آبان ۲۸, ۱۴۰۳
  • twitter
  • telegram
  • linkedin
  • youtube
  • instagram
  • aparat

SIEM چیست؟ معرفی ۳ ابزار برتر SIEM

SIEM چیست

SIEM ابزاری مهم که نادیده گرفته شده است!

براساس بررسی‌های اخیر، راهکار SIEM در حال حاضر یک صنعت 2 بیلیون دلاری را در اختیار دارد اما متاسفانه تنها 21.9% از شرکت‌ها به‌طور درست از SIEM خود بهره‌مند می‌شوند. در حال حاضر ابزارهای SIEM بخش مهمی از اکوسیستم امنیت اطلاعات را تشکیل می‌دهند. SIEM ها اطلاعات را از چندین سیستم و منبع مختلف جمع‌آوری می‌کنند و آن‌ها را برای تشخیص رفتار غیرطبیعی یا حمله سایبری احتمالی، تجزیه و تحلیل می‌کنند. ابزارهای SIEM یک مکان اصلی برای جمع‌آوری‌ رویدادها و هشدارها را فراهم می کنند، اما اکثر این ابزارها هزینه بسیار بالایی دارند.

SIEM چیست؟

ابزارهای حوزه SIEM که مخفف Security Information and Event Management می‌باشد، بیش از یک دهه در قالب‌های مختلف استفاده شده‌اند و در طی این مدت به‌طور قابل توجهی تکامل و توسعه یافته‌اند. راه‌های SIEM از قوانین و همبستگی آماری استفاده می‌کنند تا لاگ‌های سیستم و رویداددهای امنیتی سیستم‌ها را به اطلاعات عینی و عملی تبدیل کنند. راه حل‌های SIEM یک دیدگاه جامع از آنچه در یک شبکه در زمان بلادرنگ اتفاق می افتد (به صورت real-time)، ارائه می‌دهد و به تیم‌های امنیتی، تیم پاسخ به حوادث و تیم جرم شناسی سازمان‌ها کمک می‌کند تا در زمینه مبارزه با تهدیدات امنیتی، فعال‌تر و پررنگ‌تر باشند.

اصطلاح SIEM در سال 2005 و از ترکیب دو تکنولوژی نسل قبلی SIM و SEM
توسط Mark Nicolett و Amrit Williams ابداع شد.

این تکنولوژی جدید در حقیقت به منظور بهبود امنیت حوزه فناوری اطلاعات همراه با مدیریت آسیب‌پذیری‌ها، روانه بازار شد.

SIM: نسل اولی بود که بر روی سیستم‌های سنتی جمع‌آوری و مدیریت لاگ‌ها قرار گرفت تا انواع و اقسام گزارش‌گیری‌ها، تجزیه و تحلیل‌ها و… را دراختیار تیم‌های امنیتی قرار دهد.

SEM: بعد از نسل SIMها، نسل بعدی SEM به وجود آمد که وظیفه مدیریت وقایع امنیتی و همچنین تحلیل این وقایع را برعهده داشتند.

آنچه در مورد SIEM ها شگفت انگیر است، این است که با ترکیب قابلیت‌های SIM و SEM توانسته است به‌طور قابل توجهی روند تجزیه و تحلیل لاگ‌ها در زمان بلادرنگ را انجام دهد. برای سازمانی که می‌خواهد دید کامل و کنترل کامل از آنچه در شبکه آن‌ها در زمان واقعی اتفاق می‌افتد را داشته باشد، راه‌حل‌های SIEM بسیار مهم هستند. سیستم‌های امنیتی SIEM می‌توانند اطلاعات لاگ‌های تاریخی و رویدادهای واقعی را جمع کنند و روابطی برقرار کنند که به کارکنان امنیتی کمک می‌کند تا ناهنجاری‌ها، آسیب‌پذیری‌ها و حوادث را شناسایی کنند.

SIEM ها چگونه کار می‌کنند؟

نرم افزار SIEM با جمع‌آوری اطلاعات مربوط به log و event که توسط سیستم‌های میزبان، دستگاه‌های امنیتی و برنامه‌های کاربردی در سراسر زیرساخت سازمان ایجاد می‌شود و جمع‌آوری آن بر روی یک پلتفرم متمرکز، فعالیت خود را انجام می‌دهد. از رویدادهای مربوط به فعالیت آنتی‌ویروس گرفته تا لاگ‌های مربوط به فعالیت فایروال، نرم افزار SIEM این اطلاعات را شناسایی کرده و آن را به دسته‌هایی از قبیل فعالیت بدافزار، ورود موفق یا ناموفق به سیستم و سایر فعالیت‌های مخرب، دسته‌بندی می‌کند.

برای مشاهده قدرتمندترین محصولات موجود در حوزه SIEM بر روی لینک زیر کلیک کنید
Security Information and Event Management

هنگامی که نرم افزار SIEM فعالیتی را شناسایی می‌کند که می‌تواند تهدیدی برای سازمان باشد، هشدارهایی ایجاد می‌شود تا یک مسئله امنیتی بالقوه را نشان دهد. این هشدارها با استفاده از مجموعه‌ای از قوانین از پیش تعریف‌شده می‌توانند به عنوان اولویت کم یا زیاد تنظیم شوند. به‌عنوان مثال، اگر یک حساب کاربری در 20 دقیقه 20 ورود ناموفق به سیستم داشته باشد، می‌تواند به عنوان فعالیت مشکوک ثبت شود، اما در اولویت پایین قرار گیرد، زیرا به احتمال زیاد یک کاربر است که اطلاعات ورود به سیستم را فراموش کرده است. اما اگر یک حساب در مدت 5 دقیقه 120 ورود ناموفق به سیستم را تجربه کند، این احتمال وجود دارد که یک حمله Brute Force در حال انجام باشد و به‌عنوان یک حادثه با شدت زیاد ثبت و اعلام هشدار شود.

SIEM دو قابلیت اصلی را برای تیم پاسخگویی به حوادث فراهم می‌کند:

گزارش و تحلیل جرم‌شناسی (فارنزیک) درباره حوادث امنیتی

هشدارهای مبتنی‌بر تحلیلی که با یک رول خاص مطابقت دارند

در اصل SIEM یک سیستم جمع‌آوری اطلاعات، جستجو و گزارشگری است. SIEM مقادیر عظیمی از اطلاعات را از کل محیط شبکه شما جمع‌آوری کرده، این اطلاعات را در دسترس قرار می‌دهد. با اطلاعات طبقه‌بندی‌شده و ارائه شده که در دسترس شما هستند، می‌توانید در مورد نقض امنیت اطلاعات با جزئیات بیشتر تحقیق کنید.

براساس گفته‌های گارتنر، سه قابلیت مهم برای ابزار SIEM مشخص شده است:
1- شناسایی تهدید 2- تحقیقات 3- زمان پاسخگویی

اما ویژگی‌ها و عملکردهای دیگری نیز وجود دارد که معمولاً در محصولات این حوزه مشاهده می‌شود، از جمله:

از آنجا که راه‌حل‌های SIEM قادر به جمع‌آوری گزارش رویدادها از چندین برنامه و دستگاه هستند، به کارکنان IT اجازه می‌دهند سریعتر به نقض امنیتی احتمالی، شناسایی و بررسی کنند. شناسایی یک تهدید در مراحل اولیه خود، این اطمینان را به وجود می‌آورد که سازمان در صورت وجود، تنها در مواردی از تأثیرات جزئی برخوردار باشد. به طور خلاصه، ابزارهای SIEM به تیم‌های فناوری اطلاعات اجازه می‌دهد تا با جمع‌آوری داده‌های رویدادهای امنیتی از چندین منبع در یک مکان، دید بالا و وسیعی را ببینند. یک هشدار تنها از آنتی‌ویروس ممکن است به خودی خود باعث ایجاد وحشت شما نشود، اما اگر هشدارهای ناهنجاری ترافیکی به طور همزمان از فایروال دریافت شود، این موضوع می‌تواند نشانگر این باشد که یک نقض شدید در حال انجام است. SIEM تمام این هشدارها را در یک کنسول متمرکز جمع‌آوری می‌کند و امکان تجزیه و تحلیل سریع و کامل را فراهم می‌آورد.

بهترین ابزارهای SIEM

ابزارهایی که در ادامه درمورد آن‌ها صحبت خواهیم کرد، از برترین‌های این حوزه هستند:

logrhythm
LogRhythm

LogRhytm یک ابزار SIEM خوب برای سازمان‌های کوچک‌تر است. با استفاده از این ابزار می‌توانید قابلیت‌های شناسایی و پاسخ به تهدیدات را دریافت کنید.

IBM QRadar
IBM QRadar

QRadar یکی دیگر از ابزارهای محبوب در حوزه SIEM است که بسته به نیاز و ظرفیت سازمان خود می‌توانید آن را به‌عنوان یک وسیله سخت افزاری، یک دستگاه مجازی یا یک نرم افزار، مستقر کنید.

Splunk
Splunk

پلت فرم Splunk یک راه حل کامل و جامع SIEM است که گارتنر به‌علت توانایی‌های زیاد و همچنین در اختیار داشتن بازار بزرگ در این حوزه، آن را به‌عنوان رهبر در این حوزه رتبه‌بندی می‌کند.

SIEM در سازمان‌های بزرگ

برخی از مشتریان بزرگ متوجه شده‌اند که برای به‌دست آوردن بیشترین ارزش برای هر هدف، باید دو راه‌حل جداگانه SIEM را حفظ کنند زیرا SIEM می‌تواند فوق‌العاده پر سر و صدا بوده و مصرف بالایی از منابع داشته باشد. مشتریان این محصولات معمولاً یکی را برای امنیت اطلاعات و دیگری را برای انطباق ترجیح داده و انتخاب می‌کنند.
فراتر از موارد اصلی ثبت و مدیریت لاگ‌ها، شرکت‌ها از SIEM خود برای اهداف دیگر نیز استفاده می‌کنند. یک مورد استفاده از این محصول نیز به‌عنوان جایگزین، در کمک به اثبات انطباق قوانینی مانندHIPAA ،PCI ، SOX و GDPR است.

چه سازمان‌هایی به SIEM نیاز دارند؟

راه‌حل‌های SIEM به گونه‌ای طراحی شده‌اند تا لاگ‌های امنیتی را از منابع و دستگاه‌های مختلف جمع‌آوری کرده و به‌صورت متمرکز در یک پلتفرم مرکزی نگه دارند. وقتی این اطلاعات در کنار هم قرار می‌گیرند، ابزار SIEM می‌تواند به‌صورت دقیق‌تری به تجزیه و تحلیل، آنالیز و گزارش‌گیری رخدادهای امنیتی سازمان شما بپردازد. تمام این فرایندها می‌تواند منجر به شناسایی رخدادها و حملات سایبری شود که توسط ابزارها و نرم افزارهای دیگر قابل شناسایی نیستند. این موضوع وقتی که شما رقبای بزرگی در بازار تجاری خود داشته باشید، بیشتر نمود پیدا خواهد کرد.
در انتها ذکر این نکته واجب است که SIEM بخشی از فناوری‌های موجود در SOC است. درحقیقت SIEM به‌عنوان قلب مرکز SOC فعالیت می‌کند.

علاقمند به حوزه امنیت اطلاعات و آشنا به حوزه تست نفوذ
  • facebook
  • twitter
  • googleplus
  • linkedIn
  • flickr

نوشته های مرتبط

۲ دیدگاه ها

  1. حامد
    آذر ۶, ۱۳۹۹ در ۱:۵۰ بعد از ظهر

    سلام
    با تشکر
    کلمه Brute Force را اشتباه تایپ کردید.

    پاسخ

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

آخرین مطالب