امنیت

SIEM به زبان ساده – بخش نخست

SIEM از آن دست عبارت هایی است که ممکن است برای بسیاری ترسناک به نظر برسد.  در نمایشگاه الکامپ امسال هم در کاتالوگ بسیاری از شرکت های مشهور و مهم نام این محصول به چشم می خورد. اما اگر توضیحات آن ها را بخوانید متوجه می شوید که بسیاری از جمله های استفاده شده در این تبلیغات ، احتمالا ترجمه یک مترجم نا آشنا با دنیای آی تی می باشد که کلمه به کلمه از متن اصلی به فارسی برگردانده شده است. اگرچه شکی نیست که در بیشتر شرکت های مذکور کارشناسان مربوطه دقیقا می دانند که SIEM چیست و آن را در محیط های Enterprise بسیاری پیاده سازی نموده اند و اگر صرفا به خواندن برشورهای تبلیغاتی اکتفا نکنید و چند دقیقه ای با کارشناسانی که در غرفه ها حضور دارند صحبت کنید ، خواهید دید که تجربه های آن ها مانند نوشته های کاتالوگ شان نیست.

SIEM تاپیک های بسیاری را شامل می شود. معمولا زمانی که این عبارت را می شنویم ، سیستم های مختلفی به ذهن ما خطور می کنند. از جمله مشهورترین این سیستم ها می توان از  SLM/LMS ، SIM ، SEM ، SEC نام برد. البته اگر تعریف SIEM را در وب سایت Wikipedia بخوانید ، آن را به عنوان تلفیقی از SEM و SIM تعریف نموده است. SIEM مخفف Security Information and Event Management به معنای مدیریت رویدادها و اطلاعات امنیتی می باشد. بنابراین هر راهکار SIEM شامل ابزارهایی برای جمع آوری ، ثبت ، نگه داری و آنالیز رویدادهای امنیتی است. در ابتدا به بخش های مختلف یک SIEM نگاهی خواهیم داشت.

LMS : مخفف Log Management System است. “سیستم مدیریت لاگ ها” فایل های لاگ را ( مثل Syslog ) از سیستم عامل ها ، برنامه ها و … دریافت می کند. لاگ های جمع آوری شده در یک مکان واحد ذخیره می شوند. این کار باعث می شود بتوانیم رخداد های هر هاست و سیستم را به جای مراجعه به تک تک آن ها در یک مکان واحد نگه داری و بررسی نماییم. از مشهورترین نرم افزارهای مختص به این حوزه می توان از VMware Log Insight نام برد که برای مدیریت لاگ های محصولات VMware استفاده می شود.

نحوه نصب نرم افزار Manage Engine OpManager (نسخه مرکزی)

SLM/SEM : Security Log/Event Management به معنای مدیریت لاگ ها و رویدادهای امنیتی است. در واقع این سیستم ها شباهت بسیاری با LMS دارند ، اما تفاوت آن با LMS این است که SLM/SEM علاوه بر جمع آوری لاگ ها ، از طریق الگوریتم های متفاوت سعی می کند که رویدادهای معمولی را از رویدادهایی که به مسائل امنیتی مربوط می شوند ، تمایز دهد. این کار برای تحلیلگران امنیتی بسیار مفید خواهد بود. زیرا در هر سیستمی روزانه ممکن است هزاران لاگ تولید شود. اما تعداد بسیار کم تری از آن ها رخداد امنیتی هستند و برای تحلیلگران امنیت مفید و مهم محسوب می شوند.

SIM : حتما با نرم افزار های Asset Manager کار کرده اید. این نرم افزارها اجزای مختلف شبکه شما را به طور خودکار یا دستی لیست کرده و اطلاعات مربوط به هرکدام را جداگانه نمایش می دهند. ساده ترین مثال آن تهیه لیستی از PC های یک سازمان است که مشخصات سخت افزاری و نرم افزاری هر کدام در یک دیتا بیس ذخیره گردیده است. SIM یا همان Security Information Management نیز مانند Asset Manager ها عمل می کند. سیستم ” مدیریت اطلاعات امنیتی” مقادیری مانند  گزارش های آسیب پذیری ، گزارش های تشخیص نفوذ ، پیغام های آنتی ویروس و … که از راه های مختلف و برای اجزای متفاوت شبکه جمع آوری شده اند را در دیتابیس خود برای هر یک از سیستم ها به صورت جداگانه ذخیره می کند. با استفاده از این ساز  کار به این امکان برای کارشناسان امنیت وجود خواهد داشت که اطلاعات امنیتی را به تفکیک هر جز از شبکه مشاهده نمایند.

SEC : Security Event Correlation را می توان به عنوان ” همبستگی رخدادهای امنیتی ” معنا نمود. اما ممکن است این ترجمه گنگ باشد. فرض کنید سه پیغام خطا در ورود به یک نرم افزار خاص ، برای یک نام کاربری یکسان در فاصله زمانی بسیار کمی در ۳ کلاینت مختلف تکرار می شود. این پیغام های خطا سه خط از یک فایل لاگ را پر می کنند. برای یک تحلیلگر ، این رویداد توالی معنی داری از رخدادهای عجیب و غریب است که قطعا نیاز به بررسی دارد. زیرا احتمالا  به هم مرتبط هستند. و ممکن است نشان دهنده تلاش هایی برای دسترسی های غیر مجاز باشند. Log Correlation تکنیکی برای تشخیص رویدادهایی است که به خاطر الگوی خاص شان ،  به نظر می رسد با هم در ارتباط باشند و نیاز به بررسی دارند.

تنظیمات Syslog برای VMware ESXi در Splunk Enterprise

دوباره به سوال اصلی مان باز می گردیم. SIEM چیست ؟ SIEM ترکیبی از همه سیستم هایی است که در بالا توضیح داده شد. از جمله مشهورین نرم افزارهای SIEM می توان  HP ArchSight ، Splunk Enterprise ، Alien Vault و LogRythm را نام برد. لازم به ذکر است که نرم افزار های SIEM جز اصلی قلب مراکز SOC یا همان Security Operation Center است.

soc-in-visa

اما در یک Log چه چیزی نهفته است که چنین سیستم های برای بررسی و آنالیز آن ها طراحی شده اند ؟ یا این سیستم ها قرار است به کدام سوال های ما پاسخ دهند. کارشناسان امنیت هر روز از خود سوال می کنند که “چه کسی امروز به شبکه ما حمله کرد؟ ” و “چطور آن ها به اطلاعات امنیتی سازمان ما دست یافتند؟ ” پاسخ این سوال ها در Log ها وجود دارد. ولی چه نیازی هست که لاگ ها به جای نگه داری در فایل ها توسط SIEM نگه داری شوند ؟ [highlight bgcolor=”#f7f299″]برای پاسخ به این پرسش قسمت دوم را مطالعه نمایید.[/highlight]

جهت دانلود WhitePaper های مرتبط با بهترین SIEM های دنیا ، لطفا عضو این کانال تلگرامی شوید.

جهت آشنایی با IPS و IDS این مقاله را بخوانید.

کدام SIEM برای ما مناسب است؟

۵ ۱ رای دادن
رای دادن به مقاله

نوید داریا

Experienced IT Specialist with a demonstrated history of working in the information technology and services industry. Skilled in VMware ESX, Domain Name System (DNS), DHCP, VoIP, Veeam Backup Solutions, Adobe Connect, Servers, and Data Center. Strong operations professional graduated from Amirkabir University of Applied Sciences and Technology. Now I am studying Informatics at Vienna University
اشتراک در
اشاره به موضوع
guest

2 کامنت
جدیدترین
قدیمی ترین نظرات با تعداد رای بالا
Inline Feedbacks
مشاهده همه کامنت ها
afshar
afshar
4 سال پیش

thanks very very good

IT
IT
5 سال پیش

عالی بود.
لطفا جزئیات کامل آموزش بگذارید.

دکمه بازگشت به بالا