SIEM چیست و چگونه کار می کند؟
کلمه SIEM مخفف عبارت Security Information and Event Management به معنای راهکارهای امنیت اطلاعات و مدیریت رویدادها میباشد و از دو بخش، مدیریت امنیت اطلاعات (SIM) و مدیریت رویداد (SEM) تشیکل شده است. این اصطلاح نخستین بار توسط مارک نیکولت و امریت ویلیامز در سال ۲۰۰۵ با تکمیل یک گزارش تحقیقاتی برای شرکت گارتر ابداع شد.
فناوری SIEM دادههای ورودی سیستم، هشدارهای امنیتی و رویدادها را در یک پلتفرم متمرکز جمع میکند تا تجزیه و تحلیل زمان واقعی برای نظارت بر امنیت را ارائه دهد. به همین دلیل مراکز عملیاتی امنیتی (SOCs) در نرم افزار SIEM سرمایه گذاری کرده است تا کار و عملکرد خودر را در سازمان ساده کنند و دادهها را برای پاسخ به حوادث در برابر حملات سایبری و نقض دادهها بررسی کنند.
SIEM چگونه کار می کند؟
نرم افزار SIEM با جمع آوری دادهها و رویداد تولید شده از برنامهها، دستگاهها، شبکهها، زیرساختها و سیستمها به منظور تجزیه و تحلیل و ارائه یک دید کلی از فناوری اطلاعات سازمان (IT) کار میکند.
راه حلهای SIEM میتوانند در محیطهای داخلی یا محیطهای ابری قرار گیرند. با تجزیه و تحلیل همه دادهها در زمان واقعی، راه حلهای SIEM از قوانین و همبستگیهای آماری برای پیشبرد بینش عملی در طول تحقیقات قانونی استفاده میکند. فناوری SIEM تمام دادهها را بررسی می کند و فعالیتهای تهدید را بر اساس سطح خطر طبقه بندی میکند تا به تیمهای امنیتی در شناسایی عوامل مخرب و کاهش سریع حملات سایبری کمک کند.
کاربرد SIEM
اولین و ابتداییترین کاربرد SIEM متمرکز ساختن Notification یا اعلانهای امنیتی از تکنولوژیهای مختلف امنیتی به کار رفته در سازمانها مثل فایروالها، سیستمهای IDS/IPS و آنتی ویروسها و.. میباشد.
نقاط دستیابی وایرلس یا همان Access Pointها و همینطور سرورهای Active Directory همگی روزانه هشدارهای امنیتی زیادی را ایجاد میکنند. SIEM می تواند تمامی این موارد را با یک مجموعه از گزارشات و یک سیستم متمرکز شده برای ایجاد Notificationها در یک مکان جمع آوری کرده وبه کار بگیرید که به این راهکار، راهکار تجمیع Logها میگویند.
دومین کاربرد اصلی SIEM فراهم کردن loging و گزارش گیری برای اهداف تطبیق پذیر میباشد.
تقریبا به ازای هر یک از مقررات تطبیق پذیری، الزاماتی برای Log کردن دسترسی کاربر، ردیابی تغییرات سیستم و مانیتور کردن پایبندی به سیاستهای سازمانی وجود دارد.
راهکار SIEM میتواند این taskها را بسیار آسانتر کند و این کار را با جمع آوری داده از تمامی سیستمهای شما انجام میدهد. وقتی زمان ممیزی یا امتحان برسد شما میتوانید به سادگی گزارشات تطبیق پذیری مناسبی را ایجاد کنید و آنها را به افراد مناسب ارسال کنید.
سومین کاربرد SIEM که از مهمترین کاربرد آن میباشد همبستگی متقابل یا Cross-Correlation و تجزیه و تحلیل خودکارسازی شده از تمامی Logهای رخداد خام از سرتاسر شبکه شما است.
زمانی که SIEMها به دنبال مشکلات مختلف امنیت سایبری میگردند در حالت عادی کسی متوجه آنها نمیشود. و این کار را با جمع آوری داده از چندین منبع متفاوت انجام میشود. برای انجام این فرایند و همبستگی و تجزیه و تحلیل، آوردن Logهای امنیتی به SIEM بسیار مهم است.
عملکرد SIEM
فرض کنید SIEM شما یک هشدار از IDS دریافت میکند و به شما میگوید که یک حمله SQL Injection را در یکی از سرورهای شما شناسایی نموده است. خوب این یک اعلان نگران کننده است اینها هشدارهایی هستند که ممکن است نیمه شب شما را از خواب بیدار کنند البته با فرض اینکه SQL Server داشته باشید. بسیاری از SIEMها نوع سروری که اجرا میکنید را مدنظر قرار نمیدهند که همین کار باعث بروز خطاهای زیادی در اعلام هشدار میشود و این خطاها عملا SIEM شما را بی فایده میکنند.
در مقابل راهکار SIEM حقیقی، پیکربندی کامل، برنامههای کاربردی در حال اجرا و اطلاعات دیگر را از تمام دستگاههای دیگر دریافت میکند تا به اعلانها و Notificationها اضافه کند. این راهکار به SIEM این توانایی را میدهد که متوجه تغییرات دستگاهها، مانند روترها، و فایروالها شود و در صورت رخ دادن تغییرات غیر مجاز Notification ایجاد کند.
یک راهکار کامل همچنین Feedهای هوش تهدیدات، لیستهای سیاه و دادههای معین شده موقعیت فیزیکی را با هم ترکیب میکند تا دقت عمل را بیش از پیش افزایش دهد و اطمینان حاصل گردد که Notificationها عملی هستند و خطاها در اعلام هشدار به طور چشمگیری کاهش مییابد.
ضرورت SIEM
اکثر بدافزارها و دیگر ابزارهای متداول هکرها دارای رمزگذاری Built-in هستند تا از این سیستمها عبور کنند.
با وجود اینکه، اینها راهکارهایی عالی برای نیازهای خاص هستند. قطعا نیاز به SIEM را از بین نبرده و حتی آن را کاهش هم نمیدهند.
دلایل بسیار زیادی برای داشتن یک SIEM وجود دارد. اول از همه برای از بین بردن نقاط کور باید تمامی اطلاعات امنیتی و رخدادهای خود را در یک مکان واحد جمع آوری کرد و باید بتوانید بدون اینکه توسط اعلام هشدار درگیر خطا شوید، رفتارهای مشکوک را شناسایی کنید.
تجزیه و تحلیل دقیق و همبستگی، به شما این توانایی را میدهد که پیش از اینکه این مشکلات تبدیل به نقض امینتی شوند، آنها را شناسایی کنید. قابلیت دید جامع از طریق یک SIEM به شما این توانایی را میدهد که سیاستهای سازمانی را مانتیور و اعمال نمایید.در نهایت، الزامات مبتنی بر مقررات، از جمله PCI و HIPAA و FFIEC عملا از شما می خواهند که SIEM را در سازمان و یا اداره خود داشته باشید.
مزایای فناوری SIEM
- تشخیص در زمان واقعی در سراسر محیط
- راه حل مدیریت مرکزی برای سیستم های مختلف و داده های ورود به سیستم
- هشدارهای مثبت کاذب کمتر
- کاهش متوسط زمان تشخیص (MTTD) و زمان متوسط پاسخ (MTTR)
- جمع آوری و عادی سازی دادهها برای تجزیه و تحلیل دقیق و قابل اعتماد
- دسترسی آسان و جستجو در دادههای خام و تجزیه شده
- قابلیت نقشه برداری عملیات با چارچوب های موجود مانند MITER ATT & CK
- تضمین رعایت انطباق با قابلیت مشاهده در زمان واقعی و ماژولهای سازگاری از پیش ساخته شده
- داشبورد سفارشی و گزارش موثر
چگونه می توان از SIEM بیشترین بهره را برد؟
از تیمهای کوچک SOC گرفته تا بخشهای بزرگ IT جهانی ، سازمانها از راهحل های SIEM برای ساده سازی تشخیص تهدید و پاسخ به آنها برای کاهش ریسک برای تجارت استفاده میکنند. با این حال، بسیاری از فن آوریهای SIEM منابع زیادی را در بر میگیرد و برای پیاده سازی و مدیریت یا تقویت خدمات برای پشتیبانی و آموزش به کارکنان مجرب نیاز دارد.
قبل از سرمایه گذاری در SIEM، الزامات تجاری خود را جمع آوری کرده و اوراق بهادار خود را ارزیابی کنید.
در نهایت با توجه به پیشرفت روز افزون در حوزه فناوری و امنیت اطلاعات نتیجه میگیریم SIEM ابزاری است که با بهترین راهکارها و تطبیق پذیری مبتنی بر مقررات مورد نیاز همه سازمانها و ارگانهایی که زیرساخت آنها با نرم افزار و فناوری اطلاعات IT بنا شده است آمیخته شده و بسیاری از شرکتها دارای اطلاعات امنیتی و نظارت بر رویدادها (SIEM) هستند تا امنیت فناوری اطلاعات خود را ارتقا یابند.
به لطف رابط کاربری جدید SIEM، راهکارهای G DATA نیز میتوانند ادغام شوند و اکنون G DATA Business Solutions 15.1 در دسترس است و شرکتهایی که دارای این نرم افزار معتبر هستند، میتوانند به صورت رایگان ارتقا یابند.
منبع: searchsecurity
مقاله فوق را به رایگان دانلود کنید
لطفا جهت مشاوره در انتخاب آنتی ویروس مناسب خود با این شماره 09224971053 تماس بگیرید.
مارو در شبکه های اجتماعی خودتان به اشتراک بگذارید.