      </tr>
      <tr>
          <td>Detection content</td>
          <td>Splunk Security Content（最豐富、社群活躍）</td>
          <td>Elastic Prebuilt rules + Sigma 支援</td>
          <td>Datadog Security Rules（中等）</td>
          <td>Google YARA-L 內建 + Google threat intel</td>
      </tr>
      <tr>
          <td>SOAR / Response</td>
          <td>Splunk SOAR（前 Phantom、業界先驅）</td>
          <td>內建 Cases + Endpoint response（Elastic Defend）</td>
          <td>Workflow Automation（基本）</td>
          <td>SOAR 內建（前 Siemplify）</td>
      </tr>
      <tr>
          <td>跨來源 correlation</td>
          <td>強 — data model + SPL 支撐</td>
          <td>強 — EQL sequence + Lucene</td>
          <td>中 — log + metrics + trace 同 plane</td>
          <td>強 — UDM normalization + cross-tenant</td>
      </tr>
      <tr>
          <td>Multi-cloud</td>
          <td>強 — Add-on 覆蓋三大雲</td>
          <td>強 — Beats / Agent 跨雲</td>
          <td>強 — Datadog Agent 跨雲</td>
          <td>GCP-first、跨雲靠 Forwarder</td>
      </tr>
      <tr>
          <td>適合場景</td>
          <td>Enterprise + 跨 on-prem / 多雲、預算允許</td>
          <td>OSS-friendly、中大型、Elastic stack 已用</td>
          <td>Cloud-native、observability 已用 Datadog</td>
          <td>超大規模 ingestion、Google 雲 + 多雲 SOC</td>
      </tr>
      <tr>
          <td>退場成本</td>
          <td>高 — SPL / detection content / dashboard 量多</td>
          <td>中 — Sigma / Lucene 較可移植</td>
          <td>中</td>
          <td>中</td>
      </tr>
  </tbody>
</table>
<p>選 Splunk 的核心訴求：<em>Enterprise scale + 跨 on-prem + detection content 跟 SOC tooling ecosystem 成熟</em>、且能投入預算（千萬美元級別 license + Cribl pre-filter + SmartStore 冷儲存治理）+ 有 SOC team 維護 correlation rule 跟 SOAR playbook。中等規模 cloud-native 直接走 Datadog / Google Security Ops 更划算。</p>
<h2 id="進階主題">進階主題</h2>
<p><strong>Enterprise Security app 的 Risk-Based Alerting</strong>：RBA 把「事件 → alert」改成「事件 → risk score → 累積 → alert」、是 alert fatigue 的工程化解法。實作要決定 <em>risk decay window</em>（多久後 risk score 衰減）、<em>risk attribution</em>（同一台 EC2 上多 user 的 risk 怎麼分）、<em>per-asset vs per-user threshold</em>。配對 <a href="/blog/backend/07-security-data-protection/red-team/cases/identity-access/uber-2022-mfa-fatigue/" data-link-title="7.R7.1.1 Uber 2022：MFA 疲勞與內部工具擴散" data-link-desc="從社交工程到內部工具存取，拆解身分流程與權限邊界的失效點">Uber 2022 MFA Fatigue</a> 的 lesson：單一 MFA fail 不該 alert、5min 內 50 個 fail + 新裝置 + 異常地理就是 high risk。</p>
<p><strong>Common Information Model (CIM) + Data Model</strong>：Splunk CIM 把不同 source 的欄位 normalize 到統一 schema（authentication / network_traffic / web 等 data model）。意義是 SPL 跨 source 寫一次、不用為 Okta log / Azure AD log / CrowdStrike log 各寫一份。CIM 配合 Add-on 自動 mapping、organization 寫 custom source 需要自己定 CIM mapping。</p>
<p><strong>Multi-tenant deployment</strong>：MSSP / 大型集團多 BU 共用一個 Splunk 部署、用 <em>index</em>（隔離 data）+ <em>role / capability</em>（隔離 access）+ <em>App</em>（隔離 dashboard / search）三層。注意 <em>Splunk admin</em> 在跨 tenant 場景是高權限角色、應該走 break-glass 流程 + audit。</p>
<p><strong>Cisco 整合（2024+）</strong>：Cisco 收購後 Splunk 跟 Cisco XDR / Talos threat intel / Cisco Secure Endpoint 整合加速。對 Cisco-heavy 環境是 ecosystem 一致性增加；對非 Cisco 環境暫時影響有限、但長期 roadmap 會有 Cisco-specific 加值。</p>
<h2 id="排錯與失敗快速判讀">排錯與失敗快速判讀</h2>
<ul>
<li><strong>Alert volume 爆炸 / SOC 看不完</strong>：correlation rule 寫成 single-event alert、或 false positive baseline 沒調 — 用 RBA 改 risk-based、staging tenant 跑 48hr 觀察再 promote</li>
<li><strong>Detection coverage 出事故時才發現缺</strong>：critical log source 沒進 Splunk（為了省錢）— 補回 tier 1 log priority、用 Cribl Stream 對 tier 2 / 3 做 sampling 而非整批不 ingest</li>
<li><strong>Ingestion cost 暴衝</strong>：新 source 加入沒 review、debug log 直接打進 Splunk — Cribl Stream 前置 + license usage dashboard alert + indexer ingestion quota</li>
<li><strong>SPL search 慢 / 卡 search head</strong>：full-fidelity search on 1TB raw event、沒用 data model acceleration — 改用 accelerated data model、限定 time range、用 <code>tstats</code> 而非 <code>stats</code></li>
<li><strong>Correlation rule false positive 多</strong>：rule 寫得太寬、env-specific noise 沒 tune — staging tenant 跑 1 週統計 FP、tune threshold、加 lookup table 排除已知合法 source</li>
<li><strong>SOAR playbook 黑箱 fire-and-forget</strong>：自動 disable account 結果誤殺 CEO — playbook 走 <em>approval gate</em> for high-impact action、defaults to <em>containment</em> not <em>deletion</em></li>
<li><strong>Splunk admin 太多 / 沒 break-glass</strong>：日常運維用 admin token、admin compromise blast radius 太大 — 收 admin 角色、改 power user + 特定 capability、break-glass 走 <a href="/blog/backend/07-security-data-protection/vendors/hashicorp-vault/" data-link-title="HashiCorp Vault" data-link-desc="Self-hosted secret management 與 dynamic credential / encryption-as-a-service / PKI engine、跨雲跨環境的 secret 控制面">Vault</a></li>
</ul>
<h2 id="何時改走其他服務">何時改走其他服務</h2>
<table>
  <thead>
      <tr>
          <th>需求形狀</th>
          <th>改走</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>OSS-friendly / 預算敏感</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/elastic-security/" data-link-title="Elastic Security" data-link-desc="Elastic Stack 上的 SIEM &#43; EDR &#43; Cloud Security 套件、OSS 起源、KQL/EQL/Lucene/ES|QL 多查詢語言、resource-based pricing">Elastic Security</a></td>
      </tr>
      <tr>
          <td>Cloud-native + observability 已用</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/datadog-security/" data-link-title="Datadog Security" data-link-desc="Datadog observability platform 上的 security suite：Cloud SIEM &#43; CSPM &#43; CWS &#43; AAP &#43; Sensitive Data Scanner、跟 observability 同 plane">Datadog Security</a></td>
      </tr>
      <tr>
          <td>超大規模 ingestion + Google 雲</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/google-security-operations/" data-link-title="Google Security Operations" data-link-desc="Google 雲原生 SIEM &#43; SOAR &#43; Mandiant threat intel 三合一（前 Chronicle）、UDM &#43; YARA-L、fixed-price by data tier、PB-scale 友善">Google Security Operations</a></td>
      </tr>
      <tr>
          <td>DLP / sensitive data discovery</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/google-dlp/" data-link-title="Google DLP" data-link-desc="GCP 原生 Sensitive Data Protection：infoType discovery &#43; transformation (mask / FPE / tokenize / k-anonymity)、整合 BigQuery / GCS / Cloud SQL">Google DLP</a> / <a href="/blog/backend/07-security-data-protection/vendors/microsoft-purview/" data-link-title="Microsoft Purview" data-link-desc="Microsoft 跨 M365 / Azure / endpoint 的 data governance &#43; information protection &#43; DLP &#43; insider risk 統合平台、label-driven">Microsoft Purview</a></td>
      </tr>
      <tr>
          <td>Endpoint detection 為主</td>
          <td>CrowdStrike Falcon / Microsoft Defender for Endpoint</td>
      </tr>
      <tr>
          <td>Pre-filter / log routing</td>
          <td>Cribl Stream（前置 forwarder、不是替代 SIEM）</td>
      </tr>
      <tr>
          <td>Incident routing</td>
          <td><a href="/blog/backend/08-incident-response/vendors/" data-link-title="事故處理 Vendor 清單" data-link-desc="規劃 on-call、incident response、status page 與 postmortem 工具的服務頁撰寫順序與判準">8 事故處理 vendor 清單</a></td>
      </tr>
  </tbody>
</table>
<h2 id="不在本頁內的主題">不在本頁內的主題</h2>
<ul>
<li>SPL 完整語法 reference、saved search 跟 macro 進階用法</li>
<li>Splunk Cloud Platform vs Splunk Enterprise 的功能對照細節</li>
<li>Splunk Observability Cloud（前 SignalFx 收購、跟 Datadog 直接競爭、屬 observability 不屬 security）</li>
<li>ITSI（IT Service Intelligence）— 屬 ITSM / observability、不在資安範圍</li>
<li>SOAR playbook 的具體實作（Phantom Python SDK）</li>
</ul>
<h2 id="案例回寫">案例回寫</h2>
<p>Splunk 在 07 案例庫沒有直接 vendor-level 事件、但所有 detection-related case 都是 SIEM 偵測覆蓋率的對照：</p>
<table>
  <thead>
      <tr>
          <th>案例</th>
          <th>跟 Splunk 的關係（對照啟示）</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/identity-access/uber-2022-mfa-fatigue/" data-link-title="7.R7.1.1 Uber 2022：MFA 疲勞與內部工具擴散" data-link-desc="從社交工程到內部工具存取，拆解身分流程與權限邊界的失效點">Uber 2022 MFA Fatigue</a></td>
          <td>MFA 請求密度應是 Splunk correlation rule first-class signal、5min window count &gt; N 直接 alert + RBA 升級高風險 user score</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/identity-access/microsoft-storm-0558-2023-signing-key-chain/" data-link-title="7.R7.1.5 Microsoft Storm-0558 2023：簽章金鑰鏈與郵件存取" data-link-desc="從簽章金鑰保護失效到雲端郵件存取，拆解身分信任鏈的關鍵控制點">Microsoft Storm-0558 Signing Key Chain</a></td>
          <td>跨租戶 token 異常驗證需 Splunk Add-on for Azure AD + cloud control plane log 同時 ingest、跨來源 correlation 才能秒級偵測</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/data-exfiltration/snowflake-2024-credential-abuse/" data-link-title="7.R7.4.2 Snowflake 2024：憑證濫用與資料竊取" data-link-desc="外洩憑證與 MFA 缺口如何在資料平台形成高風險外送事件">Snowflake 2024 Credential Abuse</a></td>
          <td>資料平台 query volume + 跨 schema scan + 來源 IP 異常的複合 correlation rule、不只看 audit log 也要 query metrics correlation</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/supply-chain/solarwinds-2020-sunburst/" data-link-title="7.R7.2.1 SolarWinds 2020：更新鏈被濫用" data-link-desc="合法更新流程遭植入後，攻擊者如何長期潛伏與橫向擴散">SolarWinds 2020 Sunburst</a></td>
          <td>簽章驗證通過但 runtime 行為異常需 endpoint log + network log correlation、不靠 IoC-only 規則</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/blue-team/detection-engineering-lifecycle/" data-link-title="7.B5 Detection Engineering Lifecycle" data-link-desc="把偵測規則視為可維護資產，建立從來源、測試、調校到退場的完整生命週期">Detection Engineering Lifecycle (section)</a></td>
          <td>Splunk Security Content + 自家 custom rule 走 propose → staging tune → promote → review 的工程 lifecycle、不是 console 直改</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/blue-team/alert-fatigue-and-signal-quality/" data-link-title="7.B10 Alert Fatigue and Signal Quality" data-link-desc="建立告警疲勞治理方法，讓訊號品質、分級一致性與處置效率同步提升">Alert Fatigue and Signal Quality (section)</a></td>
          <td>RBA 是工程化解 alert fatigue、不是「忽略低風險」、要設 risk decay + threshold tuning lifecycle</td>
      </tr>
  </tbody>
</table>
<h2 id="下一步路由">下一步路由</h2>
<ul>
<li>上游：<a href="/blog/backend/07-security-data-protection/detection-coverage-and-signal-governance/" data-link-title="7.13 偵測覆蓋率與訊號治理" data-link-desc="定義偵測覆蓋、訊號品質與誤報成本的治理問題">7.13 偵測覆蓋率與訊號治理</a>、<a href="/blog/backend/07-security-data-protection/blue-team/detection-engineering-lifecycle/" data-link-title="7.B5 Detection Engineering Lifecycle" data-link-desc="把偵測規則視為可維護資產，建立從來源、測試、調校到退場的完整生命週期">Detection Engineering Lifecycle</a></li>
<li>平行：<a href="/blog/backend/07-security-data-protection/vendors/elastic-security/" data-link-title="Elastic Security" data-link-desc="Elastic Stack 上的 SIEM &#43; EDR &#43; Cloud Security 套件、OSS 起源、KQL/EQL/Lucene/ES|QL 多查詢語言、resource-based pricing">Elastic Security</a>、<a href="/blog/backend/07-security-data-protection/vendors/datadog-security/" data-link-title="Datadog Security" data-link-desc="Datadog observability platform 上的 security suite：Cloud SIEM &#43; CSPM &#43; CWS &#43; AAP &#43; Sensitive Data Scanner、跟 observability 同 plane">Datadog Security</a>、<a href="/blog/backend/07-security-data-protection/vendors/google-security-operations/" data-link-title="Google Security Operations" data-link-desc="Google 雲原生 SIEM &#43; SOAR &#43; Mandiant threat intel 三合一（前 Chronicle）、UDM &#43; YARA-L、fixed-price by data tier、PB-scale 友善">Google Security Operations</a></li>
<li>下游：<a href="/blog/backend/07-security-data-protection/vendors/google-dlp/" data-link-title="Google DLP" data-link-desc="GCP 原生 Sensitive Data Protection：infoType discovery &#43; transformation (mask / FPE / tokenize / k-anonymity)、整合 BigQuery / GCS / Cloud SQL">Google DLP</a> / <a href="/blog/backend/07-security-data-protection/vendors/microsoft-purview/" data-link-title="Microsoft Purview" data-link-desc="Microsoft 跨 M365 / Azure / endpoint 的 data governance &#43; information protection &#43; DLP &#43; insider risk 統合平台、label-driven">Microsoft Purview</a>（DLP signal 進 Splunk）</li>
<li>跨類：<a href="/blog/backend/07-security-data-protection/vendors/okta/" data-link-title="Okta" data-link-desc="SaaS Identity Provider 主流選項、SSO / MFA / lifecycle 整合、第三方信任邊界的代價">Okta</a>（IdP log source）、<a href="/blog/backend/07-security-data-protection/vendors/hashicorp-vault/" data-link-title="HashiCorp Vault" data-link-desc="Self-hosted secret management 與 dynamic credential / encryption-as-a-service / PKI engine、跨雲跨環境的 secret 控制面">HashiCorp Vault</a>（SOAR playbook 拉 API）、<a href="/blog/backend/07-security-data-protection/vendors/cloudflare-waf/" data-link-title="Cloudflare WAF" data-link-desc="Edge WAF &#43; DDoS &#43; Bot management 整合套件、global anycast 網路、控制面信任邊界跟客戶側補強的對照">Cloudflare WAF</a>（WAF log + auto-block）</li>
<li>跨模組：<a href="/blog/backend/08-incident-response/vendors/" data-link-title="事故處理 Vendor 清單" data-link-desc="規劃 on-call、incident response、status page 與 postmortem 工具的服務頁撰寫順序與判準">8 事故處理 vendor 清單</a>（Notable Event → IR routing）、<a href="/blog/backend/04-observability/" data-link-title="模組四：可觀測性平台" data-link-desc="整理 log、metric、trace、dashboard 與 alert 的後端操作實務">4 observability</a>（log pipeline 共用）</li>
<li>官方：<a href="https://docs.splunk.com/">Splunk Documentation</a></li>
</ul>
]]></content:encoded></item><item><title>Elastic Security</title><link>https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/elastic-security/</link><pubDate>Mon, 18 May 2026 00:00:00 +0000</pubDate><guid>https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/elastic-security/</guid><description>&lt;p>Elastic Security 是 Elastic Stack（Elasticsearch + Kibana + Beats / Agent）上的 SIEM + EDR + Cloud Security 套件、OSS 起源、現屬 Elastic 商業版的 Solution。它跟 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &amp;#43; indexer &amp;#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk&lt;/a> / &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/datadog-security/" data-link-title="Datadog Security" data-link-desc="Datadog observability platform 上的 security suite：Cloud SIEM &amp;#43; CSPM &amp;#43; CWS &amp;#43; AAP &amp;#43; Sensitive Data Scanner、跟 observability 同 plane">Datadog Security&lt;/a> / &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/google-security-operations/" data-link-title="Google Security Operations" data-link-desc="Google 雲原生 SIEM &amp;#43; SOAR &amp;#43; Mandiant threat intel 三合一（前 Chronicle）、UDM &amp;#43; YARA-L、fixed-price by data tier、PB-scale 友善">Google Security Operations&lt;/a> 的差異在 &lt;em>計費模型 + 查詢語言模型 + ecosystem 開放度&lt;/em>、偵測能力本身相近 — Elastic 走 &lt;em>resource-based pricing&lt;/em>（按 cluster size 而非 ingestion volume）、且提供 KQL / EQL / Lucene / ES|QL 四種互補的查詢語言。&lt;/p>
&lt;h2 id="服務定位">服務定位&lt;/h2>
&lt;p>Elastic Security 的核心定位是 &lt;em>Elastic Stack 上的 security solution&lt;/em>、底層是 &lt;em>Elasticsearch&lt;/em>（資料層）+ &lt;em>Kibana&lt;/em>（查詢與 UI 層）+ &lt;em>Fleet / Elastic Agent&lt;/em>（採集層）、頂層產品分三條：&lt;em>Elastic SIEM&lt;/em>（log aggregation + detection rule + Case + Timeline）、&lt;em>Elastic Defend&lt;/em>（前 Endgame 收購而來、EDR + endpoint protection、跟 CrowdStrike / SentinelOne 同層）、&lt;em>Elastic Cloud Security&lt;/em>（CSPM + CWP、雲端資源 misconfig 與 workload 防護）。&lt;/p>
&lt;p>跟 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &amp;#43; indexer &amp;#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk&lt;/a> 比、Elastic 走 &lt;em>OSS-friendly + resource-based pricing&lt;/em> — TB-scale ingestion 不直接漲費用（要 scale node 但邊際成本遠低於 Splunk per-GB 累進）、Sigma rule 社群可直接 import 5000+ 規則；但 Splunk Security Content 跟 SOAR / RBA 等 detection content + SOC tooling 成熟度仍高一個量級。跟 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/datadog-security/" data-link-title="Datadog Security" data-link-desc="Datadog observability platform 上的 security suite：Cloud SIEM &amp;#43; CSPM &amp;#43; CWS &amp;#43; AAP &amp;#43; Sensitive Data Scanner、跟 observability 同 plane">Datadog Security&lt;/a> 比、Elastic 跨 on-prem + 多雲、可自管也可 Elastic Cloud SaaS；Datadog 是 SaaS-only、適合純 cloud-native。跟 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/google-security-operations/" data-link-title="Google Security Operations" data-link-desc="Google 雲原生 SIEM &amp;#43; SOAR &amp;#43; Mandiant threat intel 三合一（前 Chronicle）、UDM &amp;#43; YARA-L、fixed-price by data tier、PB-scale 友善">Google Security Operations&lt;/a> 比、Elastic 多查詢語言（KQL / EQL / Lucene / ES|QL）、Google 走 YARA-L 單一統一語言、超大規模 ingestion Google 反而划算。&lt;/p></description><content:encoded><![CDATA[<p>Elastic Security 是 Elastic Stack（Elasticsearch + Kibana + Beats / Agent）上的 SIEM + EDR + Cloud Security 套件、OSS 起源、現屬 Elastic 商業版的 Solution。它跟 <a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk</a> / <a href="/blog/backend/07-security-data-protection/vendors/datadog-security/" data-link-title="Datadog Security" data-link-desc="Datadog observability platform 上的 security suite：Cloud SIEM &#43; CSPM &#43; CWS &#43; AAP &#43; Sensitive Data Scanner、跟 observability 同 plane">Datadog Security</a> / <a href="/blog/backend/07-security-data-protection/vendors/google-security-operations/" data-link-title="Google Security Operations" data-link-desc="Google 雲原生 SIEM &#43; SOAR &#43; Mandiant threat intel 三合一（前 Chronicle）、UDM &#43; YARA-L、fixed-price by data tier、PB-scale 友善">Google Security Operations</a> 的差異在 <em>計費模型 + 查詢語言模型 + ecosystem 開放度</em>、偵測能力本身相近 — Elastic 走 <em>resource-based pricing</em>（按 cluster size 而非 ingestion volume）、且提供 KQL / EQL / Lucene / ES|QL 四種互補的查詢語言。</p>
<h2 id="服務定位">服務定位</h2>
<p>Elastic Security 的核心定位是 <em>Elastic Stack 上的 security solution</em>、底層是 <em>Elasticsearch</em>（資料層）+ <em>Kibana</em>（查詢與 UI 層）+ <em>Fleet / Elastic Agent</em>（採集層）、頂層產品分三條：<em>Elastic SIEM</em>（log aggregation + detection rule + Case + Timeline）、<em>Elastic Defend</em>（前 Endgame 收購而來、EDR + endpoint protection、跟 CrowdStrike / SentinelOne 同層）、<em>Elastic Cloud Security</em>（CSPM + CWP、雲端資源 misconfig 與 workload 防護）。</p>
<p>跟 <a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk</a> 比、Elastic 走 <em>OSS-friendly + resource-based pricing</em> — TB-scale ingestion 不直接漲費用（要 scale node 但邊際成本遠低於 Splunk per-GB 累進）、Sigma rule 社群可直接 import 5000+ 規則；但 Splunk Security Content 跟 SOAR / RBA 等 detection content + SOC tooling 成熟度仍高一個量級。跟 <a href="/blog/backend/07-security-data-protection/vendors/datadog-security/" data-link-title="Datadog Security" data-link-desc="Datadog observability platform 上的 security suite：Cloud SIEM &#43; CSPM &#43; CWS &#43; AAP &#43; Sensitive Data Scanner、跟 observability 同 plane">Datadog Security</a> 比、Elastic 跨 on-prem + 多雲、可自管也可 Elastic Cloud SaaS；Datadog 是 SaaS-only、適合純 cloud-native。跟 <a href="/blog/backend/07-security-data-protection/vendors/google-security-operations/" data-link-title="Google Security Operations" data-link-desc="Google 雲原生 SIEM &#43; SOAR &#43; Mandiant threat intel 三合一（前 Chronicle）、UDM &#43; YARA-L、fixed-price by data tier、PB-scale 友善">Google Security Operations</a> 比、Elastic 多查詢語言（KQL / EQL / Lucene / ES|QL）、Google 走 YARA-L 單一統一語言、超大規模 ingestion Google 反而划算。</p>
<p>關鍵張力：<em>多查詢語言模型</em> 同時是 Elastic 的優勢跟負擔。EQL 寫 attack chain sequence 比 SPL correlation 更直接、KQL 過濾快、ES|QL 寫 aggregation 像 SQL 直覺、Lucene 處理 full-text；但 SOC team 要決定哪個 rule 用哪個語言、不能讓每個 analyst 各寫各的。</p>
<h2 id="本章目標">本章目標</h2>
<p>讀完本頁、讀者能判斷：</p>
<ol>
<li>Elastic Security 在 SOC stack 中承擔哪一段（log aggregation / SIEM / EDR / CSPM）、哪些要外接（<a href="/blog/backend/07-security-data-protection/vendors/okta/" data-link-title="Okta" data-link-desc="SaaS Identity Provider 主流選項、SSO / MFA / lifecycle 整合、第三方信任邊界的代價">Okta</a> IdP log、<a href="/blog/backend/07-security-data-protection/vendors/hashicorp-vault/" data-link-title="HashiCorp Vault" data-link-desc="Self-hosted secret management 與 dynamic credential / encryption-as-a-service / PKI engine、跨雲跨環境的 secret 控制面">Vault</a> secret rotation）</li>
<li>KQL / EQL / Lucene / ES|QL 四種查詢語言的職責分工（誰用在哪種 rule、誰負責教育 SOC）</li>
<li>Resource-based pricing 的治理（cluster sizing、hot-warm-cold tier、Searchable Snapshots、Elastic Cloud Serverless）</li>
<li>何時用 Elastic、何時走 Splunk / Datadog / Google Security Ops 的取捨</li>
</ol>
<h2 id="最短判讀路徑">最短判讀路徑</h2>
<p>判斷 Elastic Security deployment 是否健康、最少看四件事：</p>
<ul>
<li><strong>誰能改 detection rule</strong>：Elastic Security app 的 rule editor 權限、<code>detection-rules</code> repo（Elastic 官方 OSS rule 庫）有沒有 fork 進組織版控、rule change 是否走 PR review + staging space 驗證</li>
<li><strong>採集治理</strong>：Fleet 統一管 Elastic Agent policy / 還是散落 Beats（filebeat / metricbeat / auditbeat / winlogbeat）各自設定、log source 是否分 hot / warm / cold tier、Searchable Snapshots 是否開</li>
<li><strong>Detection content coverage</strong>：Elastic Prebuilt rules + Sigma 社群規則 import 多少 enabled、是否跟 MITRE ATT&amp;CK 對照、EQL sequence 規則覆蓋多少 attack chain pattern</li>
<li><strong>Alert quality / SOC handoff</strong>：alert volume per day、Case 跟 Timeline 是否進入日常 SOC workflow、ML anomaly job 是否在線 + threshold 是否 tuned、跟 <a href="/blog/backend/08-incident-response/" data-link-title="模組八：事故處理與復盤" data-link-desc="用 IR 領域詞彙建問題節點、以服務級案例庫累積事故脈絡，先建概念與案例庫再進實作交接">8 incident response</a> 的 routing 是否定義</li>
</ul>
<p>四件事任一缺失、就是 <a href="/blog/backend/07-security-data-protection/detection-coverage-and-signal-governance/" data-link-title="7.13 偵測覆蓋率與訊號治理" data-link-desc="定義偵測覆蓋、訊號品質與誤報成本的治理問題">Detection Coverage and Signal Governance</a> 邊界的待補項目。</p>
<h2 id="日常操作與決策形狀">日常操作與決策形狀</h2>
<p><strong>Ingestion architecture</strong>：log 進 Elastic 三種主路徑 — <em>Elastic Agent + Fleet</em>（現代部署的預設、單一 agent 收 system / endpoint / cloud / app log、中央 Fleet server 統一管 policy）、<em>Beats</em>（filebeat / metricbeat / auditbeat / winlogbeat 等專用 agent、Fleet 推出前的傳統做法、現在持續支援但建議遷移到 Elastic Agent）、<em>Logstash</em>（pipeline-style ETL、用在 enrich / filter / route 複雜場景）。production 通常 Elastic Agent + Fleet 為主、Logstash 補 ETL 缺口。</p>
<p><strong>KQL / EQL / Lucene / ES|QL 的職責分工</strong>：四種查詢語言各有 first-class 場景。<em>KQL</em>（Kibana Query Language）是 Kibana 預設過濾語法、<code>user.name : &quot;alice&quot; and event.action : &quot;logon-failed&quot;</code>、簡單直觀、適合 dashboard / Discover 過濾。<em>EQL</em>（Event Query Language）做 sequence pattern matching、<code>sequence by user.name [authentication where event.outcome==&quot;failure&quot;] [authentication where event.outcome==&quot;success&quot; and source.geo.country != &quot;TW&quot;]</code>、表達 attack chain 比 SPL correlation 更直接。<em>Lucene</em> 是底層 full-text query、特殊需要時直接寫。<em>ES|QL</em>（Elasticsearch Query Language、2024+）是新版 SQL-like、<code>FROM logs-* | WHERE event.category == &quot;authentication&quot; | STATS count = COUNT(*) BY user.name</code>、寫 aggregation 直覺；屬新語言、production 採用 cadence 還在跟進中。</p>
<p><strong>Detection rule 種類</strong>：Elastic Security 的 rule type 是六種 first-class 概念、不是只有「query rule」一種 — <em>Query rule</em>（KQL / Lucene 觸發）、<em>EQL rule</em>（sequence pattern）、<em>Threshold rule</em>（聚合超過閾值、例如同一 IP 5min 內 login fail &gt; 100）、<em>ML rule</em>（綁 Elastic ML anomaly job、anomaly score 超過閾值觸發）、<em>New term rule</em>（首次出現的 entity、例如某 user 第一次從某國登入）、<em>Indicator match rule</em>（事件 enrich 比對 threat intel feed、IoC hit 觸發）。production rule 經常組合多種 — query rule 做粗篩、EQL rule 抓 sequence、threshold + ML 補 baseline anomaly。</p>
<p><strong>Sigma rule import</strong>：Sigma 是 OSS 通用 detection rule 格式（YAML、跨 SIEM 可移植）、社群維護 5000+ 規則。Elastic 支援直接 import Sigma rule 轉成 Elastic detection rule、是 Elastic 拉開跟商業 SIEM 距離的 OSS 槓桿。實務做法：先 import Sigma baseline + 全部走 staging space 跑 false positive 觀察、再 enable 到 production；不要直接全 enable、Sigma rule 跨 SIEM 通用所以 environment-specific tuning 必須自己做。</p>
<p><strong>Case + Timeline</strong>：Case 是 incident 容器、聚合 alert + comment + assignment + status；Timeline 是 SOC analyst 的 investigation workspace、可以 pin event / annotate / link related alert、產出 investigation narrative。兩者組合是 Elastic 的 SOC workflow first-class、不是外掛 — 對應 Splunk ES 的 Notable Event + Incident Review、但 Elastic 走 OSS 化、Case 可 export markdown 進 ticketing。</p>
<p><strong>Elastic Defend（EDR）</strong>：前 Endgame 收購整合、提供 endpoint detection + prevention（malware block / ransomware protection / behavior detection）、跟 CrowdStrike Falcon / SentinelOne 同層。Elastic Defend 跑在 Elastic Agent 內、policy 從 Fleet 推。實務上多數 SIEM 客戶不會用內建 EDR、而是外接專業 EDR feed 進 Elastic SIEM；但 OSS-friendly + 預算敏感的中型客戶可以直接整合到一個 stack。</p>
<p><strong>Cross-cluster search</strong>：跨多個 Elastic cluster 統一查詢（<code>remote_cluster:index-name</code>）、適合 multi-region / multi-tenant SOC、不需要把所有 log 搬到單一 cluster。對應 Splunk Cloud federated search。實務場景：歐洲 GDPR 資料留在 EU cluster、美國 cluster query 過去做 incident investigation 而不複製資料。</p>
<p><strong>ML jobs（anomaly detection）</strong>：Elastic ML 內建 unsupervised anomaly detection、pre-built ML job library 覆蓋 SOC 常見場景（user behavior baseline、host login pattern、port scan detection、rare process）。ML rule 綁 ML job、anomaly score 超過閾值觸發 detection rule。對應 Splunk UBA、但 Elastic ML 是 stack 內建、不是 add-on app。</p>
<p><strong>Resource-based pricing 治理</strong>：Elastic Cloud 按 <em>cluster size</em>（node count × node size）計費、不按 ingestion volume — 意義是 ingest 多 log 不直接漲費用、但要 scale node 維持查詢效能。實務治理：<em>hot tier</em>（最近 7-30 天、SSD 高效能 node）、<em>warm tier</em>（30-90 天、低 IO node）、<em>cold tier</em> / <em>frozen tier</em>（90 天以上、Searchable Snapshots on S3 / GCS、查詢慢但成本極低）。對應 Splunk SmartStore、但 Elastic frozen tier 把 retention 從幾個月延長到幾年、cost 不線性漲。</p>
<h2 id="核心取捨表">核心取捨表</h2>
<table>
  <thead>
      <tr>
          <th>取捨維度</th>
          <th>Elastic Security</th>
          <th>Splunk</th>
          <th>Datadog Security</th>
          <th>Google Security Operations</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>計費模型</td>
          <td>Resource-based（node / cluster size）</td>
          <td>Ingestion-based（GB/day、累進）</td>
          <td>Per-host + per-event（events/month）</td>
          <td>Fixed price by data tier（PB-scale 划算）</td>
      </tr>
      <tr>
          <td>查詢語言</td>
          <td>KQL / EQL / Lucene / ES|QL 四種互補</td>
          <td>SPL（單一強表達力）</td>
          <td>Datadog Query（沿用 observability 語法）</td>
          <td>YARA-L（統一、結構清楚）</td>
      </tr>
      <tr>
          <td>Sequence 表達</td>
          <td>EQL <code>sequence by</code> 直接表達 attack chain</td>
          <td>SPL transaction / streamstats</td>
          <td>log + metrics + trace 同 plane</td>
          <td>UDM + YARA-L 多事件 rule</td>
      </tr>
      <tr>
          <td>部署模型</td>
          <td>Self-hosted / Elastic Cloud / Serverless</td>
          <td>Self-hosted (Enterprise) / SaaS (Cloud)</td>
          <td>SaaS only</td>
          <td>SaaS only（Google Cloud）</td>
      </tr>
      <tr>
          <td>Detection content</td>
          <td>Elastic Prebuilt rules + Sigma 社群 5000+</td>
          <td>Splunk Security Content（最豐富、社群活躍）</td>
          <td>Datadog Security Rules（中等）</td>
          <td>Google YARA-L + Google threat intel</td>
      </tr>
      <tr>
          <td>EDR 整合</td>
          <td>Elastic Defend 內建（前 Endgame）</td>
          <td>外接 CrowdStrike / Defender</td>
          <td>Workload Security（容器 focus）</td>
          <td>外接（透過 forwarder）</td>
      </tr>
      <tr>
          <td>SOAR / Response</td>
          <td>Cases + Endpoint response（Elastic Defend）</td>
          <td>Splunk SOAR（前 Phantom、業界先驅）</td>
          <td>Workflow Automation（基本）</td>
          <td>SOAR 內建（前 Siemplify）</td>
      </tr>
      <tr>
          <td>適合場景</td>
          <td>OSS-friendly、中大型、Elastic stack 已用</td>
          <td>Enterprise + 跨 on-prem、預算允許</td>
          <td>Cloud-native + observability 已用 Datadog</td>
          <td>超大規模 ingestion、Google 雲 + 多雲 SOC</td>
      </tr>
      <tr>
          <td>退場成本</td>
          <td>中 — Sigma / Lucene / EQL 部分可移植</td>
          <td>高 — SPL / detection content / dashboard 量多</td>
          <td>中</td>
          <td>中</td>
      </tr>
  </tbody>
</table>
<p>選 Elastic 的核心訴求：<em>OSS-friendly 文化 + resource-based pricing 友善 + Elastic Stack 已作為 observability 在用</em>、團隊有能力跨四種查詢語言（或至少把 EQL 跟 KQL 雙語分工清楚）、能接受 detection content 跟 SOAR 成熟度 trade-off。TB-scale ingestion 時 Elastic 比 Splunk 省 60-80% license cost 是最大誘因、但要算進 cluster sizing 跟 SRE 維運的隱形成本。</p>
<h2 id="進階主題">進階主題</h2>
<p><strong>EQL sequence pattern（時序攻擊鏈）</strong>：EQL 的 <code>sequence by</code> 是 Elastic 表達 attack chain 的 first-class 武器、比 SPL correlation 直接。例如 MFA fatigue 寫成 <code>sequence by user.name with maxspan=5m [authentication where event.outcome==&quot;failure&quot;] [authentication where event.outcome==&quot;failure&quot;] [authentication where event.outcome==&quot;success&quot; and source.ip != known_ip]</code>、序列邏輯直接表達。配對 <a href="/blog/backend/07-security-data-protection/red-team/cases/identity-access/uber-2022-mfa-fatigue/" data-link-title="7.R7.1.1 Uber 2022：MFA 疲勞與內部工具擴散" data-link-desc="從社交工程到內部工具存取，拆解身分流程與權限邊界的失效點">Uber 2022 MFA Fatigue</a> lesson：MFA fail 序列 + 新裝置 success 直接觸發。</p>
<p><strong>Elastic Defend endpoint response</strong>：除偵測外、Defend 支援 host isolation（隔離受感染 endpoint 但保留 SOC 連線）、process kill、file quarantine 等 response action、直接從 Kibana Security app 觸發。對應 CrowdStrike Real Time Response。production 採用前要設 approval gate、避免 SOC analyst 誤觸動 production server。</p>
<p><strong>CSPM / CWP（Elastic Cloud Security）</strong>：CSPM（Cloud Security Posture Management）對 AWS / GCP / Azure 帳號做 misconfig 掃描（S3 bucket public、IAM over-permission、security group 0.0.0.0/0）、對照 CIS Benchmark；CWP（Cloud Workload Protection）對 Kubernetes workload 跑 runtime detection。屬較新的功能、跟 Wiz / Lacework 等專業 CNAPP 比覆蓋還在追趕。</p>
<p><strong>Cross-cluster search 跨環境 federated query</strong>：multi-region SOC 的 first-class 工具 — query 寫 <code>FROM logs-auth-*, eu-cluster:logs-auth-*</code>、Elastic 自動路由跨 cluster。實務注意：跨 cluster query 延遲較高、要設 timeout；資料合規（GDPR）必須留意 query 結果是否包含跨境資料、不是搬資料但 query 結果回傳算不算傳輸要法務確認。</p>
<p><strong>Sigma 規則社群</strong>：Sigma 是 OSS detection rule 通用格式、Elastic 是 Sigma 主力使用者（內建 importer + Elastic 工程師參與 Sigma upstream）。實務做法：fork SigmaHQ repo 進組織版控、CI pipeline 自動轉 Sigma → Elastic detection rule、staging space 跑 false positive curve、promote 到 production；不要每次 manually import。</p>
<p><strong>Elastic Cloud Serverless（2024+）</strong>：新模型、按 <em>workload type</em>（search / observability / security）計費、不再按 cluster size — 減少 sizing 決策、autoscaling 由 Elastic 託管。屬新模型、production 採用 cadence 還在跟進中、適合 greenfield 部署或 PoC、existing cluster 遷移 roadmap 還在演進。</p>
<h2 id="排錯與失敗快速判讀">排錯與失敗快速判讀</h2>
<ul>
<li><strong>Alert volume 爆炸 / SOC 看不完</strong>：Sigma rule 全 enable 沒 tune、或 threshold rule 閾值太低 — staging space 跑 1 週統計 FP、tune threshold、加 exception list 排除已知合法 source、ML rule 補 user-specific baseline</li>
<li><strong>EQL sequence rule 跑不動 / timeout</strong>：sequence span 太長（24h）或 by field cardinality 太高、查詢成本爆炸 — 縮短 maxspan、限定 index pattern、加 pre-filter 條件</li>
<li><strong>Cluster 查詢慢 / Kibana 卡</strong>：hot tier 塞太多舊資料、沒做 hot-warm-cold tier 分層 — 開 ILM（Index Lifecycle Management）policy 自動 rollover、warm tier 用便宜 node、cold / frozen 走 Searchable Snapshots</li>
<li><strong>Fleet agent enrollment 失敗</strong>：Fleet server 跟 Elasticsearch 之間網路 / 憑證 / token 問題 — 檢查 Fleet server health、確認 enrollment token 未過期、agent log 看 specific 錯誤</li>
<li><strong>Sigma rule import 後大量 FP</strong>：Sigma rule 是 cross-SIEM 通用、沒有 environment-specific exclusion — 不要全 enable、staging tune 後再 promote、加 exception list（known scanner IP / 內部測試帳號）</li>
<li><strong>Resource-based pricing 超預算</strong>：node 過度 scale 或 hot tier 留太多 — 開 hot-warm-cold ILM、把 retention 超過 30 天的 index 推到 frozen tier on S3、Searchable Snapshots 是預設應該開</li>
<li><strong>ML job anomaly score 不準</strong>：training data 包含已 compromise 期間、baseline 被汙染 — 確認 training window 在乾淨期、定期重訓、配 detection rule 用 anomaly_score &gt; 75 而非 &gt; 50</li>
</ul>
<h2 id="何時改走其他服務">何時改走其他服務</h2>
<table>
  <thead>
      <tr>
          <th>需求形狀</th>
          <th>改走</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>Enterprise + detection content 最豐富</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk</a></td>
      </tr>
      <tr>
          <td>Cloud-native + observability 已用 Datadog</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/datadog-security/" data-link-title="Datadog Security" data-link-desc="Datadog observability platform 上的 security suite：Cloud SIEM &#43; CSPM &#43; CWS &#43; AAP &#43; Sensitive Data Scanner、跟 observability 同 plane">Datadog Security</a></td>
      </tr>
      <tr>
          <td>超大規模 ingestion + Google 雲</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/google-security-operations/" data-link-title="Google Security Operations" data-link-desc="Google 雲原生 SIEM &#43; SOAR &#43; Mandiant threat intel 三合一（前 Chronicle）、UDM &#43; YARA-L、fixed-price by data tier、PB-scale 友善">Google Security Operations</a></td>
      </tr>
      <tr>
          <td>DLP / sensitive data discovery</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/google-dlp/" data-link-title="Google DLP" data-link-desc="GCP 原生 Sensitive Data Protection：infoType discovery &#43; transformation (mask / FPE / tokenize / k-anonymity)、整合 BigQuery / GCS / Cloud SQL">Google DLP</a> / <a href="/blog/backend/07-security-data-protection/vendors/microsoft-purview/" data-link-title="Microsoft Purview" data-link-desc="Microsoft 跨 M365 / Azure / endpoint 的 data governance &#43; information protection &#43; DLP &#43; insider risk 統合平台、label-driven">Microsoft Purview</a></td>
      </tr>
      <tr>
          <td>Endpoint detection 為主、不要全 stack</td>
          <td>CrowdStrike Falcon / Microsoft Defender for Endpoint / SentinelOne</td>
      </tr>
      <tr>
          <td>CNAPP 為主（雲端 posture + workload）</td>
          <td>Wiz / Lacework / Prisma Cloud（Elastic Cloud Security 較新）</td>
      </tr>
      <tr>
          <td>Incident routing</td>
          <td><a href="/blog/backend/08-incident-response/vendors/" data-link-title="事故處理 Vendor 清單" data-link-desc="規劃 on-call、incident response、status page 與 postmortem 工具的服務頁撰寫順序與判準">8 事故處理 vendor 清單</a></td>
      </tr>
  </tbody>
</table>
<h2 id="不在本頁內的主題">不在本頁內的主題</h2>
<ul>
<li>KQL / EQL / ES|QL 完整語法 reference、Lucene query DSL 進階用法</li>
<li>Elasticsearch index sharding / replica / ILM tuning 細節（屬 observability / 資料工程範圍）</li>
<li>Elastic Observability（APM / logs / metrics）— 屬 observability 不屬 security</li>
<li>Elastic Cloud Serverless 詳細 sizing 與 pricing 模型（2024+ 新模型、變動中）</li>
<li>Elastic Stack 自管的維運（cluster upgrade、Kibana plugin 開發）</li>
</ul>
<h2 id="案例回寫">案例回寫</h2>
<p>Elastic Security 在 07 案例庫沒有直接 vendor-level 事件、但所有 detection-related case 都是 SIEM 偵測覆蓋率的對照：</p>
<table>
  <thead>
      <tr>
          <th>案例</th>
          <th>跟 Elastic Security 的關係（對照啟示）</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/identity-access/uber-2022-mfa-fatigue/" data-link-title="7.R7.1.1 Uber 2022：MFA 疲勞與內部工具擴散" data-link-desc="從社交工程到內部工具存取，拆解身分流程與權限邊界的失效點">Uber 2022 MFA Fatigue</a></td>
          <td>Elastic EQL <code>sequence by user.name [auth fail count &gt; 50 in 5min] [auth success from new device]</code> 直接表達 MFA fatigue pattern、Sigma 社群有現成規則可 import 起步</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/identity-access/microsoft-storm-0558-2023-signing-key-chain/" data-link-title="7.R7.1.5 Microsoft Storm-0558 2023：簽章金鑰鏈與郵件存取" data-link-desc="從簽章金鑰保護失效到雲端郵件存取，拆解身分信任鏈的關鍵控制點">Microsoft Storm-0558 Signing Key Chain</a></td>
          <td>跨租戶 token 異常驗證需 Elastic Cross-cluster search 跨 Azure AD log + GCP audit log + 自家 app log 同時 query、不需先搬資料</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/supply-chain/3cx-2023-desktopapp-supply-chain/" data-link-title="7.R7.2.8 3CX 2023：桌面軟體更新鏈攻擊" data-link-desc="合法更新流程被植入後，桌面端供應鏈事件如何傳到企業端點">3CX 2023 Desktop App Supply Chain</a></td>
          <td>Elastic Defend 直接看到 desktop app process spawn + 異常網路 callback、不需外接 EDR feed；EQL <code>sequence</code> 抓 process → DNS → C2 行為鏈</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/blue-team/detection-engineering-lifecycle/" data-link-title="7.B5 Detection Engineering Lifecycle" data-link-desc="把偵測規則視為可維護資產，建立從來源、測試、調校到退場的完整生命週期">Detection Engineering Lifecycle (section)</a></td>
          <td>Elastic rule 走 <code>detection-rules</code> repo（OSS、Elastic 官方維護）+ Sigma fork + staging space + promote 工程化 lifecycle、不是 Kibana UI 直改</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/blue-team/alert-fatigue-and-signal-quality/" data-link-title="7.B10 Alert Fatigue and Signal Quality" data-link-desc="建立告警疲勞治理方法，讓訊號品質、分級一致性與處置效率同步提升">Alert Fatigue and Signal Quality (section)</a></td>
          <td>Elastic 沒有 Splunk RBA 對應、用 ML anomaly rule + threshold rule severity + Case grouping 三層降噪、要設 ML job 重訓 lifecycle</td>
      </tr>
  </tbody>
</table>
<h2 id="下一步路由">下一步路由</h2>
<ul>
<li>上游：<a href="/blog/backend/07-security-data-protection/detection-coverage-and-signal-governance/" data-link-title="7.13 偵測覆蓋率與訊號治理" data-link-desc="定義偵測覆蓋、訊號品質與誤報成本的治理問題">7.13 偵測覆蓋率與訊號治理</a>、<a href="/blog/backend/07-security-data-protection/blue-team/detection-engineering-lifecycle/" data-link-title="7.B5 Detection Engineering Lifecycle" data-link-desc="把偵測規則視為可維護資產，建立從來源、測試、調校到退場的完整生命週期">Detection Engineering Lifecycle</a></li>
<li>平行：<a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk</a>、<a href="/blog/backend/07-security-data-protection/vendors/datadog-security/" data-link-title="Datadog Security" data-link-desc="Datadog observability platform 上的 security suite：Cloud SIEM &#43; CSPM &#43; CWS &#43; AAP &#43; Sensitive Data Scanner、跟 observability 同 plane">Datadog Security</a>、<a href="/blog/backend/07-security-data-protection/vendors/google-security-operations/" data-link-title="Google Security Operations" data-link-desc="Google 雲原生 SIEM &#43; SOAR &#43; Mandiant threat intel 三合一（前 Chronicle）、UDM &#43; YARA-L、fixed-price by data tier、PB-scale 友善">Google Security Operations</a></li>
<li>下游：<a href="/blog/backend/07-security-data-protection/vendors/google-dlp/" data-link-title="Google DLP" data-link-desc="GCP 原生 Sensitive Data Protection：infoType discovery &#43; transformation (mask / FPE / tokenize / k-anonymity)、整合 BigQuery / GCS / Cloud SQL">Google DLP</a> / <a href="/blog/backend/07-security-data-protection/vendors/microsoft-purview/" data-link-title="Microsoft Purview" data-link-desc="Microsoft 跨 M365 / Azure / endpoint 的 data governance &#43; information protection &#43; DLP &#43; insider risk 統合平台、label-driven">Microsoft Purview</a>（DLP signal 進 Elastic SIEM）</li>
<li>跨類：<a href="/blog/backend/07-security-data-protection/vendors/okta/" data-link-title="Okta" data-link-desc="SaaS Identity Provider 主流選項、SSO / MFA / lifecycle 整合、第三方信任邊界的代價">Okta</a>（IdP log source）、<a href="/blog/backend/07-security-data-protection/vendors/hashicorp-vault/" data-link-title="HashiCorp Vault" data-link-desc="Self-hosted secret management 與 dynamic credential / encryption-as-a-service / PKI engine、跨雲跨環境的 secret 控制面">HashiCorp Vault</a>（secret rotation API）、<a href="/blog/backend/07-security-data-protection/vendors/cloudflare-waf/" data-link-title="Cloudflare WAF" data-link-desc="Edge WAF &#43; DDoS &#43; Bot management 整合套件、global anycast 網路、控制面信任邊界跟客戶側補強的對照">Cloudflare WAF</a>（WAF log + Sigma rule 對接）</li>
<li>跨模組：<a href="/blog/backend/08-incident-response/vendors/" data-link-title="事故處理 Vendor 清單" data-link-desc="規劃 on-call、incident response、status page 與 postmortem 工具的服務頁撰寫順序與判準">8 事故處理 vendor 清單</a>（Case → IR routing）、<a href="/blog/backend/04-observability/" data-link-title="模組四：可觀測性平台" data-link-desc="整理 log、metric、trace、dashboard 與 alert 的後端操作實務">4 observability</a>（Elastic Stack 共用 log pipeline）</li>
<li>官方：<a href="https://www.elastic.co/guide/en/security/current/index.html">Elastic Security Documentation</a>、<a href="https://github.com/elastic/detection-rules">detection-rules repo</a></li>
</ul>
]]></content:encoded></item><item><title>Datadog Security</title><link>https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/datadog-security/</link><pubDate>Mon, 18 May 2026 00:00:00 +0000</pubDate><guid>https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/datadog-security/</guid><description>&lt;p>Datadog Security 是 Datadog observability platform 上的 security 套件、跟 Datadog logs / metrics / APM / infrastructure 共用同一個 control plane 與 data plane。它的設計起點不是 SIEM、是 &lt;em>把資安訊號當成 observability 的一個維度&lt;/em>：alert 不只看 log、可以同時 pivot 到 APM trace、infra metrics 與 host context。這個定位決定了它的優勢（cloud-native + 混合 incident 偵測）與限制（SaaS-only + 計費隨 host 量線性漲、不適合 on-prem-heavy 或預算敏感場景）。&lt;/p>
&lt;h2 id="服務定位">服務定位&lt;/h2>
&lt;p>Datadog Security 由四個 product 構成、共用 Datadog Agent 與 backend：&lt;em>Cloud SIEM&lt;/em>（log-based detection、跟 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &amp;#43; indexer &amp;#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk Enterprise Security&lt;/a> 同類）、&lt;em>Cloud Security Management (CSM)&lt;/em> — 涵蓋 &lt;em>CSPM&lt;/em>（cloud config posture）與 &lt;em>Cloud Workload Security (CWS)&lt;/em>（container / Linux runtime via eBPF）、&lt;em>App and API Protection (AAP、前 ASM)&lt;/em> — RASP-style 在 app runtime 收 attack signal、&lt;em>Sensitive Data Scanner&lt;/em> — scan log 中的 PII / credential 並 redact。&lt;/p>
&lt;p>跟 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &amp;#43; indexer &amp;#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk&lt;/a> 比、Datadog 走 &lt;em>observability-first + security 是 view&lt;/em>、Splunk 是 &lt;em>security-first&lt;/em>。Splunk 在 enterprise SOC tooling 深度（SOAR playbook、RBA、CIM data model）與跨 on-prem 部署上更成熟、Datadog SaaS-only 但跟 APM / Infra 同 plane、混合 incident（latency 異常是攻擊還是容量？）的判讀路徑更短。跟 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/elastic-security/" data-link-title="Elastic Security" data-link-desc="Elastic Stack 上的 SIEM &amp;#43; EDR &amp;#43; Cloud Security 套件、OSS 起源、KQL/EQL/Lucene/ES|QL 多查詢語言、resource-based pricing">Elastic Security&lt;/a> 比、Elastic 可跨 on-prem + OSS、Datadog 只給 SaaS；Elastic 要自己整合 observability 訊號、Datadog 出廠就有。跟 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/google-security-operations/" data-link-title="Google Security Operations" data-link-desc="Google 雲原生 SIEM &amp;#43; SOAR &amp;#43; Mandiant threat intel 三合一（前 Chronicle）、UDM &amp;#43; YARA-L、fixed-price by data tier、PB-scale 友善">Google Security Operations&lt;/a> 比、Google 走 &lt;em>fixed-price by data、PB-scale 划算&lt;/em>、Datadog 隨 host 線性漲、中等規模友善但破千 host 後 cost 曲線變陡。&lt;/p></description><content:encoded><![CDATA[<p>Datadog Security 是 Datadog observability platform 上的 security 套件、跟 Datadog logs / metrics / APM / infrastructure 共用同一個 control plane 與 data plane。它的設計起點不是 SIEM、是 <em>把資安訊號當成 observability 的一個維度</em>：alert 不只看 log、可以同時 pivot 到 APM trace、infra metrics 與 host context。這個定位決定了它的優勢（cloud-native + 混合 incident 偵測）與限制（SaaS-only + 計費隨 host 量線性漲、不適合 on-prem-heavy 或預算敏感場景）。</p>
<h2 id="服務定位">服務定位</h2>
<p>Datadog Security 由四個 product 構成、共用 Datadog Agent 與 backend：<em>Cloud SIEM</em>（log-based detection、跟 <a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk Enterprise Security</a> 同類）、<em>Cloud Security Management (CSM)</em> — 涵蓋 <em>CSPM</em>（cloud config posture）與 <em>Cloud Workload Security (CWS)</em>（container / Linux runtime via eBPF）、<em>App and API Protection (AAP、前 ASM)</em> — RASP-style 在 app runtime 收 attack signal、<em>Sensitive Data Scanner</em> — scan log 中的 PII / credential 並 redact。</p>
<p>跟 <a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk</a> 比、Datadog 走 <em>observability-first + security 是 view</em>、Splunk 是 <em>security-first</em>。Splunk 在 enterprise SOC tooling 深度（SOAR playbook、RBA、CIM data model）與跨 on-prem 部署上更成熟、Datadog SaaS-only 但跟 APM / Infra 同 plane、混合 incident（latency 異常是攻擊還是容量？）的判讀路徑更短。跟 <a href="/blog/backend/07-security-data-protection/vendors/elastic-security/" data-link-title="Elastic Security" data-link-desc="Elastic Stack 上的 SIEM &#43; EDR &#43; Cloud Security 套件、OSS 起源、KQL/EQL/Lucene/ES|QL 多查詢語言、resource-based pricing">Elastic Security</a> 比、Elastic 可跨 on-prem + OSS、Datadog 只給 SaaS；Elastic 要自己整合 observability 訊號、Datadog 出廠就有。跟 <a href="/blog/backend/07-security-data-protection/vendors/google-security-operations/" data-link-title="Google Security Operations" data-link-desc="Google 雲原生 SIEM &#43; SOAR &#43; Mandiant threat intel 三合一（前 Chronicle）、UDM &#43; YARA-L、fixed-price by data tier、PB-scale 友善">Google Security Operations</a> 比、Google 走 <em>fixed-price by data、PB-scale 划算</em>、Datadog 隨 host 線性漲、中等規模友善但破千 host 後 cost 曲線變陡。</p>
<p>關鍵張力：<em>observability 與 security 同 plane</em> 是 Datadog 最大賣點、也是 cost 風險來源。host count 跟 events/month 同時是 observability 跟 security 的計費基準、security 加上去後 bill 不會獨立 — 預算要從 <em>整個 Datadog 帳單</em> 看、不是 security 單列。</p>
<h2 id="本章目標">本章目標</h2>
<p>讀完本頁、讀者能判斷：</p>
<ol>
<li>Datadog Security 在 SOC stack 中承擔哪一段（log SIEM / CSPM / 容器 runtime / WAF-runtime / log DLP）、哪些要外接（<a href="/blog/backend/07-security-data-protection/vendors/hashicorp-vault/" data-link-title="HashiCorp Vault" data-link-desc="Self-hosted secret management 與 dynamic credential / encryption-as-a-service / PKI engine、跨雲跨環境的 secret 控制面">Vault</a>、<a href="/blog/backend/07-security-data-protection/vendors/okta/" data-link-title="Okta" data-link-desc="SaaS Identity Provider 主流選項、SSO / MFA / lifecycle 整合、第三方信任邊界的代價">Okta</a> IdP log、edge WAF）</li>
<li>observability + security 同 plane 的優勢何時成立、何時是 vendor lock-in 風險</li>
<li>Cloud SIEM 計費（events/month + indexed）跟 Standard / Flex Logs retention tier 的成本治理</li>
<li>何時用 Datadog、何時走 Splunk / Elastic / Google Security Ops 的取捨</li>
</ol>
<h2 id="最短判讀路徑">最短判讀路徑</h2>
<p>判斷 Datadog Security 部署是否健康、最少看四件事：</p>
<ul>
<li><strong>Datadog Agent coverage</strong>：agent 是否裝在所有 host / container / serverless wrapper、log forwarder 是否覆蓋 cloud control plane（AWS CloudTrail / GCP Audit Log / Azure Activity Log）、IdP（<a href="/blog/backend/07-security-data-protection/vendors/okta/" data-link-title="Okta" data-link-desc="SaaS Identity Provider 主流選項、SSO / MFA / lifecycle 整合、第三方信任邊界的代價">Okta</a>）audit log 是否進來 — 缺一個就是 detection 盲點</li>
<li><strong>Detection rule ownership</strong>：Cloud SIEM rule 是用內建還是 custom、custom rule 是否走 Git 版控（Terraform <code>datadog_security_monitoring_rule</code>）、staging 環境是否 dry-run 24-48hr 才 promote production</li>
<li><strong>CSPM compliance check 治理</strong>：CIS / NIST / PCI baseline 開哪些、findings 是否進 ticket workflow、misconfig 修復 SLA 有沒有定義（critical 24hr、high 7d、medium 30d）</li>
<li><strong>Events/month + Indexed Log 預算</strong>：Cloud SIEM 按 events/month + indexed event 計費、新加 source 前是否估算 ingestion impact、Standard / Flex Logs retention tier 是否依 log priority 分流</li>
</ul>
<p>四件事任一缺失、就是 <a href="/blog/backend/07-security-data-protection/detection-coverage-and-signal-governance/" data-link-title="7.13 偵測覆蓋率與訊號治理" data-link-desc="定義偵測覆蓋、訊號品質與誤報成本的治理問題">Detection Coverage and Signal Governance</a> 邊界的待補項目。</p>
<h2 id="日常操作與決策形狀">日常操作與決策形狀</h2>
<p><strong>Datadog Agent 採集</strong>：log / metrics / trace / security event 走同一個 Agent、用 integration（150+）抓 cloud / SaaS / database / queue。security event 跟 observability event 在後端用 <em>attribute tag</em>（<code>env</code>、<code>service</code>、<code>host</code>、<code>trace_id</code>）關聯、查 incident 時可以從 log alert pivot 到同 trace_id 的 APM trace 看 attack 發生的 application context。</p>
<p><strong>Cloud SIEM detection rule</strong>：rule 形式類似 SPL 的 query — <code>source:okta @evt.name:user.authentication.auth_via_mfa @outcome:failure</code> 加 <em>signal aggregation</em>（rolling window count、new value、anomaly detection、impossible travel）。內建 rule 跟 MITRE ATT&amp;CK 對應、跟 <a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk Security Content</a> 同類但 rule 數量較少；custom rule 走 Terraform provider 進版控、不在 UI 直改 production。</p>
<p><strong>CSPM compliance check</strong>：scan AWS / GCP / Azure 配置 vs CIS / NIST 800-53 / PCI / SOC 2 baseline、發現 misconfig（public S3 bucket、overly permissive IAM、不安全 SG rule）。跟 Wiz / Prisma Cloud 同類但跟 Datadog Infra 同 dashboard、findings 可以直接看到 affected resource 的 metrics / log。優勢是 <em>資安發現可以直接看業務影響</em>、限制是 graph-based attack path（Wiz 強項）不及專業 CNAPP。</p>
<p><strong>Cloud Workload Security（CWS）</strong>：用 Linux eBPF probe 在 kernel 層觀察 container / process behavior、偵測 cryptominer / privilege escalation / 異常 syscall / file integrity 變動。跟 <a href="https://falco.org/">Falco</a> 同類但跟 Datadog Infra 同 plane、CWS alert 可以直接 pivot 到該 container 的 CPU / memory / trace。Linux eBPF 對 kernel 版本敏感、舊 kernel 部份功能不可用、production 前要確認 fleet kernel matrix。</p>
<p><strong>App and API Protection（AAP）</strong>：RASP-style protection、Datadog APM library 在 application runtime 收 attack signal（SQLi / XSS / SSRF / 異常 traffic pattern）。跟 <a href="/blog/backend/07-security-data-protection/vendors/cloudflare-waf/" data-link-title="Cloudflare WAF" data-link-desc="Edge WAF &#43; DDoS &#43; Bot management 整合套件、global anycast 網路、控制面信任邊界跟客戶側補強的對照">Cloudflare WAF</a> / <a href="/blog/backend/07-security-data-protection/vendors/aws-waf/" data-link-title="AWS WAF" data-link-desc="AWS-internal WAF、跟 ALB / CloudFront / API Gateway 直接整合、Web ACL &#43; Managed Rule Group &#43; Rate-based Rule、Shield Standard 內含">AWS WAF</a> 不同層 — WAF 在 edge / CDN、AAP 在 app runtime 看到的是真實 request handler / DB query。兩者互補不互斥：edge WAF 擋 volumetric attack 跟已知 pattern、AAP 補 app-specific business logic abuse。</p>
<p><strong>Sensitive Data Scanner</strong>：scan ingest 進來的 log、用內建或 custom pattern 偵測 PII / credential / payment card / API key、發現後可以 redact、quarantine 或 alert。是 <em>DLP-lite</em> — 比不上 <a href="/blog/backend/07-security-data-protection/vendors/google-dlp/" data-link-title="Google DLP" data-link-desc="GCP 原生 Sensitive Data Protection：infoType discovery &#43; transformation (mask / FPE / tokenize / k-anonymity)、整合 BigQuery / GCS / Cloud SQL">Google DLP</a> / <a href="/blog/backend/07-security-data-protection/vendors/microsoft-purview/" data-link-title="Microsoft Purview" data-link-desc="Microsoft 跨 M365 / Azure / endpoint 的 data governance &#43; information protection &#43; DLP &#43; insider risk 統合平台、label-driven">Microsoft Purview</a> 的 sensitive data discovery / classification / lineage 全套、但對 <em>log 中誤洩 secret</em> 的場景夠用、是 detection signal source 也是 DLP 補位。</p>
<p><strong>Notebooks + Workflow Automation</strong>：Notebooks 是 incident investigation 用的 query workbook、混 log query + metric chart + APM trace + 註記、跟 <a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk Search</a> 比較像 Jupyter notebook 的 SOC 版。Workflow Automation 是輕量 SOAR、接 PagerDuty / Slack / Jira / Webhook / <a href="/blog/backend/07-security-data-protection/vendors/hashicorp-vault/" data-link-title="HashiCorp Vault" data-link-desc="Self-hosted secret management 與 dynamic credential / encryption-as-a-service / PKI engine、跨雲跨環境的 secret 控制面">Vault</a> API、playbook 走 visual builder + Python。SOAR 深度不到 Splunk SOAR、但對中等規模 SOC（10-50 人）的常見 response 動作（rotate credential / block IP / open ticket）夠用。</p>
<p><strong>Standard Logs / Flex Logs + retention tier</strong>：log 進 Datadog 後分 <em>Indexed</em>（hot、可全文搜尋、貴）、<em>Flex Logs</em>（warm、retention 長、查詢延遲較高、cost 1/3-1/5）、<em>Archive</em>（cold、丟 S3 / GCS、純儲存）三層。Cloud SIEM detection 跑在 indexed log 上、所以 <em>哪些 log 走 indexed</em> 直接決定 detection coverage 跟 bill。tier 1 source（IdP / cloud control plane / payment）必 indexed、tier 2 source（app log）按 sampling、tier 3（debug）走 Flex 或 Archive。</p>
<h2 id="核心取捨表">核心取捨表</h2>
<table>
  <thead>
      <tr>
          <th>取捨維度</th>
          <th>Datadog Security</th>
          <th>Splunk</th>
          <th>Elastic Security</th>
          <th>Google Security Operations</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>設計起點</td>
          <td>Observability + security 同 plane</td>
          <td>Security-first、log 統一查詢平台</td>
          <td>Search-first、ELK stack 延伸</td>
          <td>Massive scale ingestion、Google threat intel</td>
      </tr>
      <tr>
          <td>計費模型</td>
          <td>Per-host + per-event（events/month）</td>
          <td>Ingestion-based（GB/day、累進）</td>
          <td>Resource-based（node / cluster）</td>
          <td>Fixed price by data tier（PB-scale 划算）</td>
      </tr>
      <tr>
          <td>部署模型</td>
          <td>SaaS only</td>
          <td>Self-hosted / SaaS</td>
          <td>Self-hosted / Cloud / Serverless</td>
          <td>SaaS only（Google Cloud）</td>
      </tr>
      <tr>
          <td>觀測整合</td>
          <td>Native — log + APM + metrics + infra 同 query</td>
          <td>需自接（Splunk Observability 另收）</td>
          <td>需自接（Elastic Observability 另開）</td>
          <td>弱 — 跨產品 federation</td>
      </tr>
      <tr>
          <td>雲端 posture (CSPM)</td>
          <td>內建（CSM）</td>
          <td>第三方 add-on / Cisco 整合</td>
          <td>第三方 / Wazuh</td>
          <td>第三方 / Mandiant 整合</td>
      </tr>
      <tr>
          <td>容器 runtime</td>
          <td>內建 CWS（eBPF）</td>
          <td>需 Falco / 第三方</td>
          <td>Elastic Defend</td>
          <td>需 Falco / 第三方</td>
      </tr>
      <tr>
          <td>App runtime（RASP）</td>
          <td>內建 AAP</td>
          <td>需第三方</td>
          <td>第三方</td>
          <td>第三方</td>
      </tr>
      <tr>
          <td>SOAR / Response</td>
          <td>Workflow Automation（輕量）</td>
          <td>Splunk SOAR（業界先驅）</td>
          <td>Cases + Endpoint response</td>
          <td>SOAR 內建（前 Siemplify）</td>
      </tr>
      <tr>
          <td>適合場景</td>
          <td>Cloud-native + 已用 Datadog + 中等規模 SOC</td>
          <td>Enterprise + 跨 on-prem、預算允許</td>
          <td>OSS-friendly、Elastic stack 已用</td>
          <td>超大規模 ingestion、Google 雲</td>
      </tr>
  </tbody>
</table>
<p>選 Datadog 的核心訴求：<em>已經用 Datadog observability、cloud-native 為主、SOC 規模中等（10-50 人）、需要 observability + security 同 plane 的 incident 判讀路徑</em>。on-prem 為主、預算敏感（host 量 1000+）、需要 enterprise SOAR / RBA 深度、走 Splunk；OSS-friendly、跨 on-prem、走 Elastic。</p>
<h2 id="進階主題">進階主題</h2>
<p><strong>Cross-product correlation（log + APM + metrics 同 trace_id）</strong>：Datadog 最特別的偵測形狀 — security alert 不只 log line、而是綁 trace_id 的 <em>integrated incident view</em>。例如 API endpoint 出現 SQLi 嘗試、Cloud SIEM 開 signal、同時 APM 看到該 request 的 DB query 跟 latency、infra 看到該 host 的 CPU。對「query latency 異常是不是被攻擊」這種混合 incident 偵測有結構性優勢、跟 <a href="/blog/backend/07-security-data-protection/red-team/cases/data-exfiltration/snowflake-2024-credential-abuse/" data-link-title="7.R7.4.2 Snowflake 2024：憑證濫用與資料竊取" data-link-desc="外洩憑證與 MFA 缺口如何在資料平台形成高風險外送事件">Snowflake 2024 Credential Abuse</a> 的調查路徑直接對應。</p>
<p><strong>CWS Linux eBPF 行為偵測</strong>：eBPF probe 在 kernel 層、不需要 kernel module、不影響 process performance（&lt; 1% overhead）。可以偵測的行為包括 file integrity（<code>/etc/passwd</code> 被改）、process tree（<code>bash → curl → /tmp/payload</code> 異常 chain）、network connection（容器對外連 cryptominer pool）、syscall pattern（<code>ptrace</code> 用於 process injection）。跟 <a href="https://falco.org/">Falco</a> 同樣用 eBPF、差別是 Datadog CWS 不需要單獨部署 + 跟 Datadog 其他 signal 同 plane。</p>
<p><strong>Datadog Threat Intelligence</strong>：內建 threat feed（malicious IP / domain / file hash）、自動標記 log / network event 命中 IoC。可以加自家 STIX/TAXII feed、不過深度比不上 <a href="https://www.mandiant.com/">Mandiant</a> / Recorded Future / 專業 TI platform；中等規模 SOC 夠用、嚴重 APT 對抗場景要外接專業 TI。</p>
<p><strong>跟 Datadog Incident Management 整合</strong>：security signal 可以直接開 Datadog Incident（內建 incident channel + timeline + post-mortem template）、跟 <a href="/blog/backend/08-incident-response/vendors/pagerduty/" data-link-title="PagerDuty" data-link-desc="On-call / alerting 主流 SaaS、IR 平台演化">PagerDuty</a> 同類但跟 observability 同 plane。對 <em>資安事件升級成全公司 incident</em> 的場景（<a href="/blog/backend/07-security-data-protection/red-team/cases/data-exfiltration/change-healthcare-2024-ops-impact/" data-link-title="7.R7.4.3 Change Healthcare 2024：資料事件轉為營運中斷" data-link-desc="醫療支付中樞事件如何同時衝擊資料安全與業務連續性">Change Healthcare 2024 Operations Impact</a> 那種規模）可以共用 incident commander 視角、不用兩套 timeline 拼起來。</p>
<h2 id="排錯與失敗快速判讀">排錯與失敗快速判讀</h2>
<ul>
<li><strong>Cloud SIEM 偵測 lag / 沒 alert</strong>：events 沒進 indexed log（走了 Flex）、retention tier 設錯 — 檢查 log pipeline rule 是否把 security-critical source 標 indexed</li>
<li><strong>Events/month 暴衝</strong>：debug log / verbose log 進 Cloud SIEM index、CWS event 量爆 — log pipeline 前置 filter（Datadog Observability Pipeline 或 Cribl）、CWS rule 收斂 noisy 行為</li>
<li><strong>CSPM findings 100+ 沒人修</strong>：findings 沒進 ticket workflow、沒分 priority — 整合 Jira / ServiceNow、severity 對應 SLA、findings 老化超 30 天升級</li>
<li><strong>CWS 在舊 kernel host 沒資料</strong>：eBPF feature 對 kernel 版本敏感（&lt; 4.18 部份功能不支援）— 升級 kernel 或標記該 host 為 CWS-incompatible、補位用 host-based agent</li>
<li><strong>AAP false positive 卡 user</strong>：RASP 在 app runtime 直接 block、誤殺正常 request — AAP 先走 monitor mode 1-2 週收 baseline、tune 後再轉 protect mode</li>
<li><strong>Sensitive Data Scanner miss PII</strong>：custom pattern 沒寫對、log format 嵌套（JSON 內又是 JSON）— 用 sample log 跑 dry-run、scanner 跑在 ingest 階段不是 retroactive</li>
<li><strong>Workflow Automation playbook 黑箱</strong>：自動 rotate credential 結果誤殺 prod service account — playbook high-impact action 走 approval gate、default 走 containment 不走 deletion</li>
</ul>
<h2 id="何時改走其他服務">何時改走其他服務</h2>
<table>
  <thead>
      <tr>
          <th>需求形狀</th>
          <th>改走</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>Enterprise + 跨 on-prem、預算允許</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk</a></td>
      </tr>
      <tr>
          <td>OSS-friendly / Elastic stack 已用</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/elastic-security/" data-link-title="Elastic Security" data-link-desc="Elastic Stack 上的 SIEM &#43; EDR &#43; Cloud Security 套件、OSS 起源、KQL/EQL/Lucene/ES|QL 多查詢語言、resource-based pricing">Elastic Security</a></td>
      </tr>
      <tr>
          <td>超大規模 ingestion + Google 雲</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/google-security-operations/" data-link-title="Google Security Operations" data-link-desc="Google 雲原生 SIEM &#43; SOAR &#43; Mandiant threat intel 三合一（前 Chronicle）、UDM &#43; YARA-L、fixed-price by data tier、PB-scale 友善">Google Security Operations</a></td>
      </tr>
      <tr>
          <td>嚴格 DLP / 資料分類</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/google-dlp/" data-link-title="Google DLP" data-link-desc="GCP 原生 Sensitive Data Protection：infoType discovery &#43; transformation (mask / FPE / tokenize / k-anonymity)、整合 BigQuery / GCS / Cloud SQL">Google DLP</a> / <a href="/blog/backend/07-security-data-protection/vendors/microsoft-purview/" data-link-title="Microsoft Purview" data-link-desc="Microsoft 跨 M365 / Azure / endpoint 的 data governance &#43; information protection &#43; DLP &#43; insider risk 統合平台、label-driven">Microsoft Purview</a></td>
      </tr>
      <tr>
          <td>Cloud posture graph / attack path</td>
          <td>Wiz / Prisma Cloud / Lacework</td>
      </tr>
      <tr>
          <td>Edge WAF / volumetric attack</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/cloudflare-waf/" data-link-title="Cloudflare WAF" data-link-desc="Edge WAF &#43; DDoS &#43; Bot management 整合套件、global anycast 網路、控制面信任邊界跟客戶側補強的對照">Cloudflare WAF</a> / <a href="/blog/backend/07-security-data-protection/vendors/aws-waf/" data-link-title="AWS WAF" data-link-desc="AWS-internal WAF、跟 ALB / CloudFront / API Gateway 直接整合、Web ACL &#43; Managed Rule Group &#43; Rate-based Rule、Shield Standard 內含">AWS WAF</a></td>
      </tr>
      <tr>
          <td>Endpoint EDR</td>
          <td>CrowdStrike Falcon / Microsoft Defender for Endpoint</td>
      </tr>
      <tr>
          <td>Incident routing</td>
          <td><a href="/blog/backend/08-incident-response/vendors/" data-link-title="事故處理 Vendor 清單" data-link-desc="規劃 on-call、incident response、status page 與 postmortem 工具的服務頁撰寫順序與判準">8 事故處理 vendor 清單</a></td>
      </tr>
  </tbody>
</table>
<h2 id="不在本頁內的主題">不在本頁內的主題</h2>
<ul>
<li>Datadog Agent 完整 configuration reference、custom check 撰寫</li>
<li>Datadog observability（APM / RUM / Synthetics / DBM）細節 — 屬 <a href="/blog/backend/04-observability/" data-link-title="模組四：可觀測性平台" data-link-desc="整理 log、metric、trace、dashboard 與 alert 的後端操作實務">4 observability</a> 模組</li>
<li>Cloud SIEM rule 完整語法 reference</li>
<li>CWS eBPF probe 撰寫（custom rule via Agent Expression Language）細節</li>
<li>Datadog Incident Management workflow（屬 <a href="/blog/backend/08-incident-response/" data-link-title="模組八：事故處理與復盤" data-link-desc="用 IR 領域詞彙建問題節點、以服務級案例庫累積事故脈絡，先建概念與案例庫再進實作交接">8 IR</a> 模組）</li>
</ul>
<h2 id="案例回寫">案例回寫</h2>
<p>Datadog Security 在 07 案例庫沒有直接 vendor-level 事件、但 observability + security 同 plane 的偵測形狀讓部份案例的調查路徑變短、值得對照：</p>
<table>
  <thead>
      <tr>
          <th>案例</th>
          <th>跟 Datadog Security 的關係（對照啟示）</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/data-exfiltration/snowflake-2024-credential-abuse/" data-link-title="7.R7.4.2 Snowflake 2024：憑證濫用與資料竊取" data-link-desc="外洩憑證與 MFA 缺口如何在資料平台形成高風險外送事件">Snowflake 2024 Credential Abuse</a></td>
          <td>Query volume + 連接數 + CPU 負載異常是 Datadog 同 plane 的強項、Cloud SIEM rule + DBM metrics 同 query 不用 SIEM + 監控工具拼接</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/data-exfiltration/change-healthcare-2024-ops-impact/" data-link-title="7.R7.4.3 Change Healthcare 2024：資料事件轉為營運中斷" data-link-desc="醫療支付中樞事件如何同時衝擊資料安全與業務連續性">Change Healthcare 2024 Operations Impact</a></td>
          <td>業務中樞事件的影響評估、APM + Infra 可秒級判斷 latency 異常源自資安 vs 容量、Datadog Incident 共用 IC 視角</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/data-exfiltration/mailchimp-2023-support-tool-abuse/" data-link-title="7.R7.4.4 Mailchimp 2023：支援工具路徑與客戶資料風險" data-link-desc="社交工程進入客服工具後，如何形成特定客戶資料存取風險">Mailchimp 2023 Support Tool Abuse</a></td>
          <td>APM span correlation 可看到單一 operator 短時間跨多 tenant access 的 trace pattern、log-only SIEM 看不到 application-level tenant 切換</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/identity-access/uber-2022-mfa-fatigue/" data-link-title="7.R7.1.1 Uber 2022：MFA 疲勞與內部工具擴散" data-link-desc="從社交工程到內部工具存取，拆解身分流程與權限邊界的失效點">Uber 2022 MFA Fatigue</a></td>
          <td>Cloud SIEM detection rule 配 <a href="/blog/backend/07-security-data-protection/vendors/okta/" data-link-title="Okta" data-link-desc="SaaS Identity Provider 主流選項、SSO / MFA / lifecycle 整合、第三方信任邊界的代價">Okta</a> MFA log + APM error rate correlation、不靠單一 log source</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/detection-coverage-and-signal-governance/" data-link-title="7.13 偵測覆蓋率與訊號治理" data-link-desc="定義偵測覆蓋、訊號品質與誤報成本的治理問題">Detection Coverage and Signal Governance (section)</a></td>
          <td>Standard / Flex Logs + retention tier 是 detection coverage 治理的工具、tier 1 source 必 indexed、tier 2 / 3 走 Flex / Archive</td>
      </tr>
  </tbody>
</table>
<h2 id="下一步路由">下一步路由</h2>
<ul>
<li>上游：<a href="/blog/backend/07-security-data-protection/detection-coverage-and-signal-governance/" data-link-title="7.13 偵測覆蓋率與訊號治理" data-link-desc="定義偵測覆蓋、訊號品質與誤報成本的治理問題">7.13 偵測覆蓋率與訊號治理</a>、<a href="/blog/backend/07-security-data-protection/blue-team/detection-engineering-lifecycle/" data-link-title="7.B5 Detection Engineering Lifecycle" data-link-desc="把偵測規則視為可維護資產，建立從來源、測試、調校到退場的完整生命週期">Detection Engineering Lifecycle</a></li>
<li>平行：<a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk</a>、<a href="/blog/backend/07-security-data-protection/vendors/elastic-security/" data-link-title="Elastic Security" data-link-desc="Elastic Stack 上的 SIEM &#43; EDR &#43; Cloud Security 套件、OSS 起源、KQL/EQL/Lucene/ES|QL 多查詢語言、resource-based pricing">Elastic Security</a>、<a href="/blog/backend/07-security-data-protection/vendors/google-security-operations/" data-link-title="Google Security Operations" data-link-desc="Google 雲原生 SIEM &#43; SOAR &#43; Mandiant threat intel 三合一（前 Chronicle）、UDM &#43; YARA-L、fixed-price by data tier、PB-scale 友善">Google Security Operations</a></li>
<li>下游：<a href="/blog/backend/07-security-data-protection/vendors/google-dlp/" data-link-title="Google DLP" data-link-desc="GCP 原生 Sensitive Data Protection：infoType discovery &#43; transformation (mask / FPE / tokenize / k-anonymity)、整合 BigQuery / GCS / Cloud SQL">Google DLP</a> / <a href="/blog/backend/07-security-data-protection/vendors/microsoft-purview/" data-link-title="Microsoft Purview" data-link-desc="Microsoft 跨 M365 / Azure / endpoint 的 data governance &#43; information protection &#43; DLP &#43; insider risk 統合平台、label-driven">Microsoft Purview</a>（DLP signal 進 Datadog）</li>
<li>跨類：<a href="/blog/backend/07-security-data-protection/vendors/okta/" data-link-title="Okta" data-link-desc="SaaS Identity Provider 主流選項、SSO / MFA / lifecycle 整合、第三方信任邊界的代價">Okta</a>（IdP log source）、<a href="/blog/backend/07-security-data-protection/vendors/hashicorp-vault/" data-link-title="HashiCorp Vault" data-link-desc="Self-hosted secret management 與 dynamic credential / encryption-as-a-service / PKI engine、跨雲跨環境的 secret 控制面">HashiCorp Vault</a>（Workflow Automation 拉 API）、<a href="/blog/backend/07-security-data-protection/vendors/cloudflare-waf/" data-link-title="Cloudflare WAF" data-link-desc="Edge WAF &#43; DDoS &#43; Bot management 整合套件、global anycast 網路、控制面信任邊界跟客戶側補強的對照">Cloudflare WAF</a> / <a href="/blog/backend/07-security-data-protection/vendors/aws-waf/" data-link-title="AWS WAF" data-link-desc="AWS-internal WAF、跟 ALB / CloudFront / API Gateway 直接整合、Web ACL &#43; Managed Rule Group &#43; Rate-based Rule、Shield Standard 內含">AWS WAF</a>（edge WAF log 進 Cloud SIEM、AAP 在 app 層補位）</li>
<li>跨模組：<a href="/blog/backend/04-observability/" data-link-title="模組四：可觀測性平台" data-link-desc="整理 log、metric、trace、dashboard 與 alert 的後端操作實務">4 observability</a>（同 Agent / 同 plane）、<a href="/blog/backend/08-incident-response/vendors/" data-link-title="事故處理 Vendor 清單" data-link-desc="規劃 on-call、incident response、status page 與 postmortem 工具的服務頁撰寫順序與判準">8 事故處理 vendor 清單</a>（Datadog Incident → IR routing）</li>
<li>官方：<a href="https://docs.datadoghq.com/security/">Datadog Security Documentation</a></li>
</ul>
]]></content:encoded></item><item><title>Google Security Operations</title><link>https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/google-security-operations/</link><pubDate>Mon, 18 May 2026 00:00:00 +0000</pubDate><guid>https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/google-security-operations/</guid><description>&lt;p>Google Security Operations 是 Google 雲端的 SOC 整合平台、2023 年起把前 &lt;em>Chronicle SIEM&lt;/em> + 2022 收購的 &lt;em>Siemplify SOAR&lt;/em> + 2022 收購的 &lt;em>Mandiant threat intel&lt;/em> 三條產品線整合成單一品牌。它跟 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &amp;#43; indexer &amp;#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk&lt;/a> / &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/elastic-security/" data-link-title="Elastic Security" data-link-desc="Elastic Stack 上的 SIEM &amp;#43; EDR &amp;#43; Cloud Security 套件、OSS 起源、KQL/EQL/Lucene/ES|QL 多查詢語言、resource-based pricing">Elastic Security&lt;/a> / &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/datadog-security/" data-link-title="Datadog Security" data-link-desc="Datadog observability platform 上的 security suite：Cloud SIEM &amp;#43; CSPM &amp;#43; CWS &amp;#43; AAP &amp;#43; Sensitive Data Scanner、跟 observability 同 plane">Datadog Security&lt;/a> 的差異在 &lt;em>資料規模假設 + 計費哲學 + threat intel 內建程度&lt;/em>、偵測能力本身相近 — Google 的設計假設是 &lt;em>PB/day ingestion + Google 級基礎設施 + 固定費率 by data tier&lt;/em>、跟 Splunk per-GB 累進的計費哲學完全相反。&lt;/p>
&lt;h2 id="服務定位">服務定位&lt;/h2>
&lt;p>Google Security Operations 的核心定位是 &lt;em>為超大規模 SOC 設計的雲原生 SIEM + SOAR + threat intel 一體機&lt;/em>、底層走 Google 自家 search infrastructure、上層由四個 first-class concept 撐起來：&lt;em>UDM&lt;/em>（Unified Data Model、Google 自定 schema、所有 source 強制 normalize）、&lt;em>YARA-L&lt;/em>（Google 自家 detection rule 語言）、&lt;em>Curated Detection&lt;/em>（Google 維護的 detection rule 訂閱、客戶不需自己拉）、&lt;em>Mandiant Applied Threat Intel&lt;/em>（事件期間自動 enrich + IoC push）。&lt;/p>
&lt;p>跟 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &amp;#43; indexer &amp;#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk&lt;/a> 比、Google 走 &lt;em>fixed-price by data tier + 強制 schema normalization&lt;/em> — Splunk per-GB ingestion 計費在 PB-scale 會痛、Google 在 multi-PB 通常便宜 3-5 倍、但客戶要接受 UDM 強制 schema 跟 YARA-L 新語法。跟 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/elastic-security/" data-link-title="Elastic Security" data-link-desc="Elastic Stack 上的 SIEM &amp;#43; EDR &amp;#43; Cloud Security 套件、OSS 起源、KQL/EQL/Lucene/ES|QL 多查詢語言、resource-based pricing">Elastic Security&lt;/a> 比、Google 是 SaaS-only + 大規模優化、Elastic 可自管 + OSS-friendly。跟 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/datadog-security/" data-link-title="Datadog Security" data-link-desc="Datadog observability platform 上的 security suite：Cloud SIEM &amp;#43; CSPM &amp;#43; CWS &amp;#43; AAP &amp;#43; Sensitive Data Scanner、跟 observability 同 plane">Datadog Security&lt;/a> 比、Google 是 &lt;em>純 SOC 專用工具&lt;/em>、Datadog 是 &lt;em>observability 平面上的 security view&lt;/em>；Datadog 適合中等規模 + observability 已用 Datadog、Google 適合大規模 SOC + 不需要 observability 同 plane。&lt;/p></description><content:encoded><![CDATA[<p>Google Security Operations 是 Google 雲端的 SOC 整合平台、2023 年起把前 <em>Chronicle SIEM</em> + 2022 收購的 <em>Siemplify SOAR</em> + 2022 收購的 <em>Mandiant threat intel</em> 三條產品線整合成單一品牌。它跟 <a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk</a> / <a href="/blog/backend/07-security-data-protection/vendors/elastic-security/" data-link-title="Elastic Security" data-link-desc="Elastic Stack 上的 SIEM &#43; EDR &#43; Cloud Security 套件、OSS 起源、KQL/EQL/Lucene/ES|QL 多查詢語言、resource-based pricing">Elastic Security</a> / <a href="/blog/backend/07-security-data-protection/vendors/datadog-security/" data-link-title="Datadog Security" data-link-desc="Datadog observability platform 上的 security suite：Cloud SIEM &#43; CSPM &#43; CWS &#43; AAP &#43; Sensitive Data Scanner、跟 observability 同 plane">Datadog Security</a> 的差異在 <em>資料規模假設 + 計費哲學 + threat intel 內建程度</em>、偵測能力本身相近 — Google 的設計假設是 <em>PB/day ingestion + Google 級基礎設施 + 固定費率 by data tier</em>、跟 Splunk per-GB 累進的計費哲學完全相反。</p>
<h2 id="服務定位">服務定位</h2>
<p>Google Security Operations 的核心定位是 <em>為超大規模 SOC 設計的雲原生 SIEM + SOAR + threat intel 一體機</em>、底層走 Google 自家 search infrastructure、上層由四個 first-class concept 撐起來：<em>UDM</em>（Unified Data Model、Google 自定 schema、所有 source 強制 normalize）、<em>YARA-L</em>（Google 自家 detection rule 語言）、<em>Curated Detection</em>（Google 維護的 detection rule 訂閱、客戶不需自己拉）、<em>Mandiant Applied Threat Intel</em>（事件期間自動 enrich + IoC push）。</p>
<p>跟 <a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk</a> 比、Google 走 <em>fixed-price by data tier + 強制 schema normalization</em> — Splunk per-GB ingestion 計費在 PB-scale 會痛、Google 在 multi-PB 通常便宜 3-5 倍、但客戶要接受 UDM 強制 schema 跟 YARA-L 新語法。跟 <a href="/blog/backend/07-security-data-protection/vendors/elastic-security/" data-link-title="Elastic Security" data-link-desc="Elastic Stack 上的 SIEM &#43; EDR &#43; Cloud Security 套件、OSS 起源、KQL/EQL/Lucene/ES|QL 多查詢語言、resource-based pricing">Elastic Security</a> 比、Google 是 SaaS-only + 大規模優化、Elastic 可自管 + OSS-friendly。跟 <a href="/blog/backend/07-security-data-protection/vendors/datadog-security/" data-link-title="Datadog Security" data-link-desc="Datadog observability platform 上的 security suite：Cloud SIEM &#43; CSPM &#43; CWS &#43; AAP &#43; Sensitive Data Scanner、跟 observability 同 plane">Datadog Security</a> 比、Google 是 <em>純 SOC 專用工具</em>、Datadog 是 <em>observability 平面上的 security view</em>；Datadog 適合中等規模 + observability 已用 Datadog、Google 適合大規模 SOC + 不需要 observability 同 plane。</p>
<p>關鍵張力：<em>fixed-price tier</em> 在小規模反而不划算、PB-scale 才回本。組織要看清楚自己的 ingestion 量級 — TB/day 以下走 Datadog / Elastic 通常更便宜、TB-PB/day 之間是模糊地帶、PB/day 以上 Google 是少數能撐又便宜的選擇。Mandiant threat intel 跟 Gemini for Security 是 Google-only 的加值、但這兩個是 <em>enhancement</em>、不是選 Google 的主理由。</p>
<h2 id="本章目標">本章目標</h2>
<p>讀完本頁、讀者能判斷：</p>
<ol>
<li>Google Security Ops 在 SOC stack 承擔哪一段（log aggregation + SIEM + SOAR + threat intel 一體）、跟 <a href="/blog/backend/07-security-data-protection/vendors/google-cloud-iam/" data-link-title="Google Cloud IAM" data-link-desc="GCP cloud resource permission engine、Role Binding / Service Account / Workload Identity Federation、resource hierarchy 為核心的權限治理">Google Cloud IAM</a> / <a href="/blog/backend/07-security-data-protection/vendors/google-secret-manager/" data-link-title="Google Secret Manager" data-link-desc="GCP 原生 secret store、CMEK &#43; Workload Identity Federation 整合、rotation 走自寫 Cloud Function 而非 built-in Lambda">Google Secret Manager</a> 怎麼整合</li>
<li>UDM forced normalization 跟 YARA-L 對 detection 設計的影響（schema-first 而非 query-first）</li>
<li>Curated Detection + Mandiant Applied Threat Intel 在偵測 lifecycle 的位置（不是自己拉、是訂閱）</li>
<li>何時選 Google Security Ops、何時走 Splunk / Elastic / Datadog 的取捨</li>
</ol>
<h2 id="最短判讀路徑">最短判讀路徑</h2>
<p>判斷 Google Security Ops deployment 是否健康、最少看四件事：</p>
<ul>
<li><strong>Ingestion 邊界</strong>：哪些 source 進來（Forwarder / GCS bucket / Pub/Sub feed / Cloud-native API feed）、UDM normalization 是否覆蓋全部 source、自家 app log 的 parser 是否寫好</li>
<li><strong>Detection 治理</strong>：誰能改 YARA-L rule、Curated Detection 開了哪些、自家 rule 是否走版控（Git → API push）、staging tenant 是否在 production 之前 sanity-check</li>
<li><strong>Threat intel 流向</strong>：Mandiant Applied Threat Intel 是否啟用、Curated Detection 是否跟新 IoC 自動同步、IoC enrichment 是否回 alert 上下文</li>
<li><strong>Response 流向</strong>：Siemplify SOAR 是否接 alert、playbook 是否進版控、跟 <a href="/blog/backend/08-incident-response/" data-link-title="模組八：事故處理與復盤" data-link-desc="用 IR 領域詞彙建問題節點、以服務級案例庫累積事故脈絡，先建概念與案例庫再進實作交接">8 incident response</a> 的 routing 是否定義</li>
</ul>
<p>四件事任一缺失、就是 <a href="/blog/backend/07-security-data-protection/detection-coverage-and-signal-governance/" data-link-title="7.13 偵測覆蓋率與訊號治理" data-link-desc="定義偵測覆蓋、訊號品質與誤報成本的治理問題">Detection Coverage and Signal Governance</a> 的待補項目。</p>
<h2 id="日常操作與決策形狀">日常操作與決策形狀</h2>
<p><strong>Ingestion 路徑</strong>：log 進 Google Security Ops 有三種主路徑 — <em>Chronicle Forwarder</em>（agent-based、on-prem / VM、syslog / file tail）、<em>Cloud Storage feed</em>（log 先進 GCS bucket、Google 拉）、<em>Pub/Sub feed</em>（serverless / GCP 原生 push）、再加 <em>Direct API feed</em>（cloud SaaS 像 Okta / Azure AD / AWS CloudTrail 透過原廠 connector）。SaaS-heavy 環境通常以 Direct API feed 為主、on-prem 才需要 Forwarder。</p>
<p><strong>UDM (Unified Data Model)</strong>：UDM 是 Google 自定的統一 event schema、所有 source（CloudTrail / Azure AD / Okta / endpoint / DNS）在 ingestion 時 <em>強制 normalize</em> 到 UDM 欄位（<code>principal.user</code>、<code>target.resource</code>、<code>security_result.action</code> 等）。跟 <a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk</a> CIM 同概念、但 Splunk CIM 是 <em>選擇性 mapping</em>、Google UDM 是 <em>forced normalization</em> — 不寫 parser 就不能 ingest custom source。設計取捨：schema-first 讓跨 source query 一致、但客製 source 的 onboarding 變重。</p>
<p><strong>YARA-L detection rule</strong>：Google 自家 detection rule 語言、跟 SPL / EQL 同類但結構更明示 — <code>events { }</code> 段定義 source pattern、<code>match { }</code> 段定義 join / time window、<code>condition { }</code> 段定義 threshold、<code>outcome { }</code> 段定義 risk score。比 SPL 的 pipe 風格更接近 <em>關聯式宣告</em>、特別適合表達 <em>time-bounded sequence + cross-source join</em>。Uber MFA 那種「5min 內 50 個 MFA fail + 新裝置 + 異常地理」用 YARA-L 直接寫成 sequence pattern 比 SPL 清楚。</p>
<p><strong>Curated Detection</strong>：Google 維護的 detection rule 訂閱集合、跟 Splunk Security Content 同類但 Google 是 <em>built-in subscription</em>、客戶不需要自己拉 / merge — Google 自動跟 Mandiant threat intel 同步、新 IoC 發布後對應 rule 自動 enable。組織通常 <em>先全部啟用 baseline、再選擇性 disable noisy 規則 + 補自家 custom YARA-L</em>。</p>
<p><strong>Applied Threat Intel (Mandiant)</strong>：事件發生時 Google 自動把 alert 裡的 IoC（IP / domain / hash）跟 Mandiant feed 對照、若命中已知 APT 活動就升級 risk score + 附上 Mandiant 報告。跟其他 SIEM 走第三方 threat intel feed 需要自己 maintain enrichment pipeline 不同、Google 走 <em>vertical integration</em> — 收購 Mandiant 後直接內建。</p>
<p><strong>Siemplify SOAR</strong>：2022 收購 Siemplify 後整合進 Google Security Ops、playbook 處理 alert triage + 自動 response — 例如 leaked credential 自動 rotate（拉 <a href="/blog/backend/07-security-data-protection/vendors/google-secret-manager/" data-link-title="Google Secret Manager" data-link-desc="GCP 原生 secret store、CMEK &#43; Workload Identity Federation 整合、rotation 走自寫 Cloud Function 而非 built-in Lambda">Google Secret Manager</a> API）、suspect user 自動 disable（拉 <a href="/blog/backend/07-security-data-protection/vendors/okta/" data-link-title="Okta" data-link-desc="SaaS Identity Provider 主流選項、SSO / MFA / lifecycle 整合、第三方信任邊界的代價">Okta</a> / Google Workspace API）、suspect IP 自動加 firewall block（拉 <a href="/blog/backend/07-security-data-protection/vendors/cloudflare-waf/" data-link-title="Cloudflare WAF" data-link-desc="Edge WAF &#43; DDoS &#43; Bot management 整合套件、global anycast 網路、控制面信任邊界跟客戶側補強的對照">Cloudflare WAF</a> custom rule）。playbook 進版控、走 approval gate for high-impact action、不能黑箱 fire-and-forget。</p>
<p><strong>Entity Graph</strong>：Google Security Ops 把 user / asset / IP / domain / hash 等實體做 graph、做 <em>correlation + lateral movement detection</em>。Snowflake 2024 那種「同一 credential / IP 跨多個 Snowflake account」的橫向擴散用 Entity Graph 直接視覺化關聯。</p>
<p><strong>Google Cloud 整合</strong>：跟 <a href="/blog/backend/07-security-data-protection/vendors/google-cloud-iam/" data-link-title="Google Cloud IAM" data-link-desc="GCP cloud resource permission engine、Role Binding / Service Account / Workload Identity Federation、resource hierarchy 為核心的權限治理">Google Cloud IAM</a> / Workload Identity Federation 整合度高 — GCP audit log 直接內建 connector、IAM policy change 直接 surface 成 alert 候選、跨 GCP project 的 federation 走 <a href="/blog/backend/07-security-data-protection/vendors/google-cloud-iam/" data-link-title="Google Cloud IAM" data-link-desc="GCP cloud resource permission engine、Role Binding / Service Account / Workload Identity Federation、resource hierarchy 為核心的權限治理">Google Cloud IAM</a> 認證。非 GCP 環境（AWS / Azure / on-prem）一樣支援、但設定路徑比 Splunk add-on 略陡。</p>
<h2 id="核心取捨表">核心取捨表</h2>
<table>
  <thead>
      <tr>
          <th>取捨維度</th>
          <th>Google Security Operations</th>
          <th>Splunk</th>
          <th>Elastic Security</th>
          <th>Datadog Security</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>計費模型</td>
          <td>Fixed price by data tier（PB-scale 划算）</td>
          <td>Ingestion-based（GB/day、累進）</td>
          <td>Resource-based（node / cluster size）</td>
          <td>Per-host + per-event（events/month）</td>
      </tr>
      <tr>
          <td>Schema 處理</td>
          <td>UDM forced normalization</td>
          <td>CIM optional mapping</td>
          <td>ECS optional mapping</td>
          <td>Tag-based、彈性高</td>
      </tr>
      <tr>
          <td>Detection 語言</td>
          <td>YARA-L（結構化 events / match / condition）</td>
          <td>SPL（pipe-based、表達力強）</td>
          <td>KQL / EQL</td>
          <td>Datadog query</td>
      </tr>
      <tr>
          <td>Detection content</td>
          <td>Curated Detection 內建訂閱</td>
          <td>Splunk Security Content（OSS、自拉）</td>
          <td>Elastic Prebuilt + Sigma</td>
          <td>Datadog Security Rules</td>
      </tr>
      <tr>
          <td>Threat intel</td>
          <td>Mandiant Applied Threat Intel 內建</td>
          <td>需第三方 feed + 自家 pipeline</td>
          <td>需第三方 feed</td>
          <td>Datadog 內建 + 第三方</td>
      </tr>
      <tr>
          <td>SOAR / Response</td>
          <td>Siemplify SOAR 內建</td>
          <td>Splunk SOAR（前 Phantom、業界先驅）</td>
          <td>Cases + Elastic Defend</td>
          <td>Workflow Automation（基本）</td>
      </tr>
      <tr>
          <td>LLM-assisted</td>
          <td>Gemini for Security 內建（2024+）</td>
          <td>Splunk AI Assistant</td>
          <td>Elastic AI Assistant</td>
          <td>Bits AI</td>
      </tr>
      <tr>
          <td>部署模型</td>
          <td>SaaS only（Google Cloud）</td>
          <td>Self-hosted / SaaS</td>
          <td>Self-hosted / SaaS / Serverless</td>
          <td>SaaS only</td>
      </tr>
      <tr>
          <td>適合場景</td>
          <td>PB-scale SOC、Google Cloud heavy、要 Mandiant</td>
          <td>Enterprise + 跨 on-prem、預算允許</td>
          <td>OSS-friendly、Elastic stack 已用</td>
          <td>Cloud-native + observability 已用 Datadog</td>
      </tr>
      <tr>
          <td>退場成本</td>
          <td>中 — YARA-L 跟 UDM 是 Google-specific</td>
          <td>高 — SPL / detection / dashboard 量多</td>
          <td>中 — Sigma / Lucene 較可移植</td>
          <td>中</td>
      </tr>
  </tbody>
</table>
<p>選 Google Security Ops 的核心訴求：<em>PB-scale ingestion + fixed-price 計費可預期 + Mandiant threat intel 內建 + Google Cloud 整合度</em>。中等規模 / on-prem 為主 / 預算敏感 / 需要 observability 同 plane 的場景都更適合走 Splunk / Elastic / Datadog。</p>
<h2 id="進階主題">進階主題</h2>
<p><strong>Risk Score multi-signal aggregation</strong>：Google Security Ops 給每個 entity（user / asset）累積 risk score、跨多 rule 加總、超 threshold 才升級 alert。設計上跟 <a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk</a> RBA 同類、但 Google 把 risk decay 跟 attribution 走 Entity Graph、跨 entity 關係的 risk 傳遞比較細。配對 <a href="/blog/backend/07-security-data-protection/red-team/cases/identity-access/uber-2022-mfa-fatigue/" data-link-title="7.R7.1.1 Uber 2022：MFA 疲勞與內部工具擴散" data-link-desc="從社交工程到內部工具存取，拆解身分流程與權限邊界的失效點">Uber 2022 MFA Fatigue</a> 的 lesson：MFA fail 累積 + 新裝置 login + 異常地理三個 signal 加總、單獨任一個都不該 alert。</p>
<p><strong>Cross-tenant federated search</strong>：MSSP / 大型集團多 BU 可在 Google Security Ops 跨多個 tenant 做 federated search、單一 console 看跨組織 detection。權限走 <a href="/blog/backend/07-security-data-protection/vendors/google-cloud-iam/" data-link-title="Google Cloud IAM" data-link-desc="GCP cloud resource permission engine、Role Binding / Service Account / Workload Identity Federation、resource hierarchy 為核心的權限治理">Google Cloud IAM</a> role assignment、跨 tenant admin 是高權限角色、走 break-glass + audit。</p>
<p><strong>Applied Threat Intel + Curated Detection 同步</strong>：Mandiant 揭露新 APT 活動後、Curated Detection 對應 rule 自動 enable + Applied Threat Intel IoC 自動 push、客戶 SOC 不需要手動 onboard。SolarWinds 2020 揭露當下、Mandiant client 是少數能即時 enable 對應 detection 的 SOC。</p>
<p><strong>Siemplify playbook 工程化</strong>：playbook 走 <em>graph-based workflow</em>（不是 linear pipeline）、可以 branching / approval gate / human-in-the-loop。Production rule 走 <em>containment-first</em>（disable session、不 delete account）+ approval gate for irreversible action。</p>
<p><strong>Gemini for Security (2024+)</strong>：LLM-assisted investigation — natural language 問「過去 24hr 哪些 user 有異常 GCP API 行為」直接生成 UDM query、alert 自動 summarize + 提供 next step 建議。不取代 SOC analyst、但縮短 triage time。</p>
<h2 id="排錯與失敗快速判讀">排錯與失敗快速判讀</h2>
<ul>
<li><strong>Custom source ingest 失敗</strong>：UDM parser 沒寫 / 寫錯、source 進不來或欄位 NULL — 補 parser、staging tenant 跑 sanity check、看 UDM event count by source 確認 normalization 通過</li>
<li><strong>Detection 沒觸發 / 漏報</strong>：YARA-L 的 <code>match { }</code> 段 time window 寫太短、或 <code>condition { }</code> threshold 寫太高 — staging tenant 用歷史資料 backtest、tune window / threshold 後 promote</li>
<li><strong>Alert volume 過多</strong>：Curated Detection 全開沒 tune、env-specific noise 沒 disable — 跟 <a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk</a> 一樣走 staging 觀察 false positive curve、tune 或 disable 個別規則</li>
<li><strong>Mandiant threat intel 沒命中</strong>：licensing tier 沒包 Mandiant Advantage、或 enrichment pipeline 沒啟用 — 檢查 tier、確認 Applied Threat Intel 開</li>
<li><strong>Siemplify playbook 黑箱 fire-and-forget</strong>：自動 disable 結果誤殺合法 user — playbook 走 approval gate、預設 containment 不 deletion、定期 dry-run</li>
<li><strong>Cross-tenant admin 太多</strong>：日常運維用 cross-tenant admin、blast radius 太大 — 收 admin、改 tenant-scoped role + 特定 capability、跨 tenant 走 break-glass</li>
<li><strong>Cost 比預期高</strong>：data tier 選錯（買了 Enterprise Plus 卻只用 Enterprise feature）、retention 設太長 — 看實際 ingestion + retention 用量、tier 跟 retention 一起 review</li>
</ul>
<h2 id="何時改走其他服務">何時改走其他服務</h2>
<table>
  <thead>
      <tr>
          <th>需求形狀</th>
          <th>改走</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>Enterprise + 跨 on-prem + detection 成熟</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk</a></td>
      </tr>
      <tr>
          <td>OSS-friendly / 自管 / 預算敏感</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/elastic-security/" data-link-title="Elastic Security" data-link-desc="Elastic Stack 上的 SIEM &#43; EDR &#43; Cloud Security 套件、OSS 起源、KQL/EQL/Lucene/ES|QL 多查詢語言、resource-based pricing">Elastic Security</a></td>
      </tr>
      <tr>
          <td>Cloud-native + observability 已用 Datadog</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/datadog-security/" data-link-title="Datadog Security" data-link-desc="Datadog observability platform 上的 security suite：Cloud SIEM &#43; CSPM &#43; CWS &#43; AAP &#43; Sensitive Data Scanner、跟 observability 同 plane">Datadog Security</a></td>
      </tr>
      <tr>
          <td>DLP / sensitive data discovery</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/google-dlp/" data-link-title="Google DLP" data-link-desc="GCP 原生 Sensitive Data Protection：infoType discovery &#43; transformation (mask / FPE / tokenize / k-anonymity)、整合 BigQuery / GCS / Cloud SQL">Google DLP</a> / <a href="/blog/backend/07-security-data-protection/vendors/microsoft-purview/" data-link-title="Microsoft Purview" data-link-desc="Microsoft 跨 M365 / Azure / endpoint 的 data governance &#43; information protection &#43; DLP &#43; insider risk 統合平台、label-driven">Microsoft Purview</a></td>
      </tr>
      <tr>
          <td>Endpoint detection 為主</td>
          <td>CrowdStrike Falcon / Microsoft Defender for Endpoint</td>
      </tr>
      <tr>
          <td>Incident routing</td>
          <td><a href="/blog/backend/08-incident-response/vendors/" data-link-title="事故處理 Vendor 清單" data-link-desc="規劃 on-call、incident response、status page 與 postmortem 工具的服務頁撰寫順序與判準">8 事故處理 vendor 清單</a></td>
      </tr>
  </tbody>
</table>
<h2 id="不在本頁內的主題">不在本頁內的主題</h2>
<ul>
<li>YARA-L 完整語法 reference、UDM 全欄位 schema</li>
<li>Chronicle / Siemplify / Mandiant 三條產品線整合前的歷史細節</li>
<li>Mandiant Advantage 平台（threat intel 訂閱、跟 SIEM 整合但獨立產品）</li>
<li>VirusTotal（Google 旗下、跟 Mandiant 互補但獨立服務）</li>
<li>Gemini for Security 的 prompt engineering 細節</li>
<li>Google Workspace security center（屬 Google Workspace、不在 Security Ops 範圍）</li>
</ul>
<h2 id="案例回寫">案例回寫</h2>
<p>Google Security Ops 在 07 案例庫沒有直接 vendor-level 事件、但所有 detection-related case 都是 SIEM 偵測覆蓋率的對照：</p>
<table>
  <thead>
      <tr>
          <th>案例</th>
          <th>跟 Google Security Ops 的關係（對照啟示）</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/identity-access/microsoft-storm-0558-2023-signing-key-chain/" data-link-title="7.R7.1.5 Microsoft Storm-0558 2023：簽章金鑰鏈與郵件存取" data-link-desc="從簽章金鑰保護失效到雲端郵件存取，拆解身分信任鏈的關鍵控制點">Microsoft Storm-0558 Signing Key Chain</a></td>
          <td>UDM 強制 normalize 跨 Azure AD / GCP / Okta token validation 欄位、YARA-L 跨 source join 直接表達跨租戶 token forging pattern、Entity Graph 視覺化</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/identity-access/uber-2022-mfa-fatigue/" data-link-title="7.R7.1.1 Uber 2022：MFA 疲勞與內部工具擴散" data-link-desc="從社交工程到內部工具存取，拆解身分流程與權限邊界的失效點">Uber 2022 MFA Fatigue</a></td>
          <td>YARA-L sequence pattern 直接表達「MFA fail count + 新裝置 login」、Risk Score 累積到 threshold 觸發 Siemplify playbook 自動 disable session</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/supply-chain/solarwinds-2020-sunburst/" data-link-title="7.R7.2.1 SolarWinds 2020：更新鏈被濫用" data-link-desc="合法更新流程遭植入後，攻擊者如何長期潛伏與橫向擴散">SolarWinds 2020 Sunburst</a></td>
          <td>Mandiant 揭露 IoC 後 Applied Threat Intel 自動 push、Curated Detection 對應規則自動 enable、客戶不需要手動 onboard rule</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/data-exfiltration/snowflake-2024-credential-abuse/" data-link-title="7.R7.4.2 Snowflake 2024：憑證濫用與資料竊取" data-link-desc="外洩憑證與 MFA 缺口如何在資料平台形成高風險外送事件">Snowflake 2024 Credential Abuse</a></td>
          <td>YARA-L 表達「query 體積 / 跨 schema scan / 來源 IP baseline」三軸 correlation rule；Entity Graph 聚合 credential / IP / data warehouse account 視覺化異常擴散（公開 UNC5537 跨客戶模式屬案例外延伸）</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/blue-team/detection-engineering-lifecycle/" data-link-title="7.B5 Detection Engineering Lifecycle" data-link-desc="把偵測規則視為可維護資產，建立從來源、測試、調校到退場的完整生命週期">Detection Engineering Lifecycle (section)</a></td>
          <td>Curated Detection + 自家 YARA-L rule 走 propose → staging → promote lifecycle、Google Security Ops 內建 rule versioning + Git → API push</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/blue-team/alert-fatigue-and-signal-quality/" data-link-title="7.B10 Alert Fatigue and Signal Quality" data-link-desc="建立告警疲勞治理方法，讓訊號品質、分級一致性與處置效率同步提升">Alert Fatigue and Signal Quality (section)</a></td>
          <td>Risk Score multi-signal aggregation 是 alert fatigue 的工程化解法、跟 Splunk RBA 同類但 risk 傳遞走 Entity Graph、跨 entity 關係更細</td>
      </tr>
  </tbody>
</table>
<h2 id="下一步路由">下一步路由</h2>
<ul>
<li>上游：<a href="/blog/backend/07-security-data-protection/detection-coverage-and-signal-governance/" data-link-title="7.13 偵測覆蓋率與訊號治理" data-link-desc="定義偵測覆蓋、訊號品質與誤報成本的治理問題">7.13 偵測覆蓋率與訊號治理</a>、<a href="/blog/backend/07-security-data-protection/blue-team/detection-engineering-lifecycle/" data-link-title="7.B5 Detection Engineering Lifecycle" data-link-desc="把偵測規則視為可維護資產，建立從來源、測試、調校到退場的完整生命週期">Detection Engineering Lifecycle</a></li>
<li>平行：<a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk</a>、<a href="/blog/backend/07-security-data-protection/vendors/elastic-security/" data-link-title="Elastic Security" data-link-desc="Elastic Stack 上的 SIEM &#43; EDR &#43; Cloud Security 套件、OSS 起源、KQL/EQL/Lucene/ES|QL 多查詢語言、resource-based pricing">Elastic Security</a>、<a href="/blog/backend/07-security-data-protection/vendors/datadog-security/" data-link-title="Datadog Security" data-link-desc="Datadog observability platform 上的 security suite：Cloud SIEM &#43; CSPM &#43; CWS &#43; AAP &#43; Sensitive Data Scanner、跟 observability 同 plane">Datadog Security</a></li>
<li>下游：<a href="/blog/backend/07-security-data-protection/vendors/google-dlp/" data-link-title="Google DLP" data-link-desc="GCP 原生 Sensitive Data Protection：infoType discovery &#43; transformation (mask / FPE / tokenize / k-anonymity)、整合 BigQuery / GCS / Cloud SQL">Google DLP</a> / <a href="/blog/backend/07-security-data-protection/vendors/microsoft-purview/" data-link-title="Microsoft Purview" data-link-desc="Microsoft 跨 M365 / Azure / endpoint 的 data governance &#43; information protection &#43; DLP &#43; insider risk 統合平台、label-driven">Microsoft Purview</a>（DLP signal 進 Google Security Ops）</li>
<li>跨類：<a href="/blog/backend/07-security-data-protection/vendors/google-cloud-iam/" data-link-title="Google Cloud IAM" data-link-desc="GCP cloud resource permission engine、Role Binding / Service Account / Workload Identity Federation、resource hierarchy 為核心的權限治理">Google Cloud IAM</a>（GCP IAM log + Workload Identity Federation）、<a href="/blog/backend/07-security-data-protection/vendors/google-secret-manager/" data-link-title="Google Secret Manager" data-link-desc="GCP 原生 secret store、CMEK &#43; Workload Identity Federation 整合、rotation 走自寫 Cloud Function 而非 built-in Lambda">Google Secret Manager</a>（SOAR playbook 拉 API）、<a href="/blog/backend/07-security-data-protection/vendors/okta/" data-link-title="Okta" data-link-desc="SaaS Identity Provider 主流選項、SSO / MFA / lifecycle 整合、第三方信任邊界的代價">Okta</a>（IdP log source）、<a href="/blog/backend/07-security-data-protection/vendors/cloudflare-waf/" data-link-title="Cloudflare WAF" data-link-desc="Edge WAF &#43; DDoS &#43; Bot management 整合套件、global anycast 網路、控制面信任邊界跟客戶側補強的對照">Cloudflare WAF</a>（WAF log + auto-block）</li>
<li>跨模組：<a href="/blog/backend/08-incident-response/vendors/" data-link-title="事故處理 Vendor 清單" data-link-desc="規劃 on-call、incident response、status page 與 postmortem 工具的服務頁撰寫順序與判準">8 事故處理 vendor 清單</a>（alert → IR routing）、<a href="/blog/backend/04-observability/" data-link-title="模組四：可觀測性平台" data-link-desc="整理 log、metric、trace、dashboard 與 alert 的後端操作實務">4 observability</a>（log pipeline 共用判斷）</li>
<li>官方：<a href="https://cloud.google.com/security/products/security-operations">Google Security Operations Documentation</a></li>
</ul>
]]></content:encoded></item><item><title>MySQL Audit Log + SIEM</title><link>https://tarrragon.github.io/blog/backend/01-database/vendors/mysql/audit-log-siem/</link><pubDate>Fri, 22 May 2026 00:00:00 +0000</pubDate><guid>https://tarrragon.github.io/blog/backend/01-database/vendors/mysql/audit-log-siem/</guid><description>&lt;p>MySQL audit log + SIEM 的核心責任是把資料庫操作事件轉成可查詢、可保留、可告警的安全證據。Audit log 是可調查的行為紀錄；它要回答誰在何時、從哪裡、對哪個資料物件做了什麼，以及是否符合授權流程。&lt;/p>
&lt;p>本文的判讀錨點是：audit logging 要服務於 investigation 與 compliance。Slow query log、general log、binary log、error log、managed service audit log、plugin audit log 各自承擔不同證據，不應混成同一種 log。&lt;/p>
&lt;h2 id="event-taxonomy">Event Taxonomy&lt;/h2>
&lt;p>Event taxonomy 的核心責任是定義要蒐集哪些資料庫事件。&lt;/p>
&lt;table>
 &lt;thead>
 &lt;tr>
 &lt;th>Event 類型&lt;/th>
 &lt;th>目的&lt;/th>
 &lt;/tr>
 &lt;/thead>
 &lt;tbody>
 &lt;tr>
 &lt;td>Login / logout&lt;/td>
 &lt;td>身份與來源追蹤&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Failed access&lt;/td>
 &lt;td>brute force、credential misuse&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>DDL&lt;/td>
 &lt;td>schema 變更與 migration evidence&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>DCL&lt;/td>
 &lt;td>grant / revoke / role 變更&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Sensitive read&lt;/td>
 &lt;td>PII / payment / high-risk table&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Data modification&lt;/td>
 &lt;td>bulk update / delete、admin action&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Replication / backup&lt;/td>
 &lt;td>binlog、backup、restore access&lt;/td>
 &lt;/tr>
 &lt;/tbody>
&lt;/table>
&lt;p>事件分類要對應 alert。DDL 可以進 release audit；failed login 可以進 security alert；sensitive read 要連到 support ticket 或 break-glass 流程。&lt;/p>
&lt;h2 id="log-sources">Log Sources&lt;/h2>
&lt;p>Log sources 的核心責任是選出合適來源。&lt;/p>
&lt;table>
 &lt;thead>
 &lt;tr>
 &lt;th>Source&lt;/th>
 &lt;th>適合用途&lt;/th>
 &lt;th>風險&lt;/th>
 &lt;/tr>
 &lt;/thead>
 &lt;tbody>
 &lt;tr>
 &lt;td>Error log&lt;/td>
 &lt;td>startup、crash、replication error&lt;/td>
 &lt;td>缺少完整 query context&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Slow log&lt;/td>
 &lt;td>performance investigation&lt;/td>
 &lt;td>安全事件覆蓋不足&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>General log&lt;/td>
 &lt;td>debug / short-term tracing&lt;/td>
 &lt;td>volume 大、PII 風險高&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Binary log&lt;/td>
 &lt;td>data change recovery / CDC&lt;/td>
 &lt;td>需要解析、並非 user audit 完整替代&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Audit plugin / managed audit&lt;/td>
 &lt;td>security evidence&lt;/td>
 &lt;td>provider / edition / config 限制&lt;/td>
 &lt;/tr>
 &lt;/tbody>
&lt;/table>
&lt;p>General log 在 production 要謹慎使用。它能提供完整 SQL，但 volume、PII 與成本都高；通常只用短時間 incident window 或測試環境。&lt;/p>
&lt;h2 id="siem-pipeline">SIEM Pipeline&lt;/h2>
&lt;p>SIEM pipeline 的核心責任是把 database event 轉成集中查詢與告警。&lt;/p>
&lt;table>
 &lt;thead>
 &lt;tr>
 &lt;th>Pipeline step&lt;/th>
 &lt;th>內容&lt;/th>
 &lt;/tr>
 &lt;/thead>
 &lt;tbody>
 &lt;tr>
 &lt;td>Collect&lt;/td>
 &lt;td>log file、managed log export、agent&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Normalize&lt;/td>
 &lt;td>actor、source IP、database、object、action&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Mask&lt;/td>
 &lt;td>移除 SQL literal / PII&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Retain&lt;/td>
 &lt;td>retention、legal hold、storage class&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Alert&lt;/td>
 &lt;td>rule、severity、owner、runbook&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Review&lt;/td>
 &lt;td>periodic access review&lt;/td>
 &lt;/tr>
 &lt;/tbody>
&lt;/table>
&lt;p>Normalization 要避免把完整 SQL 直接送進 SIEM。對敏感系統，可保留 query fingerprint、table、operation、row count、actor 與 ticket id，而非 literal value。&lt;/p></description><content:encoded><![CDATA[<p>MySQL audit log + SIEM 的核心責任是把資料庫操作事件轉成可查詢、可保留、可告警的安全證據。Audit log 是可調查的行為紀錄；它要回答誰在何時、從哪裡、對哪個資料物件做了什麼，以及是否符合授權流程。</p>
<p>本文的判讀錨點是：audit logging 要服務於 investigation 與 compliance。Slow query log、general log、binary log、error log、managed service audit log、plugin audit log 各自承擔不同證據，不應混成同一種 log。</p>
<h2 id="event-taxonomy">Event Taxonomy</h2>
<p>Event taxonomy 的核心責任是定義要蒐集哪些資料庫事件。</p>
<table>
  <thead>
      <tr>
          <th>Event 類型</th>
          <th>目的</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>Login / logout</td>
          <td>身份與來源追蹤</td>
      </tr>
      <tr>
          <td>Failed access</td>
          <td>brute force、credential misuse</td>
      </tr>
      <tr>
          <td>DDL</td>
          <td>schema 變更與 migration evidence</td>
      </tr>
      <tr>
          <td>DCL</td>
          <td>grant / revoke / role 變更</td>
      </tr>
      <tr>
          <td>Sensitive read</td>
          <td>PII / payment / high-risk table</td>
      </tr>
      <tr>
          <td>Data modification</td>
          <td>bulk update / delete、admin action</td>
      </tr>
      <tr>
          <td>Replication / backup</td>
          <td>binlog、backup、restore access</td>
      </tr>
  </tbody>
</table>
<p>事件分類要對應 alert。DDL 可以進 release audit；failed login 可以進 security alert；sensitive read 要連到 support ticket 或 break-glass 流程。</p>
<h2 id="log-sources">Log Sources</h2>
<p>Log sources 的核心責任是選出合適來源。</p>
<table>
  <thead>
      <tr>
          <th>Source</th>
          <th>適合用途</th>
          <th>風險</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>Error log</td>
          <td>startup、crash、replication error</td>
          <td>缺少完整 query context</td>
      </tr>
      <tr>
          <td>Slow log</td>
          <td>performance investigation</td>
          <td>安全事件覆蓋不足</td>
      </tr>
      <tr>
          <td>General log</td>
          <td>debug / short-term tracing</td>
          <td>volume 大、PII 風險高</td>
      </tr>
      <tr>
          <td>Binary log</td>
          <td>data change recovery / CDC</td>
          <td>需要解析、並非 user audit 完整替代</td>
      </tr>
      <tr>
          <td>Audit plugin / managed audit</td>
          <td>security evidence</td>
          <td>provider / edition / config 限制</td>
      </tr>
  </tbody>
</table>
<p>General log 在 production 要謹慎使用。它能提供完整 SQL，但 volume、PII 與成本都高；通常只用短時間 incident window 或測試環境。</p>
<h2 id="siem-pipeline">SIEM Pipeline</h2>
<p>SIEM pipeline 的核心責任是把 database event 轉成集中查詢與告警。</p>
<table>
  <thead>
      <tr>
          <th>Pipeline step</th>
          <th>內容</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>Collect</td>
          <td>log file、managed log export、agent</td>
      </tr>
      <tr>
          <td>Normalize</td>
          <td>actor、source IP、database、object、action</td>
      </tr>
      <tr>
          <td>Mask</td>
          <td>移除 SQL literal / PII</td>
      </tr>
      <tr>
          <td>Retain</td>
          <td>retention、legal hold、storage class</td>
      </tr>
      <tr>
          <td>Alert</td>
          <td>rule、severity、owner、runbook</td>
      </tr>
      <tr>
          <td>Review</td>
          <td>periodic access review</td>
      </tr>
  </tbody>
</table>
<p>Normalization 要避免把完整 SQL 直接送進 SIEM。對敏感系統，可保留 query fingerprint、table、operation、row count、actor 與 ticket id，而非 literal value。</p>
<h2 id="alert-rules">Alert Rules</h2>
<p>Alert rules 的核心責任是把高風險事件變成可行動訊號。</p>
<table>
  <thead>
      <tr>
          <th>Rule</th>
          <th>代表風險</th>
          <th>第一反應</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>Admin login outside window</td>
          <td>credential misuse / emergency access</td>
          <td>確認 ticket、限制 session</td>
      </tr>
      <tr>
          <td>Grant / revoke event</td>
          <td>權限邊界變更</td>
          <td>access review</td>
      </tr>
      <tr>
          <td>Drop / truncate table</td>
          <td>destructive DDL</td>
          <td>freeze release、restore decision</td>
      </tr>
      <tr>
          <td>Bulk update / delete</td>
          <td>application bug / misuse</td>
          <td>查 transaction、binlog、backup</td>
      </tr>
      <tr>
          <td>Sensitive table read</td>
          <td>PII exposure</td>
          <td>ticket match、scope review</td>
      </tr>
  </tbody>
</table>
<p>Alert 要有 owner 與 runbook。只把 log 送進 SIEM，缺少 triage rule，incident 時仍然難以快速定位。</p>
<h2 id="retention-and-privacy">Retention and Privacy</h2>
<p>Retention and privacy 的核心責任是讓 audit log 同時可用與合規。Audit log 可能包含帳號、IP、SQL、table name、literal value 與 PII；保存時間越長，保護責任越重。</p>
<p>Retention policy 要定義：</p>
<ol>
<li>保存天數與 storage class。</li>
<li>哪些欄位可被 masked。</li>
<li>誰能查 audit log。</li>
<li>Legal hold 如何覆蓋一般 retention。</li>
<li>Export 到外部 SIEM 的資料邊界。</li>
</ol>
<p>Audit log 本身也要納入 access control。能查敏感 audit 的人，通常也能推斷敏感資料活動。</p>
<h2 id="下一步路由">下一步路由</h2>
<p>Audit log + SIEM 完成後，加密與憑證讀 <a href="../encryption-tls-key-management/">Encryption / TLS / Key Management</a>；備份事故讀 <a href="../pitr-backup/">PITR / Backup</a>；安全治理讀 <a href="/blog/backend/07-security-data-protection/data-protection-and-masking-governance/" data-link-title="7.4 資料保護與遮罩治理" data-link-desc="以問題驅動方式整理資料分級、遮罩、匯出與備份治理">Data Protection</a>。</p>
]]></content:encoded></item></channel></rss>