پیش از این همکارم نوید داریا ، مقاله ای مفصل درباره اجزای SIEM در وب سایت تک تیک منتشر کرده بود. در مقاله اول درباره SLM/LMS ، SIM ، SEM ، SEC صحبت شده بود و در قسمت دوم درباره Event Correlation ، Amount of Log Data و یکپارچگی توضیحات جامعی آمده است. اما در مقاله پیش رو دوباره نگاهی خلاصه وار به چیستی SIEM خواهیم داشت و سپس از چند SIEM مشهور نام خواهیم برد :
SIEM ها با جمع آوری اطلاعات رویداد و ورود به سیستم ایجاد شده توسط کلاینت ها ، برنامه ها و دستگاه های امنیتی مانند آنتی ویروس و فایروال ها در زیرساخت های یک شرکت و جمع آوری این اطلاعات بر روی یک بستر متمرکز کار می کنند. ابزارهای SIEM داده ها را در دسته هایی مانند ورود به سیستم موفقیت آمیز و ناموفق ، فعالیت بدافزار و سایر فعالیت های مخرب احتمالی شناسایی و مرتب سازی می کنند.
این نرم افزار دو هدف اصلی ارائه می دهد :
- گزارش هایی درباره حوادث و رویدادهای امنیتی ، مانند ورود موفقیت آمیز و ناموفق ، فعالیت بدافزار و سایر فعالیت های مخرب احتمالی
- هشدارهای مبتنی بر تحلیلی که با یک قانون خاص مطابقت دارند و حاکی از یک مسئله امنیتی است
کارشناسان می گویند که تقاضای سازمان ها برای اقدامات امنیتی بیشتر باعث شده است که شاهد رشد بازار SIEM در سالهای اخیر بیشتر باشیم.
“اکنون سازمان های بزرگ SIEM را به عنوان پایه ای برای ایستادن در Security Operations Center یا همان SOC نگاه می کنند.”
تحلیل و هوش در SIEM
یکی از اصلی ترین موارد استفاده از نرم افزار SIEM برای عملیات امنیتی ، قابلیت های جدیدتری است که در بسیاری از محصولات موجود در بازار وجود دارد.
در واقع SIEM یک سیستم هوشمند جمع آوری داده ، جست و جو و گزارش گیری است. SIEM مقادیر عظیمی از داده ها را از کل زیرساخت شبکه شما جمع آوری می کند و این داده ها را در دسترس قرار می دهد. با داده های دسته بندی شده و ارائه شده در دستان تان بهتر می توانید در مورد نقض امنیت با جزئیات بیشتر تجزیه و تحلیل کنید.
نرم افزار SIEM بیش تر توسط سازمان های بزرگ مانند بانک ها و شرکت های دولتی مورد استفاده قرار می گیرد ، در حالی که برخی از شرکت های متوسط نیز نرم افزار SIEM دارند ، شرکت های کوچک تمایل و نیاز احساس نمی کنند و نمی خواهند در آن سرمایه گذاری کنند. زیرا هزینه نگه داری سالانه آن می تواند بسیار گران تمام شود. علاوه بر این ، شرکت های کوچک توانایی استخدام استعداد لازم برای نگه داری نرم افزار SIEM را به صورت مداوم ندارند.
اطلاعات امنیتی و قابلیت های مدیریت رخداد در SIEM :
- جمع آوری داده ها : کلیه منابع اطلاعات امنیتی شبکه ، به عنوان مثال سرورها ، سیستم عامل ها ، فایروال ها ، نرم افزار آنتی ویروس و سیستم های پیش گیری از نفوذ پیکربندی شده اند تا داده های رخداده شده در شبکه را به یک ابزار SIEM وارد کنند. ابزارهای مدرن جدید SIEM از عواملی برای جمع آوری رویدادها از سیستم های سازمانی استفاده می کنند ، که سپس پردازش ، فیلتر شده و آن ها را به SIEM ارسال می کنند. برخی از SIEM ها اجازه جمع آوری داده های بدون عامل را می دهند. به عنوان مثال ، Splunk با استفاده از WMI جمع آوری داده های بدون عامل را در ویندوز ارائه می دهد. ( یک مثال کاربردی از Splunk را در این لینک مطالعه نمایید )
- سیاست گذاری : پروفایلی توسط ادمین SIEM ایجاد می شود ، که رفتار سیستم های سازمانی را چه در شرایط عادی و چه در هنگام حوادث امنیتی از پیش تعریف شده ، تبیین می کند.
- بررسی و تحلیل داده ها : SIEM فایل های گزارش را تجزیه و تحلیل می کند. سپس وقایع بر اساس داده های خام طبقه بندی می شوند و قوانین همبستگی را می گذارند که رویدادهای داده های فردی را با موضوعات امنیتی معنی دار ترکیب می کنند.
- اعلان ها وهشدارها : اگر یک رویداد یا مجموعه ای از رویدادها باعث ایجاد تخطی از یک قانون SIEM شود ، سیستم به پرسنل امنیتی اطلاع می دهد.
ویژگی ها و عملکردهای دیگری نیز وجود دارد :
- تشخیص حادثه امنیتی
- پاسخ به تهدید
- بررسی ورود به سیستم
- …
معرفی برخی از بازیگران برتر فضای SIEM :
Arcsight ESM ، IBM QRadar و Splunk از محبوب ترین ها هستند.
راه حل کامل و اولیه SIEM است که گارتنر به عنوان یک رهبر در خط مقدم رتبه بندی می کند. Splunk از سیستم مانیتورینگ امنیتی پشتیبانی می کند و می تواند قابلیت های Advanced Threat Detection را فراهم کند. Splunk برای ردیابی فعالیت های پویا مرتبط با تهدیدهای امنیتی پیشرفته ، نظارت بر تهدیدات در زمان واقعی ، تحقیقات سریع با استفاده از همبستگی های بصری و تجزیه و تحلیل را انجام می دهد.
یکی دیگر از SIEM های محبوب است که بسته به نیاز و ظرفیت سازمان خود می توانید به عنوان یک وسیله سخت افزاری یا یک نرم افزار استفاده کنید. QRadar می تواند با Varonis DatAlert ادغام شود تا قابلیت های Advanced Threat Detection را اضافه کند. QRadar داده های گزارش را از منابع موجود در سیستم اطلاعاتی سازمان از جمله دستگاه های شبکه ، سیستم عامل ها ، برنامه ها و فعالیت های کاربر جمع آوری می کند.
QRadar داده های ورود به سیستم را در زمان واقعی تجزیه و تحلیل می کند و به ادمین سیستم این امکان را می دهد تا به سرعت حملات را شناسایی و متوقف کنند. QRadar همچنین می تواند رویدادهای ورود به سیستم و داده های جریان شبکه را از برنامه های مبتنی بر Cloud جمع آوری کند.
یک SIEM خوب برای سازمان های کوچک تر است. همچنین می توانید LogRhythm را با Varonis DatAlert ادغام کنید تا قابلیت های Advanced Threat Detection را دریافت کنید.
ArcSight : محصولی با پتانسیل بالا از HP
داده های ورود به سیستم را از فناوری های امنیتی یک شرکت ، سیستم عامل ها و برنامه های کاربردی جمع آوری و تحلیل می کند. پس از شناسایی یک تهدید مخرب ، سیستم به پرسنل امنیتی هشدار می دهد.
ArcSight همچنین می تواند یک واکنش خودکار را برای متوقف کردن فعالیت مخرب آغاز کند. ویژگی دیگر امکان ادغام اطلاعات مربوط به تهدید شخص ثالث برای تشخیص دقیق تر تهدیدات است.
جهت انتقال به وب سایت سازنده هر کدام از SIEM ها بر روی عنوان آن ها کلیک نمایید.
