کمیته رکن چهارم – محصولات و خدمات نرم افزاری SIEM شامل ترکیبی از مدیریت امنیت اطلاعات (SIM) و مدیریت رویدادهای امنیتی (SEM) می باشد. این محصولات می توانند هشدارهای امنیتی تولید شده توسط سخت افزار شبکه و برنامه های کاربردی را در هر تایمی تجزیه و تحلیل کرده و خروجی قابل آنالیزی را ارائه دهند. این محصولات برای ورود اطلاعات امنیتی و تولید گزارش جهت فرایندهای انطباق استفاده می شوند.
محصولات SIEM از فن آوری مختلفی تکامل یافته اند (complementary) که شامل:
سیستم مدیریت لاگ (LMS) – Log Management System
فایل های ورود به سیستم (از سیستم عامل ها، برنامه ها و غیره) را از چندین هاست و سیستم در یک مکان واحد جمع آوری و ذخیره می کند و به جای دسترسی به آنها از هر سیستم جداگانه، دسترسی متمرکز به تمامی رویدادها را امکان پذیر می کند.
لاگ امنیتی/ مدیریت رویداد – SLM /SEM “Security Log/Event Management”
هر سازمانی با زیرساخت های فناوری اطلاعات مستعد حملات امنیتی داخلی است. ضرر شما برابر است با سود هکرها که شامل: دسترسی به داده های محرمانه، سوء استفاده از اطلاعات بازیابی شده، خرابی سیستم و …. تمرکز روی نفوذ از خارج شبکه کار عاقلانه ای است اما در عین حال نباید امنیت داخلی را نادیده گرفت. نظرسنجی های گسترده نشان می دهد که بیشترین نقض سیاست های امنیتی در سازمان ها از داخل صورت می گیرد. مدیران سیستم های اطلاعاتی به طور مداوم تحت فشار مخاطرات گسترده رویدادهای سایبری، مرتب سازی فایل های امنیتی برای اهداف امنیتی و عملکرد سیستم قرار دارند.
مدیریت امنیت اطلاعات – SIM “Security Information Management”
SIM یک سیستم مدیریت دارایی همراه با ویژگی هایی است که می تواند دسترسی بهینه ایی به اطلاعات امنیتی بدهد. هاست ها ممکن است گزارش های آسیب پذیری را خیلی مختصر ذخیره کنند، همچنین هشدارهای تشخیص نفوذ و آنتی ویروس ممکن است در سیستم های درگیر بسیار پیچیده و تحلیل آنها به سختی انجام شود. بنابراین نقش SIM جهت سهولت موارد ذکر شده بسیار پررنگ است.
اطلاعات امنیتی و مدیریت رویداد – SIEM “Security Information and Event Management”
SIEM گزینه ای فراتر از فرآیندهای مشابه است که با ترکیب فن آوری های مختلف و تبدیل شدن به یک محصول واحد وظیفه مدیریت اطلاعات حاصل از کنترل های امنیتی و زیرساخت ها را بر عهده گرفته است. ما از اصطلاح SIEM برای ادامه این مقاله استفاده خواهیم کرد.
توانایی ها
جمع آوری داده ها: شامل مدیریت داده های منابع از جمله شبکه، امنیت، سرورها، پایگاه داده ها و برنامه ها می باشد که پس از تجمیع آنها امکان تلفیق داده های مانیتور شده را فراهم می کند تا از وقوع حوادث مهم جلوگیری کند.
همبستگی: این گزینه به دنبال ویژگیهای متداول است تا رویدادها را ترکیب و به بسته های معنی دار پیوند دهد. این فناوری امکان انجام انواع تکنیک های همبستگی را برای ادغام منابع مختلف و تبدیل داده ها به اطلاعات مفید فراهم می کند. همبستگی به طور معمول تابعی از بخش مدیریت رویدادهای امنیتی و جزء راه حل های تکامل یافته SIEM است.
هشدار: یک هشدار شامل تجزیه و تحلیل خودکار رویدادهای مرتبط به هم می باشد. هشدار ها به داشبورد انتقال یافته یا از طریق کانال های شخص ثالث مانند ایمیل ارسال می شوند.
داشبورد: ابزارها پس از به دست آوردن رویدادها، آن را به نمودارهای اطلاعاتی تبدیل می کنند تا از الگوهای بدست آمده استفاده شود یا فعالیتی را که یک الگوی استاندارد در آنها ایجاد نمی شود را شناسایی کنند.
انطباق: از برنامه ها می توان برای جمع آوری داده های انطباق، تولید گزارش هایی متناسب با فرآیندهای امنیتی، حاکمیتی و ممیزی موجود استفاده کرد.
نگهداری: استفاده از ذخیره طولانی مدت داده ها برای تسهیل همبستگی داده ها و همچنین حفظ الزامات انطباق بسیار مهم است. با گذشت زمان، حفظ داده رویدادهای سایبری در تحقیقات فارنزیکی بسیار مهم است.
تحقیقات فارنزیکی: توانایی جستجو در رویدادهای مربوط به گره ها و بازه های زمانی مختلف بر اساس معیارهای خاص باعث می شود تا بتوانید اطلاعات ورود به سیستم را تجمیع کرده و جستجوی آنها به سادگی صورت بگیرد.
SIEM چگونه کار می کند؟
اساساً، یک ابزار SIEM گزارشاتی را از دستگاه های موجود در زیرساخت های سازمان ها جمع آوری می کند. با جمع آوری داده ها (عمدتا رویدادها و بسته ها) بینش عمیقی از وقایع شبکه به مدیران ارائه می دهد.
منبع: ایران سایبر