自2020年底美國公部門接連遭受兩項嚴重資安衝擊。2020年十二月的SolarWinds遭駭事件，SolarWinds為美國系統/網路/IT設施管理軟體的業者，其遭駭的SolarWinds Orion網管監控軟體被置換植入含有惡意程式，卻同時具有SolarWinds公司數位簽章，讓入侵者利用植入Orion的後門成功竊取大量機密資訊。時隔不到四個月，2021年三月Microsoft Exchange Server郵件伺服器被爆出4項零時差漏洞（CVE-2021-26855、CVE-2021-26857、CVE-2021-26858及CVE-2021-27065），可供駭客入侵企業內郵件系統，一旦成功駭入Exchange環境就會植入web shell程式，進而執行任意程式碼。這種網頁程式有如後門，讓駭客得以長期從遠端控制受害組織的Exchange Server，包括竊取資訊、執行任意程式碼、或在組織內部網路橫向移動。

    SolarWinds與Microsoft兩家企業提供美國政府大量的軟體服務，全美因這兩起事件而遭受資安威脅的機關數量繁多。私部門當然也難逃這波受駭浪潮。美國政府為這兩起為害甚重大規模資安事件分別組織[跨部門協調小組]()進行調查。然而調查人員對美國政府問責署(Government Accountability Office)的回報，因機關的日誌保存機制與能量的不一致拖慢事件調查的過程。[有些機關保存資料達90天甚至是180天，有些則為完全無保存。]()缺少日誌的收容除了阻礙事件證據蒐集之外，也讓機關無法建構正常基準線，無法偵查偏離基準線的異常行為。美國行政管理和預算局（Office of Management and Budge）代理局長說：「美國聯邦資訊系統的日誌保存，對於網路威脅的偵測、調查以及修復，起著至關重要的效果。」

    2021年五月，美國總統拜登政府發佈特別命令( Executive Order) [EO 14028]，主旨在改善美國國家網路安全，要求美國行政機構要隨著現今的威脅環境與時俱進。美國行政管理和預算局於同年8月29號發表依照EO 14028第八節所制定的備忘錄 [M-21-31]。該備忘錄建立事件日誌管理的成熟性模型（maturity model for event log management），提供行政機構執行要求及細節。

    當進入實際執行面，行政機構對資安要求的達成無法一蹴可幾。層級高、預算充沛的機關或許已有良好的資安要求達成性，然而預算短缺的機關在資安的投入較為不足。在這種情況下，機關的日誌收容完整性並非在同一基準線。儘管如此，美國政府希望行政機關可以提昇日誌收容的完整性到同一水平線。M-21—31提出四個階層，由簡易的評估開始來達成資安日誌收容的完整性。每個階層給予完成的時限，而工作安排則由機關自行調配進而在時限內達成階層內的工作。

M-21-31事件記錄階層 資料來源：自行繪圖

     M-21-31所提出的事件日誌成熟性模型由四個事件記錄階層（event logging tiers）所構成，分別為EL0、EL1、EL2以及EL3。

     EL0是在評估階段，根據備忘錄評量必須要在60天之內完成，檢查機構環境目前在資安日誌收容的符合性以及在目前的狀態之下若遭受資安攻擊會帶來的衝擊。

     EL1要求各機構達到基本日誌保存、跨日誌的時間戳記正確性、是否做到Passive DNS來降低網路攻擊。事件日誌有否正確回傳，讓管理員可以收到正確的資訊並妥善保存。機構是否有計畫要導入SOAR（Security, Orchestration, Automation, and Response）或是UBA(User Behavioral Analystic)平台。日誌是否有妥善的被統一儲存與管理。機構必須在一年之內達到該成熟度層級。

    EL2點出對於網路加密封包的檢視的重視。當機構能使用主動式Proxy來進行全封包檢視，則需妥善保存，留存3天內的資料。要是機構無法進行全封包檢視，則必須要萃取封包的元數據（metadata）留存。美國政府期待各個機構能遵循使用最小權限的Zero-Turst的原則以減少被攻擊面。在備忘錄發出的18個月之內必須達到EL2的層級。

    在最後的日誌收容層級EL3，機關被要求兩年之內必須完成容器（container）安全性管理並與SIEM結合做監控。並完成SOAR與UBA的導入。需要在備忘錄發佈後兩年完成。日誌的儲存需要有效的保存及監看，由EL1規範由單一機關的SOC所監看，到EL3需要可由管轄單位監看以達跨機構事件關連。

  由備忘錄的要求得知美國政府建議日誌收容都需長時間的保留，現行日誌的保存期限為12個月，冷日誌（cold data）則需保留18個月。因其網路封包量過於巨大，機關網路封包的無法長時間留存，只需保存72小時以供資安事件處理使用。

    因應M-21-31的規範，**PacketX**所提供的**以網路能見度技術優化網路安全防禦機制Grism的**三種特性**，**可加速企業達成事件日誌管理的成熟性：

1. **網路封包留存。**企業若有足夠的日誌留存系統可採用全封包側錄（full packet capture）保存完整日誌，提供日後採證完整性；抑或轉化成netflow以達到日後軌跡追蹤。網路攻擊鏈（Cyber Kill Chain）說明當駭客潛入企業內部後，便伺機而動探索環境進行橫向移動，以前往目標機器。當企業得知被內部遭受攻擊，得啟動事件處理程序進行調查來降低損害。根據美國NIST建議的事件回應生命週期，在第二階段－偵測與分析原因及第三階段－封鎖移除與復原的施行，有封包分析的輔助可掌握駭客於企業內流竄的的軌跡，資安人員便可由流竄軌跡進行災害控制、主機復原以及入侵點補強。缺少封包分析的事件處理猶如頭痛醫頭、腳痛醫腳，並未清消所有受感染之機器，企業內依然存在駭客所留的後門，，駭客隨時可由此後門進入企業內網，這將難以防範駭客的二次進攻。網路封包留存的需求列於備忘錄16、39頁。

美國國家標準技術研究所（NIST）為資安事件回應生命週期（Incident Response Life Cycle）資料來源：nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf

1. 日誌資料減量。企業為完整監控流量而設了多個流量複製點(TAP/Switch mirror)以消除資安盲點，部分封包因而複製多次，造成後端安全與效能分析設備負荷加重，Grism梳理不同網路交換器所收到的流量，移除重複封包達成日誌儲存減量，提高有效儲存率、降低收容設備建置成本，增加日誌存放天數，需求列於備忘錄13頁至44頁。

2. DNS資料留存。Grism可由網路流量直接抓取DNS查詢封包轉化為查詢記錄。內建惡意網域IoC名單，搭配篩檢機制主動過濾惡意網站DNS查詢封包，含釣魚網站、詐騙網站，降低企業內部感染風險。這種方式就類似在DNS伺服器上面設置RPZ（Response Policy Zones）的作法，並且可涵蓋連線設備的DNS查詢位址並未設置為企業內部伺服器的狀況，特別是BYOD的設備容易規避組織安全政策－DNS查詢設置於外部DNS伺服器。

   協助組織建立Passive DNS機制，相對於DNS的查詢，Passive DNS蒐集過往網域查詢記錄匯入資料庫。為儲存公共DNS通訊中涉及到的所有域名、伺服器和IP地址相關的所有歷史記錄的安全資料庫，將實時DNS結果轉化為歷史DNS資料，透過對Passive DNS資料庫的查詢可減緩網域威脅行為，以下舉出兩例可由Passive DNS來抑止的惡意行為(1)Fast Flux行為－駭客於DNS Resource Record(RR)上設定非常短的TTL，並以特定的方式於一群IP中做替換，讓同一個域名可連往多個不同IP以躲避資安人員的追查。(2)惡意NRDs（New Registered Domains）－駭客註冊大量新網域，並把以這些新註冊網域當成免洗網域－用過就拋棄，常被當做釣魚網站、惡意中繼站使用。此需求列於備忘錄15、16頁。

Packetx GRISM網路能見度平台 資料來源：自行繪圖