۰۲۱-۹۱۰۰۴۱۵۱
ثبت‌ نام | ورود

مدیریت رخدادهای امنیتی (SIEM)

چگونه به تمام سیستم شبکه خود اشراف داشته باشیم؟

اگر با سیستم‌هایی که به‌صورت شبکه درآمده‌اند و بر روی سرور مرکزی فعال شده‌اند کار کرده باشید، حتماً می‌دانید که تمام فعالیت‌های کاربران موجود در آن شبکه درجایی ثبت می‌شوند. تمامی اتصال‌ها، دسترسی‌ها، اسناد و مدارک بازبینی شده و... . این ثبت فعالیت‌ها در قالب یک سری فایل با نامLog ، بر روی سرور اصلی ذخیره خواهند شد. بسته به تعداد کاربران و میزان فعالیت‌های آن‌ها، گاهی این Logها آن‌قدر زیاد هستند که نمی‌توان تک‌تک آن‌ها را به‌صورت جداگانه بررسی نمود. اما می‌دانیم که بررسی این لاگ‌ها به‌منظور شناسایی نقاط ضعف شبکه، بسیار مهم خواهند بود.

SIM :

نسل اولی بود که بر روی سیستم‌های سنتی جمع‌آوری و مدیریت لاگ‌ها قرار گرفت تا انواع و اقسام گزارش‌گیری‌ها، تجزیه و تحلیل‌ها و... را دراختیار تیم‌های امنیتی قرار دهد.

SEM :

نسل دوم و پیشرفته وقایع امنیتی را شامل می‌شود که وظیفه خود می‌داند تا وقایع امنیتی موجود در سیستم‌ها را بدست آورده، تجمیع کند و به صورت اطلاع رسانی در اختیار تیم‌های امنیتی قرار دهد. وقایعی همچون فعالیت‌ها آنتی‌ویروس، فایروال‌ها و سیستم‌های تشخیص نفوذ.

content-photos/205/1467/content_photo_ojQHZjadxxlxDmNB.jpg

SIM :

نسل اولی بود که بر روی سیستم‌های سنتی جمع‌آوری و مدیریت لاگ‌ها قرار گرفت تا انواع و اقسام گزارش‌گیری‌ها، تجزیه و تحلیل‌ها و... را دراختیار تیم‌های امنیتی قرار دهد.

SEM :

نسل دوم و پیشرفته وقایع امنیتی را شامل می‌شود که وظیفه خود می‌داند تا وقایع امنیتی موجود در سیستم‌ها را بدست آورده، تجمیع کند و به صورت اطلاع رسانی در اختیار تیم‌های امنیتی قرار دهد. وقایعی همچون فعالیت‌ها آنتی‌ویروس، فایروال‌ها و سیستم‌های تشخیص نفوذ.

content-photos/205/1467/content_photo_ojQHZjadxxlxDmNB.jpg

SIEMها راه‌حل نسل جدید برای پایش لحظه‌ای سیستم‌ها

دراینجا پای نرم‌افزارهای SIEM به‌میان می‌آید. Security Information and Event Management شاخه‌ای از نرم‌افزارهای مدیریتی است که با تلفیق SIM و SEM ، به مدیران شبکه کمک می‌کند تا به بررسی لاگ‌های موجود بپردازند. نرم‌افزارهایی نظیر Splunk، IBM Q Radar و ArcSight تمام Logهای موجود را بررسی کرده و مشکلات موجود، اتفاقات مخرب، دسترسی‌های غیرمجاز و... را به ادمین شبکه اطلاع می‌دهند. برخی از این نرم‌افزارها آن‌قدر قوی هستند که شرایط محیطی مکانی که در آن سرور اصلی مستقر شده‌اند را نیز بررسی خواهند کرد.

content-photos/205/1465/content_photo_Z7KlC4Hymm71JKc1.png

مدت بسیاری‌ست که ابزارهای حوزه SIEM، سازمان‌های بسیاری را تحت پوشش خود قرار داده‌اند. تکامل این ابزارها باعث همبستگی‌های آماری و ایجاد قوانینی شده است که لاگ‌های سیستم‌ها را مورد بررسی قرار می‌دهند. ارائه دیدگاه جامع از اتفاقات موجود در شبکه به صورت real-time به تیم‌های امنیتی و تیم پاسخ به حوادث و جرم‌شناسی، ازجمله مهم‌ترین وظایف این حوزه به شمار می‌رود.

مدت بسیاری‌ست که ابزارهای حوزه SIEM، سازمان‌های بسیاری را تحت پوشش خود قرار داده‌اند. تکامل این ابزارها باعث همبستگی‌های آماری و ایجاد قوانینی شده است که لاگ‌های سیستم‌ها را مورد بررسی قرار می‌دهند. ارائه دیدگاه جامع از اتفاقات موجود در شبکه به صورت real-time به تیم‌های امنیتی و تیم پاسخ به حوادث و جرم‌شناسی، ازجمله مهم‌ترین وظایف این حوزه به شمار می‌رود.

content-photos/205/1465/content_photo_Z7KlC4Hymm71JKc1.png

اصطلاح SIEM در سال 2005 و از ترکیب دو تکنولوژی نسل قبلی SIM و SEM، ابداع شد. این تکنولوژی جدید در حقیقت به منظور بهبود رویه امنیت حوزه فناوری اطلاعات همراه با مدیریت آسیب‌پذیری‌ها و همچنین تجزیه و تحلیل اتفاقات درون شبکه‌ها، روانه بازار شد. به نوعی می‌توان گفت SIEM برای مرکز عملیات امنیت، نقش مغز متفکر را بازی می‌کند و مدیران امنیت، حتماً باید در انتخاب محصولات قوی در این زمینه دقت لازم را داشته باشند.
 

content-photos/205/1464/content_photo_62RKj9iOEsquSwAT.jpg

اصطلاح SIEM در سال 2005 و از ترکیب دو تکنولوژی نسل قبلی SIM و SEM، ابداع شد. این تکنولوژی جدید در حقیقت به منظور بهبود رویه امنیت حوزه فناوری اطلاعات همراه با مدیریت آسیب‌پذیری‌ها و همچنین تجزیه و تحلیل اتفاقات درون شبکه‌ها، روانه بازار شد. به نوعی می‌توان گفت SIEM برای مرکز عملیات امنیت، نقش مغز متفکر را بازی می‌کند و مدیران امنیت، حتماً باید در انتخاب محصولات قوی در این زمینه دقت لازم را داشته باشند.
 

content-photos/205/1464/content_photo_62RKj9iOEsquSwAT.jpg

مزایای استفاده از نرم‌افزارهای SIEM

براساس گفته‌های گارتنر، سه قابلیت مهم برای ابزار SIEM مشخص شده است :

  • شناسایی تهدید
  • تحقیقات
  • زمان پاسخگویی

اما به طور کلی مزایای استفاده از این دسته نرم‌افزارها عبارتند از:

  • نمایش وضعیت کلی امنیت اطلاعات و همچنین شبکه‌های موجود در سازمان‌ها
  • جمع‌آوری و یکپارچه‌سازی رویدادها از سراسر شبکه (تجهیزات، کاربران و ....)
  • شناسایی حوادث، اولویت‌بندی آن‌ها و ذخیره‌سازی کلیه رویدادهای موجود در بستر شبکه
  • تطبیق دادن رویدادهای موجود با سیاست‌های سازمان موردنظر
  • پیگیری و رصد لحظه به لحظه رویدادهای موجود
  • جمع‌آوری و ارائه گزارش‌های آماری و گرافیکی

درنتیجه استفاده از نرم‌افزارهای SIEM برای هر شبکه، از ضروری‌ترین اقدامات خواهد بود.

محصولات موجود در دسته SIEM

مهم‌ترین ویژگی‌هایی که از محصولات SIEM انتظار داریم

در هنگام انتخاب یک نرم‌افزار SIEM باید دقت شود که آیا این محصول می‌تواند به منظور جلوگیری و متوقف سازی حملات، کنترل‌های امنیتی سازمانی را به درستی پیاده‌سازی کند یا خیر؟

آیا هوش مصنوعی این نرم‌افزار می‌تواند جستجوها و یافته‌های عمیق خود را بهبود بخشد؟

آیا گزارش‌های مربوط به سازگاری کامل با تجهیزات و نرم‌افزارهای دیگر ارائه می‌شود و آیا می‌توان تنظیمات موجود در این نرم‌افزار را منطبق با سیاست‌های سازمان، شخصی‌سازی کرد یا خیر؟

و در آخر اینکه آیا سیستم موردنظر، اطلاعات مربوط به رویدادهای امنیتی را ضبط، ذخیره و سپس ارائه می‌کند یا خیر؟

Logo

لیان را در دنیای مجازی دنبال کنید

eNamad

تهران، خیابان آزادی
خیابان خوش جنوبی، بن بست شاد، پلاک ۳

کلیه حقوق مادی و معنوی این وبسایت نزد «گروه لیان» محفوظ می باشد.

۰۲۱-۹۱۰۰۴۱۵۱
contact@liangroup.net