SIEM چیست؟

آشنایی با SIEM 

     مدیریت امنیت اطلاعات و وقایع (SIEM) فن آوری جدیدی است که می­تواند تمام سیستم­های شما را به هم متصل کند و به شما یک دیدگاه جامع از امنیت اطلاعات ارائه دهد. امنیت فناوری اطلاعات معمولا از چند فن­آوری مختلف تشکیل شده است ( فایروال ها، پیشگیری از نفوذ، حفاظت از پایانه ها، اطلاعات تهدید و …) که برای حفاظت از شبکه و داده­های سازمان از هکرها و سایر تهدیدات همکاری می­کنند. با این وجود اتصال همه این سیستم­های متفرقه چالشی دیگر است و در اینجا است که SIEM می تواند کمک کند. سیستم SIEM مدیریت و تشخیص ورودی­های امنیتی را از انواع دستگاه­ها انجام می­دهد و از طیف وسیعی از توابع، از جمله تهدیدهای پنهان، از رخدادها قبل از وقوع آنها، شناسایی رخدادهای امنیتی و ارائه اطلاعات قانونی برای تعیین اینکه یک حادثه امنیتی رخ داده است و همچنین تاثیر احتمالی، جلوگیری می­کند.

بمنظور دریافت مشاوره و راه اندازی راهکارهای SIEM ، با کارشناسان ما تماس بگیرید

هر سازمان باید با توجه به نیاز خود به تهیه ابزارهای کاربردی اقدام نماید. اما آنچه مهم است این نکته است که امروزه سامانه­های SIEM به قدری توانمند شده­اند که علاوه بر اینکه بخش Log Management را بصورت یک ماژول مستقل در دل خود دارند بلکه فارغ از اندازه سازمان قابلیت بکارگیری دارند. همینطور نیاز ایجاد و بکارگیری مراکز عملیات امنیت (SOC) بکارگیری سامانه­های SIEM را کاملا توجیه­پذیر می­نماید. شرکتهای مختلفی محصولاتی را در زمینه SIEM  ارئه داده­اند که از اصلی­ترین و پرکاربردترین آنها میتوان به IBM Qradar, HP ArcSight و Splunk Enterprise  اشاره کرد. تمرکز ما بر روی اقتصادی ترین و کاملترین این محصولات یعنی Splunk Enterprise  می­باشد. 

SIEM چیست؟ (Security Information and Event Management)

 Security Information and Event Management SIEM توانایی جمع­آوری ، آنالیز و گزارشگیری اطلاعات ­log  های تجهیزات امنیتی ، هاست­ها ، سرور­ها ، نرم­افزارها و … را دارد و تمامی این فعالیت­ها را انجام می­دهد. همچنین برخی از­SIEM  ها امکان متوقف کردن حملات شناسایی شده را دارند که به صورت چشم­گیری باعث کاهش صدمات و مصرف منابع می­شود. SIEM ها تکنولوژی پیچیده­ای هستند که نیازمند یکپارچگی با تجهیزات امنیتی و هاست­های شبکه سازمان را دارد.

مدیریت امنیت اطلاعات و وقایع (SIEM) ترکیبی از مدیریت امنیت اطلاعات (SIM) و مدیریت وقایع (SEM) می­باشد که یکپارچه شده است و بصورت شماتیک می­توان نشان داد که تمام  توانایی­های SEM و SIM را دارد.

توانایی ­های استفاده از  SIEMدر سازمان

با بزرگ شدن و چندوجهی شدن فعالیت­های سازمان­ها، نیاز به داشتن SIEM، مهمتر از قبل  بیشتر احساس می­شود. مهم­ترین عملکرد­های SIEM که به عنوان توانایی­های این محصول می­توان اشاره کرد در ادامه مطرح می­شود که سازمانها با توجه به نیازهای خود می­توانند از این توانایی­ها در جهت رفع مشکلات اقدام نمایند:

  • مطابقت با مقررات از طریق جمع­آوری و آنالیز داده­های ورودی. تمام سازمانها می­بایست خود را با مقررات مختلف تطبیق دهند. این کار با دراختیار داشتن SIEM فراهم می­شود.
  • پشتیبانی از عملیات در تیم­های مختلف سازمان با رویکرد جمع­آوری، بررسی اطلاعات و اطلاع رسانی
  • شناسایی تهدید­ها و مقابله با آنها با رویکرد انتخاب و تشخیص بهترین راه حل
  • جمع­آوری و بررسی شواهد قانونی[۱] از منابع مختلف سازمان
  • مدیریت لاگ و گزارش گیری، ارتباط دهی با داده­ها و پشتیبانی برای گزارشهای تطبیقی

موارد تضعیف عملکرد SIEM

همانطور که توانایی­های عملکرد یک SIEM مطرح گردید، مواردی هم وجود دارد که می­تواند باعث تضعیف عملکرد یک SIEM در سازمان گردد و یا در روند آن خلل ایجاد نماید. در ادامه به برخی از این موارد اشاره خواهد شد:

  • جمع­آوری ناقص اطلاعات و حجم زیاد اطلاعات و منابع محدود
  • تغییرات رفتار­های کاربران و واکنش در برابر تغییرات جدید در سازمان
  • افزایش دستگاه­ها و برنامه­ها در سازمان
  • مدیریت سیستم­های مانیتورینگ
  • پیچیدگی افزایشی تهدید­های امنیتی
  • ناتوانی در درک داده­ها

گام های اصلی در پیاده سازی SIEM 

گام اول: تعیین دلیل نیاز به SIEM 

چه الزام سازمان بالادستی شما باشد و یا نگاه مثبت سازمانتان، برای استفاده از SIEM باید به این نکته توجه شود که SIEM تنها زمانی کاربردی خواهد بود که قبل از پیاده­سازی، تمامی یا بخشی از     use case ها و سناریو­های امنیتی خود را بررسی و شناسایی کرده باشید و به این نتیجه رسیده باشید که چه نیاز­هایی از امنیت شما را بابستی SIEM برآورده کند؟

گام دوم: داده­های مورد نیاز

شما مشخص می­کنید که با استفاده از تحلیل چه داده­هایی به اهداف امنیتی خود می­رسید؟ بررسی نیاز به یک محصول Real-time یا Offline انجام شود.

گام سوم: نیازمندی­های Correlation

مورد نیاز ما چیست و چه بخشی از رخداد­های امنیتی ما را شناسایی می­کند.

شاید شما پس از دادن جواب این سوال­ها به نتیجه برسید که یک محصول مدیریت لاگ هم پاسخگوی نیاز­تان باشد. یا اینکه من احتیاج به یک محصول بسیار پیشرفته دارم که نیاز من را برآورده کند.

انتخاب SIEM برای سازمان

برای انتخاب SIEM برای سازمان، نخست می­بایست به مشخص کردن معیارهای ارزیابی سازمان پرداخت. انتخاب SIEM به شرایط سازمان باز می­گردد. توجه به تمام معیارهای سازمان از ابتدای راه­اندازی، شخصی سازی، گسترش و تا انتهای پیاده سازی و استفاده و کاربری SIEM ضروری است. در این صورت است که می توانید بهترین انتخاب را داشته باشید.

هزینه های  SIEM

هزینه های SIEM به چند عامل اصلی برمی­گردد:

  • قابلیت­ های SIEM:

بخش قابلیت­ها به امکانات SIEM مرتبط می­شود با برخی از SIEM ها سولوشن­هایی تحت عنوان light دارند که مدیریت و گزارشگیری log ها را به صورت basic ارائه می­دهند و تکنیک­های پیشرفته آنالیز و دیگر قابلیت­هایی که SIEM پشتیبانی می­کند را شامل      نمی­شود. راه­حل­های light به صورت قابل ملاحظه­ای نبست به سایر SIEM ها ارزان­تر و حتی رایگان هستند.

  • نحوه پیاده سازی SIEM:

برخی از SIEM ها نیاز به خریداری سخت­افزار و نرم­افزار دارند. علاوه بر هزینهSIEM ، هزینه­های جانبی نیز می­­تواند وجود داشته باشد. به طور مثال SIEM ها می­توانند از threat intelligence feeds استفاده کنند و باعث می­شود اطلاعات بروز تهدیدات امنیتی را در اختیار داشته باشد. استفاده از این سرویس­ها نیاز به پرداخت هزینه دارد.

  • سفارشی کردن SIEM

این بخش برای تغییر فرمت log هایی که SIEM نمی­تواند آنها درک کند می­تواند      هزینه­هایی را به سازمان تحمیل کند.

  • مدیریت SIEM

هزینه دیگری که برای SIEM می توان در نظر گرفت بحث مدیریت آن است SIEM ها نیاز دارند که به صورت مرتب تنظیم و براساس نیازهای سازمان شخصی سازی شوند.

معماری SIEM

از نکات مهم در رابطه با معماری SIEM انتخاب چگونگی ارسال log از مبدا به SIEM است که برای این مهم، دو روش اصلی وجود داد:

 Agent-based: در این روش، نرم­افزار agent روی هر هاست که log تولید می­کند نصب می­شود و وظیفه استخراج، پردازش و ارسال اطلاعات از هاست به سرور SIEM را دارد.

Agentless: این روش ارسال به این صورت است که اطلاعات log ها بدون Agent انجام می­گیرد و هاست به صورت مستقیم log ها را به SIEM ارسال می­کند یا از طریق یک سرور logging واسط مانند syslog server اینکار را انجام می­دهد.

کاربردهای SIEM  

کاربردهای SIEM را می توان در سه حوزه بیان کرد:

  • Security detectiveو investigative: این حوزه بر روی شناسایی و واکنش ( در واقع پاسخ به حملات)، نفوذ بدافزار­ها، دسترسی غیر مجاز به داده­ها و اطلاعات  و سایر مسائل امنیتی تمرکز دارد.
  • Compliance regulatoryو policy : تمرکز این قسمت بر روی  قوانین و سیاست­های مورد نیاز و همچنین احکام تعیین شده در سازمان­ها می­باشد.
  • System & Network troubleshooting Operation – Normal Operation: این حوزه اغلب بر روی مدیریت log ها تمرکز دارد و با بررسی و یافتن مشکلات سیستم، بمنظور امکان دسترس­پذیری سیستم­ها و برنامه­های کاربردی در صدد رفع این مشکلات  بر­می­ آید.

 

  

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *