بررسی ArcSight تولید شرکت HP جهت پیاده سازی زیر ساخت SOC

بررسی ArcSight تولید شرکت HP جهت پیاده سازی زیر ساخت SOC

ArcSight محصول شرکت HP یک محصول قابل اطمینان است که بطور گسترده در سطح جهان پیاده­سازی شده است. ArcSight پلت­فرم مانیتورینگ امنیتی متمرکز را برای سازمان به ارمغان می­آورد. این شرکت با ارائه یک مجموعه محصول یکپارچه برای جمع­آوری و ارزیابی اطلاعات امنیتی و ریسک به پیاده­سازی SOC در سازمان کمک می­کند. شکل مفهومی زیر یکپارچه­سازی این راه­حل را برای ایجاد نظارت امنیتی کلی سازمان را نشان می­دهد.

Arcsight

همانطور که اشاره شد، رخدادهای امنیتی در پایینترین سطح توسط منابع تولید رخداد مثل ابزارهای شبکه­ای، ابزارهای امنیتی، دسترسی­های دسترسی، و منابعی از این دست تولید می­شوند، و توسط connectorهای سیستم جمع­آوری و نرمال­سازی و سپس یکپارچه­سازی (فرمت­بندی رخدادها در یک قالب یکسان) می­شوند. سپس این مجموعه رخدادها در قالب logها و alertها در یک سطح بالاتر توسط ماژولهایی مثل ArcSight logger و یا ArcSight ESM وارد پروسه­ی همبستگی (correlation)  و خوشه­بندی (clustering) برای بررسی وجود ارتباطات بین alert ها و مراحل مختلف حمله می­شوند. در این مرحله اطلاعات آماری نیز از مجموعه رخدادها گرفته شده و در قالب گزارشات متعدد و در سطوح مختلف به سرپرست سیستم ارائه می­دهد.

جریان لایه­هایIntegration & Core Engine

 

ArcSight2

 

در شکل بالا موتور correlation یک سیستم SIEM نمایش داده شده است. وظیفه این موتور بررسی وجود ارتباط بین تهدیدات و رخدادها گزارشی توسط سیستم است. همچنین این موتور مجموعه رخدادهای تکراری و افزونه در سیستم را حذف می­کند و یک گزارش خلاصه، سطح بالا و قابل فهم به کابر می­دهد. ArcSight ESM، یک موتور برای همبستگی رخدادها را ارئه می­دهد. ESM از انواع مختلف تکنیکهای پیچیده­ی آماری و  knowledge-based برای وارسی میلیونها رخداد برای یافتن وقایع و تهدیداتی که می­توانند منجر به ضربه خوردن به کسب و کار شوند استفاده می­کند.

ArcSight3

لایه Integration

این لایه خود دارای ۴ زیر لایه است:

  • Event Extraction Layer: وظیفه گردآوری رخدادها از ابزارهای مختلف را به عهده دارد،
  • Normalization Layer: وظیفه نرمال­سازی داده­ها برای ذخیره­­ساز را بعهده دارد،
  • Categorization Layer: وظیفه دسته­بندی رخدادها بر اساس نوع و اولویت را بعهده دارد،
  • Delivery Layer: تحویل اطلاعات دریافتی به سیستم correlation بصورت امن، مورد اعتماد و بهینه.

AecSight4

گردآوری داده­ها به دوصورت می­تواند انجام گیرد: در روش Agent-based  نرم­افزار درایور مربوط به connector روی منبع تولید هشدار نصب شده و بصورت خودوختار اطلاعات را ارسال می­کند. عیب این روش بار اضافی است که ممکن است بر روی منبع تولید هشدار ایجاد شود. روش دوم روش Agentless می­باشد که نیازی به نصب درایور روی منبع تولید هشدار نیست و connectorها از طریق روشهای آمارگیری اقدام به جمع­آوری اطلاعات می­کند.

ArcSight5

Log Management

در بالای لایه integration لایه­ی مدیریت log قرار دارد. پس از جمع آوری رخدادهای امنیتی و رخدادهای مربوط به شبکه و سیستمها، آنها باید به یک روش یکپارچه و با کارایی بالا ذخیره­سازی و مدیریت شوند. همچنین باید امکان استفاده از انواع ابزارهای ذخیره­سازی برای هدف scalability نیز میسر باشد. استفاده از روشهای هوشمند و کارا برای ذخیره­سازی رخدادها امکان مدیریت بهتر و بازیابی موثر داده­ها را می­دهد.

 

ArcSight6

 

این روش ذخیره سازی امکانات زیر را فراهم می­آورد:

  • در دسترس بودن بیشترین داده­ی online در لحظه برای گزارش­گیری و هشداردهی مستمر
  • آرشیو اتوماتیک رخدادها
  • آنالیز داده­ها از طریق ابزاهای زخیره سازی داخلی (onboard) و خارجی (SAN storage)
  • کنترل­های دسترسی role-based در سطوح مختلف
  • اعمال خودکار سیاست­های نگهداری متفاوت

Correlation

پروسه­ی correlation شامل اقداماتی برای یافتن ارتباطات بین رخدادهای ارسالی از انواع منابع تولید هشدار است. این پروسه شامل دسته­بندی هشدارها، cluster کردن آنها، یافتن ارتباطات علت و معلولی بین رخدادها، اولویت بندی رخدادها و حذف نویز و اعمال قوانین و سیاست­ها می­باشد. بخش مهم پروسه­ی correlation آنالیز real time رخدادها می­باشد.

ArcSight7

شکل زیر مدل مفهومی پروسه correlation است. رخدادها ابتدا در قالب دسته­بندی­های مختلف، بر اساس مدل شبکه و اعمال اولویت­بندی­های خاص مرتب می­شوند، سپس فیلتر­ها و قوانین مختلف روی آنها اعمال می­شود که بسته به شرایط شبکه و سیاستهای موجود در آن متفاوت است.

ArcSight8

 

بر این اساس پروسه correlation یک دید خلاصه، سطح بالا و دارای نظم و ساختار از رخدادها را ارائه می­دهد که در این گزارش ارتباطات بین رخدادها و روابط علت و معلولی بین آنها بازیابی می­شود. این پروسه همچنین شامل فرآیند pattern discovery نیز هست، که می­تواند در یک دوره زمانی خاص الگوی حملات مورد نظر را بازیابی کند. این روشها بر اساس الگوریتمهای آماری و نیز روشهای مبتنی بر هوش مصنوعی مثل شبکه­های عصبی کار می­کنند و می­توانند تخمینی از آینده وضعیت امنیتی شبکه نیز داشته باشند.

نویسنده: مهندس محمد آجورلو

 

برگرفته از وب سایت تخصصی ادمین پرو   https://www.adminpro.ir

لینک مستقیم مقاله  https://goo.gl/c5jYgs

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *