SIEM به زبان ساده – بخش پایانی

در قسمت نخست “ مقاله SIEM چیست؟ ” درباره مفاهیم پایه آن صحبت کردیم. همچنین تعدادی از SIEM های مشهور دنیا نام برده شد. در این مقاله سعی خواهم داشت با استفاده از چند مثال کاربردی ، برخی از فواید استفاده از سیستم هایِ ” مدیریت رویدادها و اطلاعات امنیتی ” را شرح دهم. مطالب این قسمت در ذیل ۳ عنوان Event Correlation ، Amount of Log Data و یکپارچگی ارئه شده اند .

• Event Correlation

همان طور که در قسمت Security Event Correlation توضیح داده شد ، یکی مهم ترین وظایف SIEM یافتن ارتباط های معنا دار بین رویدادهای مختلف از روی الگوهای آن ها است. به این مثال توجه نمایید : فرض کنید که پیغام زیر در فایل های LOG شما ذخیره گردیده است :

“۱۳:۲۴ ۱۲/۱۶/۲۰۱۶ User Navid Successful Auth to 10.100.52.105 from 10.10.8.22”

این دقیقا فرمت یک لاگ واقعی است که ممکن است در هر یک از تجهیزات و سرویس های شما ثبت شده باشد. در ظاهر یک دسترسی موفق توسط یک کاربر مجاز ،  به منابع شبکه رخ داده است.

اما بیایید فرض کنیم که سیستمی در شبکه شما وجود دارد که از گذاره های زیر آگاه است :

• تاریخ ۱۶ دسامبر ۲۰۱۶ روز جمعه و تعطیل است و کسی در شرکت حضور ندارد.
• نام کاربری Navid مربوط به بخش R & D می باشد.
• آی پی ۱۰.۱۰.۸.۲۲ ، مربوط به سیستم های بخش مارکتینگ است.
• اگر کاربری به منابع بخش دیگری غیر از دپارتمانی که در آن مشغول به کار است دسترسی پیدا کند ، درجه اهمیت رخداد بالا است.
• اگر کاربری درخواست دسترسی به منابع شبکه را در روز تعطیل رسمی داشت ، درجه اهمیت رخداد بالا است.

بنابراین سیستمی که از این گذاره ها با خبر است می تواند پیغام لاگ به ظاهر ساده ای را که ذخیره شده بود به شکل زیر به تحلیل گر امنیت نمایش دهد :

” حساب کاربری Navid از بخش R & D به منابع موجود در بخش مارکتینگ ، در روزی که اجازه حضور در شرکت را ندارد ، متصل شد. ”

در واقع نمایش چنین پیغامی از طریق Log Correlation امکان پذیر  می گردد. این یکی از تفاوت های بارز خواندن Log از روی SIEM با خواندن لاگ از روی فایل های خام است.

• Amount of Log Data

اگر در شبکه های Enterprise کار کرده باشید ، احتمالا می دانید که تعداد لاگ هایی که روزانه توسط تجهیزات مختلف تولید می شود بسیار زیاد است. واضح است که امکان استخدام تعداد بسیار زیادی کارمند که روزانه تک تک لاگ ها را بخوانند و در آن ها به دنبال اتفاق های بد و خطرناک بگردند برای اکثر شرکت ها وجود ندارد. حتی اگر چنین کاری ممکن باشد هم عقلانی به نظر نمی رسد. ( گرچه چنین کارفرماهایی وجود دارند که واقعا افرادی را برای این کار استخدام کنند یا حتی وقت با ارزش کارمندان شان را با کارهایی مثل این هدر دهند. ) از طرفی دیگر در شبکه های Enterprise ماهانه بیش تر از ۱۰ ترابایت Log file به صورت متن ساده تولید می شود که احتمالا نگه داری قسمت زیادی از آن ها کاری  عبث و بی فایده است.

SIEM ها همه این مشکلات را برطرف خواهند کرد. این سیستم ها می توانند به صورت خودکار Log های بی اهمیت را برای استفاده کم تر از فضای استوریج ها پاک کنند یا از اول طوری تنظیم شوند که چنین رویدادهایی را نگه داری نکنند. همچنین SIEM امکان تشخیص اینکه کارشناس تحلیل امنیت بایستی از وقوع کدام رخداد ها با خبر شود را دارند. در نتیجه کارشناس مشغول در SOC وقت ارزشمند خود را تنها برای بررسی لاگ های مهم ذخیره می نماید.

• یکپارچگی

از آن جایی که در دنیا تولید کنندگان تجهیزات سخت افزاری و نرم افزاری بسیار زیادی وجود دارد ، نحوه تولید Log ها ممکن است در محصول هر شرکت متفاوت از دیگری باشد و قواعد خواندن هم کدام مختلف است. یکی از کارهایی که بعضی از SIEM ها انجام می دهند این است که در طی فرآیندی نحوه نمایش همه لاگ های جمع آوری شده را مطابق یک فرمت واحد نمایش می دهند. درواقع می توان گفت که آن ها Log ها را به یک زبان واحد ترجمه می نمایند که این یکی از مزایای استفاده از SIEM است. ینابراین وقتی به شما درباره دیوایس های قابل پشتیبانی توسط SIEM گفته می شود منظور این است که آن محصول قابلیت ترجمه لاگ های چه دیوایس ها یا نرم افزارهایی را به زبان خود دارد.

جمع شدن لاگ ها در یک دیتابیسِ واحد مزایای دیگری نیز دارد ( یکپارچگی ). برای مثال به Query زیر دقت نمایید : ( کوئری بر اساس قواعد محصول SIEM ای با نام تجاری Alien Vault نوشته شده است )

“show [All Logs] From [All Devices] from the [last two weeks], where the [username] is [Navid]”

با انجام این کوئری همه رویداد هایی که در تمام دیوایس های سازمان در طول دو هفته گذشته توسط حساب کاربری Navid رخ داده اند نمایش داده می شوند. نکته مهم این است که این کار فقط با وجود SIEM امکان پذیر می باشد. زیرا در آن به دنبال رکوردهایی هستیم که توسط دیوایس ها و نرم افزارهای مختلف ایجاد شده اند. یعنی جست و جوی خود را به یک Vendor خاص محدود نکرده ایم. به این قابلیت Cross-Correlation می گویند.

به جز قابلیت انجام چنین Query هایی ، یکپارچگی به ما امکان  ایجاد Automated Correlation های سفارشی را نیز خواهد داد. برای مثال می توانید تعریف نمایید که ” اگر یک هاست موفق به ورود موفقیت آمیز به ۳ سرور متفاوت به وسیله یک نام کاربری  نگردید ، آن گاه یک Alert مهم تولید کن. ” در این جا نیز مهم نیست که ۳ سرور محصول کدام شرکت هستند یا چه سرویسی را ارئه می دهند ، یا حتی ساختار لاگ های نوشتاری آن ها چگونه است. در نهایت تحلیل گر امنیتی حتما Alert مربوطه را مشاهده خواهد کرد.

شما خواهید توانست گزارش های مقایسه ای دیگری را نیز تعریف نمایید. برای نمونه : میانگین Login های غیر موفق در طول ۲۴ ساعت در کدام Subnet شبکه و در طول روزهای ۶ ماه گذشته از همه بیش تر بوده است ؟

دلایل بسیاری برای استفاده از محصولات SIEM وجود دارد. ممکن است در بعضی  SIEM ها ،  برخی از ویژگی های مطرح شده وجود نداشته باشد. یا در بعضی دیگر امکانات بیش تری گنجانده شده باشد. همچنین در سازمان های مختلف نیاز های متفاوتی وجود دارد. برای مثال در بعضی از دیتا سنتر ها یکی از  دلیل های استفاده از SIEM در بخش SOC این است که کارشناسان مانیتورینگ نباید به صورت مستقیم به تجهیزاتی که لاگ ها را تولید می کنند دسترسی داشته باشند. اما انتخاب SIEM برای یک سازمان کار ساده ای نیست. جالب است بدانید که از لحاظ هزینه قیمت پایه  محصول SIEM شرکت Alien Vault حدود ۳۶۰۰ دلار می باشد. که در برابر هزینه های هنگفتی که نبود این نرم افزار در سازمان ایجاد می نماید بسیار ناچیز به نظر می رسد.

در آینده مقاله هایی درباره نحوه استفاده از بخش های مختلف SIEM های مختلف در وب سایت TechTik منتشر خواهد شد. خوشحال خواهیم شد در قسمت نظرات درباره مشکلات شما در رابطه با استفاده از SIEM های مختلف بیش تر بدانیم و همچنین برای ما بنویسید که از کدام SIEM در سازمان خود استفاده می نمایید و دلایل استفاده شما چیست؟

یک مثال کاربردی از اسپلانک