سیستم‌های اطلاعاتی امنیتی و مدیریت رویداد (SIEM)

به طور کلی سیستم‌های اطلاعاتی امنیتی و مدیریت رویداد یا SIEM، اطلاعات مربوط به رویدادهای مختلف را از طیف وسیعی منبع مانند نرم افزارها و تجهیزات امنیتی، تجهیزات زیرساخت شبکه و برنامه های در حال اجرا جمع آوری، ذخیره و تحلیل می‌کنند.

سیستم‌های SIEM عمدتا دو هدف مهم را دنبال می‌کنند:

  1. هدف اول جمع آوری، ذخیره سازی، تجزیه و تحلیل، تحقیق و گزارش در مورد لاگ‌ها و سایر داده‌های دریافتی از تجهیزات شبکه سازمان با هدف پاسخ سریع به حوادث، کارهای فارنزیکی و ایجاد قواعد نظارتی است.
  2. دومین هدف تجزیه و تحلیل برخط و آنلاین داده‌های مربوط به رویدادها و حوادث برای تسهیل در تشخیص هرچه سریع تر حملات خاص منظوره، تهدیدات پیشرفته و نقض داده‌ها جهت حفاظت از دارایی‌های سازمان می‌باشد.

ویژگی های سیستم اطلاعاتی امنیتی و مدیریت رویداد (SIEM)

زمانی که اولین بار مفاهیم مربوط به سیستم‌های SIEM در بازار امنیت مطرح شد، پیش قدمی سازمان‌ها در پیاده سازی و سازگاری با این سیستم‌ها باعث شد تا اکثر شرکت‌های تولید کننده SIEM الزامات امنیتی مورد نیاز سازمان‌ها را در طراحی و پیاده سازی معماری خود مدنظر قرار دهند. در حال حاضر مهم ترین اقدام سازمان‌ها برای سازگاری با قابلیت‌های جدید امنیتی، پذیرش امکاناتی است که سیستم های SIEM ارایه می دهند. اکثر کارشناسان حوزه امنیت بر روی این موضوع اتفاق نظر دارند که اگر هکرها ابزار و منابع کافی در اختیار داشته باشند – که معمولا توسط کشور دیگری پشتیبانی می شوند – می‌توانند سیستم‌های امنیتی موجود را Bypass نمایند.

موضوعات ذکر شده باعث شده است تا اکثر سازمان‌ها علاوه بر راهکارهای امنیتی موجود تلاش کنند تا با پیاده سازی سیستم‌های اطلاعاتی امنیتی و مدیریت رخداد با شناسایی سریع و دقیق حملات و نقض قوانین امنیتی، آسیب‌های مربوط به این حملات را به حداقل رسانده و با اقدامات دقیق و حساب شده مدیریت ریسک مناسبی در هنگام بروز این گونه حوادث داشته باشند.

با توجه به اینکه سیستم‌های SIEM ابزار قدرتمندی برای تشخیص زود هنگام تهدیدات به حساب می‌آیند به همین دلیل بسیاری از شرکت‌های کوچک و متوسط نیز که در ابتدای کار بدلیل عدم سازگاری سیستم اطلاعاتی امنیتی و مدیریت رویداد با اهدافشان حاضر به پذیرش آنها نبودند، اکنون در تلاشند تا این سیستم‌ها را در سازمان خود عملیاتی کنند. طبق گزارش Gartner پیاده سازی و توسعه سیستم‌های SIEM در سازمان‌هایی با منابع امنیتی محدود، نیازمند کارهای توسعه‌ای جدید و بهبود در ساختار امنیتی و نظارتی سازمان می‌باشند. در واقع سیستم‌ها SIEM با تغییراتی که در ساختار امنیتی سازمان ایجاد می‌کنند به تشخیص هر چه سریع تر تهدیدات مربوط به دارایی‌ها و اطلاعات مشتریان بزرگ یا شرکای تجاری توسط سازمان کمک می‌کنند.

دلایل نیاز سازمان‌ها به سیستم اطلاعاتی امنیتی و سیستم مدیریت رویداد (SIEM)

اکثر سازمان‌ها برای ایجاد شفافیت در فعالیت‌های کاربران خود نیازمند تولید گزارشات متنوعی از کلیه فعالیت‌های آنها می‌باشند. تجربه ثابت کرده است که نظارت بر رویدادهای مختلف و تولید گزارشات از این رویدادها برای جستجو و استخراج گزارشات متنوع و ضروری، بدون استفاده از سیستم‌های SIEM کار سخت و دشواری است. برای ایجاد درک مناسب از مقیاس داده‌های درگیر در سیستم اطلاعاتی امنیتی وسیستم مدیریت رویداد، در زیر تعدادی از پیاده سازی‌های سیستم‌های SIEM توسط گارتنر آورده شده است.

– یک استقرار کوچک از سیستم SIEM با 300 منبع رویداد با نرخ 1500 رویداد در ثانیه (EPS)  و فضای ذخیره سازی 800 گیگابایتی .

-یک استقرار متوسط از این سیستم با 800 منبع با نرخ 7000 رویداد بر ثانیه و فضای ذخیره سازی 5 ترابایت.

-یک استقرار وسیع از سیستم اطلاعاتی امنیتی و مدیریت رویداد(SIEM) با بیش از هزار منبع با نرخ بالای 25000 رویداد بر ثانیه (EPS) و با فضای ذخیرسازی 50 ترابایت.

امکان فیلترینگ در سیستم اطلاعاتی امنیتی و سیستم مدیریت رویداد (SIEM) برای فیلتر کردن اطلاعات مربوط به رویدادهای مختلف و نمایش اطلاعات حساس کمک کرده است تا امنیت کنترل پذیرتر شود.نکته دیگر اینکه سیستم‌های اطلاعاتی امنیتی و مدیریت رویداد(SIEM) در سازمان‌ها نقش کلیدی در ایجاد قواعد انطباق مربوط به تحلیل رویدادها دارد که بیشترین کمک را به سازمان‌ها می‌کند.

سهم سیستم‌های اطلاعاتی امنیتی و مدیریت رویداد(SIEM) از بازار IT

سیستم‌های اطلاعاتی امنیتی و مدیریت رویداد (SIEM) اگرچه نسبت کوچک اما مقدار قابل توجهی از هزینه‌های امنیتی سازمان‌های جهان و در حدود 2.5٪ را به خود اختصاص داده است. به طور کلی سازمان‌ها در سال 2017 مبلغی حدود 2,4 میلیارد دلار از هزینه 98 میلیارد دلاری امنیت خود را صرف سیستم‌های SIEM کرده‌اند. طبق گزارش Gartner انتظار می‌رود این عدد به 2.6 میلیارد دلار تا سال 2019 و 3.4 میلیارد دلار در سال 2021 افزایش یابد.

نحوه عملکرد سیستم SIEM

سیستم‌ SIEM در اصل یک سیستم تجزیه و تحلیل Big Data می‌باشد که از میان حجم زیادی از رویدادها و سایر داده‌ها جمع آوری و ذخیره شده، با استفاده از قوانین تحلیل مناسب اطلاعات مفیدی را استخراج می‌کند. منبع کلیدی داده‌ها و اطلاعات ورودی به این سیستم‌ها، logهای تولید شده توسط سیستم‌های شبکه از جمله سرورها، تجهیزات شبکه، تجهیزات امنیتی و نفاط پایانی می‌باشد. علاوه بر این SIEMها توانایی جمع آوری و تحلیل انواع مختلفی از داده‌ها از جمله ترافیک NetFlow و ترافیک خام شبکه و همچنین اطلاعات متنی مربوط به کاربران، دارایی‌ها، تهدیدات و آسیب پذیری‌ها را نیز دارند.

داده‌های جمع آوری شده از منابع مختلف برای اینکه توسط سیستم SIEM قابل تحلیل شود، بایستی با استفاده از مکانیزم‌های مناسبی نرمالسازی و یا با استفاده از ابزارهایی مناسب به فرمت قابل فهم تری تبدیل شوند. با اتمام کار دریافت و نرمال سازی داده‌ها، SIEM برای استخراج اطلاعات مفید، مراحل زیر را بر روی داده‌ها انجام می‌دهد:

  • جمع آوری و تفسیر لاگ‌ها
  • ایجاد فیدهای هوشمند حملات
  • همبسته سازی و تحلیل داده‌ها
  • ایجاد هشدارهای امنیتی
  • نمایش اطلاعات
  • ایجاد قواعد جدید

نحوه ی عملکرد سیستم های SIEM

تنوع منابع ارسال لاگ، نقطه تمایز سیستم‌های اطلاعاتی امنیتی و مدیریت رخداد (SIEM)

تمایز اصلی سیستم‌های SIEM با یکدیگردر تعداد و تنوع منابعی است که می‌توانند جهت ارسال داده‌ به آن متصل شوند. اگرچه معمولا ایجاد یک کانکتور برای تجهیزات مختلف شبکه و نرم افزارهای خاص جهت ارسال و دریافت لاگ امکان پذیر می‌باشد، اما این کار می‌تواند بسیار هزینه بر باشد. با توجه با این موضوع انجام همچین کاری برای منابعی بیشتر از تعداد انگشتان دست کاری غیر عملی است. با این وجود اگر شما برنامه‌های کاربردی سفارشی سازی شده خود را دارید، می‌توانید کانکتورهایی برای آنها ایجاد نمایید.شاید می‌توان گفت که اطمینان از پشتیبانی سیستم اطلاعاتی امنیتی و مدیریت رویداد (SIEM) از برنامه‌های تجاری سازمان، می‌تواند اصلی‌ترین تفاوت پروژه موفق و شکست خورده باشد.

 منابع مورد پشتیبانی توسط سیستم SIEM

  • سیستمهای تشخیص نفوذ/سیستمهای جلوگیری از نفوذ (IDS/IPS)
  • سیستمهای (DLP)
  • آنتی ویروس‌ها و نرم افزارهای امنیتی مربوط به Endpointها
  • فایروال‌ها
  • UTMها
  • VPNها
  • WAFها
  • Switchها و Routerهای شبکه
  • Domain Controllerها
  • Access Pointهای وایرلس
  • سرورهای برنامه‌های کاربردی و پایگاه‌های داده

سیستمهای SIEM و فیدهای هوشمند حملات (Threat intelligence feeds)

ترجیح بیشتر سازمان‌ها استفاده از فیدهای هوشمند ایجاد شده از حملات یا فیدهای موجود در محصول SIEM یا سرویس خریداری شده خود می‌باشد. با این وجود فیدهای تجار و فیدهای هوشمند حملات متن باز نیزارایه شده است که سازمان‌ها می‌توانند از آنها نیز استفاده کنند. تحقیقات نشان می‌دهد که استفاده از فیدهای هوشمند تجاری و متن باز به صورت همزمان می‌تواند در تشخیص حملات و تهدیدات بسیار مفید باشد. این فیدها علاوه بر اینکه همپوشانی با یکدیگر ندارند با دانشی که در مورد تهدیدات امنیتی در اختیار سیستم SIEM قرار می‌دهند احتمال تشخیص صحیح تهدیدات و حملات سایبری را افزایش می‌دهند.

با وجود اهمیت استفاده ازفیدهای هوشمند تجاری و متن باز در سیستم‌های اطلاعاتی امنیتی و مدیریت رویدا ممکن است هنوز بسیاری از سازمان‌ها بدلایل سادگی یا مالی مایل به استفاده از Feedهای موجود در سیستم SIEM خود باشند. نکته مهم در ارزیابی یک سسیتم SIEM مشخص کردن فیدهای پیش فرض موجود و میزان سازگاری با فیدهایی متن باز و تجاری سازگار می‌باشد. معمولا برای ارزیابی سیستم‌های SIEM از فریم ورک OpenIOC جهت مشخص کردن میزان سازگاری آنها با فیدرهای مختلف استفاده می‌شود.

موتور همبسته سازی و تحلیل (Correlation and analytics)

موتور همبسته سازی و آنالیز، هسته اصلی تکنولوژی‌های موجود در سیستم SIEM را تشکیل می‌دهند. این تکنولوژی شامل همبسته سازی لاگ‌های جمع آوری شده از وقایع مختلف و تحلیل دقیق آنها برای کشف الگوها و نشانه‌هایی جهت تشخیص رفتارهای مشکوک می‌باشد.

یک مثال ساده برای روشن‌تر شدن کار موتور همبسته سازی و تحلیل سیستم‌های SIEM، تشخیص پورت اسکن توسط این سیستم‌ها است. این ماژول با تحلیل و همبسته سازی رویدادهای مربوط به ارتباطات منجر شده به دسترسی به نوع خاصی از داده‌ها به شناسایی حملات پورت اسکن کمک می‌کنند. بنابراین ماژول تجزیه و تحلیل موجود در سیستم SIEM بایستی به گونه ای طراحی و پیاده سازی شود تا با قرار دادن اطلاعات مختلف مربوط به رویدادهای تجهیزات امنیتی و اطلاعات مربوط به دارایی‌های سازمان در کنار هم با آنالیز دقیق این اطلاعات به طور موثری در کار تشخیص فعالیت‌های مشکوک به سیستم‌های SIEM کمک نمایند.

نکته مهم قبل از هرگونه تصمیم گیری در خرید سیستم SIEM بررسی دقیق و کامل قابلیت‌های سیستم مورد می‌باشد.

کلیدی‌ترین نکته برای داشتن سیستم SIEM با قابلیت کشف تهدیدات بالقوه، ایجاد و استفاده از قوانین همبسته سازی مناسب و قوی می‌باشد. تعدادی از این قوانین معمولا به همراه خود سیستم ارائه می‌شوند و مابقی توسط خود مدیر سیستم به آن اضافه می‌شود. به عنوان مثال یک قاعده همبسته سازی ساده می‌تواند این باشد که اگر چندین تلاش ورود ناموفق از یک آدرس IP مشخص و با استفاده از نام‌های کاربری مختلف در یک بازه زمانی 15 دقیقه ای رخ داد و در ادامه این تلاش منجر به ورود موفق از همان آدرس IP به دستگاهی در شبکه شد، بایستی برای این رخداد هشداری تولید شود. در مواردی مانند این موضوع، موتور همبسته سازی SIEM برای شناسایی  الگوی رفتاری (تلاش های ورود ناموفق به سیستم  با یک ورد موفقیت آمیز به آن) دست به کار می‌شود. طبق قواعد و الگوهای تشخیص رفتاری مربوط به سیستم SIEM، این رخداد ممکن است نشان دهنده یک حمله Brute Force موفقیت آمیز باشد.

هشدارهای امنیتی (Security alerts)

هشدارهای امنیتی مهمترین ویژگی ابزاری سیستم‌های SIEM به حساب می‌آید. این قابلیت توانایی سیستم SIEM برای استفاده از قوانین و قواعد همبستگی برای هشدار به کارشناسان امنیتی در کمترین زمان ممکن و در هنگام تشخیص حملات احتمالی را فراهم می‌کند. این هشدارها می توانند بر روی یک داشبورد متمرکز نمایش داده شوند یا با استفاده از روش‌های دیگر از جمله ارسال ایمیل اتوماتیک یا پیام‌های متنی اطلاع‌رسانی شوند.

یکی از مشکلات بالقوه سیستم SIEM تازه نصب شده، تولید تعداد زیادی هشدار مثبت منفی می‌باشد که می‌تواند بیهوده زمان کارشناس امنیت را جهت بررسی این هشدارها بگیرد. در هنگام نصب سیستم‌های اطلاعاتی امنیتی و مدیریت رویداد (SIEM) توجه با این نکته ضروری است که تمام قوانین پیش فرض سیستم مورد بازبینی قرار گیرد و هرکدام از آنها که در شبکه خاص شما قابل استفاده نیست، غیرفعال گردد. بنابراین موقع استقرار SIEM ممکن است نیاز باشد برخی از قوانین غیر فعال یا با قوانین جدید جایگزین شوند که این کار نیازمند بازنویسی قواعد جهت سازگاری با معماری شبکه می باشد.

نمایش اطلاعات (Data Presentation)

یکی دیگر از ویژگی‌های مهم و عملیاتی سیستم‌های SIEM نمایش داده‌های تفسیر شده از منابع مختلف بر روی داشبورد امنیتی و به صورت نمودارهای گرافیکی است تا بتوان درک بهتری از داده های تفسیر شده داشت. این که شما با یک نگاه به کل موضوع پی ببرید با اینکه در بین هزاران هزار لاگ به دنبال ناهنجاری بگردید، قابل قیاس نیست. این قابلیت یکی دیگر از ویژگی‌هایی است که سیستم SIEM می‌تواند با استفاده از آن سرعت پاسخ خود به حوادث و کارایی‌اش را بهبود بخشد.

تطابق (Compliance)

از تکنولوژی‌های استفاده شده در سیستم‌های SIEM در بیشتر موارد برای جمع آوری رویدادها و لاگ‌ها در جهت تولید گزارشات مطابق با نیازهای امنیتی و تولید قواعد تطابقی خاص برای حذف فرایندهای دستی خسته کننده و هزینه بر استفاده می‌شود. بعضی از افراد پیشنهاد ادغام شدن این سیستم ها با فریم ورک تطابقی یکپارچه (Unified Compliance Framework) را دارند. این فریم ورک امکان “جمع آوری یک باره و تطابق آنها با تعداد زیادی قاعده ” را به سیستم می دهد. این کار رویکردی جهت ایجاد گزارش های انطباقی فراهم می کند. داشتن یک سیستم SIEM یعنی قرار داشتن در مرکز چندین رژیم انطباق، مانند PCI-DSS و ISO 27001 می باشد که مشخصه اصلی ISO برای مدیریت سیستم های امنیتی است.

قابلیت های پیشرفته سیستم‌های اطلاعاتی امنیتی و مدیریت رویداد (UEBA and SOAR)

بسیاری از سیستم های SIEM از ویژگی‌های بنیادی و پایه‌ای که برای آنها تعریف شده است پا را فراتر گذاشته و ویژگی‌های پایه ای سیستم‌های خود را با امکانات و قابلیت‌های پیشرفته‌ای ترکیب کرده‌اند. از بین این قابلیت‌ها، به طور خاص می توان به دو ویژگی تحلیل و آنلالیز رفتاری کاربران و سایر موجودیت‌ها (UEBA) و اتوماتیک کردن ساختار و عملیات‌های امنیتی و پاسخگویی به حملات (SOAR) اشاره کرد.

تحلیل و آنلالیز رفتار کاربران (UBA) و تحلیل و آنلالیز رفتار کاربران و سایر موجودیت‌ها (UEBA)

طبق ارزیابی‌ها سه چهارم ازحملات در شبکه با استفاده از دسترسی به اطلاعات کاربران (مانند کلمه عبور) انجام می‌شود. با توجه به آمار بالای این حملات بسیاری از سیستم های SIEM راهکارهایی برای تشخیص رفتار غیرعادی کاربران یا سایر موجودیت‌ها که نشان دهنده ی نفوذ در شبکه سازمان باشد را توسعه داده اند.

ایده اصلی این تکنولوژی این است که اگر کاربر “Brian” در بخش بازاریابی کار می‌کند و معمولا هر روز صبح ساعت 9 تا 9:30 به سیستم خود لاگین و در ساعت 5 بعد از ظهر از اکانت خود خارج می‌شود. اگر او به صورت ناگهانی و در ساعت 3 صبح تلاش کند که ازسیستمی در بخش مالی به شبکه وارد شود، این رفتاری بسیار مشکوک است. چنین رفتار مشکوکی منجر به تولید هشدار در سیستم SIEM می‌شود.

اتوماتیک کردن ساختار و عملیات‌های امنیتی و پاسخ به حوادث (SOAR)

قابلیت SOAR سیستم‌های SIEM، نشان دهنده ظهور نسل بعدی سیستم‌ها SIEM در عرصه محصولات امنیتی می‌باشد. این سیستم ها علاوه بر قابلیت ایجاد و انتشار هشدارهای امنیتی در زمان تشخیص فعایت‌های مشکوک، قادر به انجام اقدامات لازم جهت کاهش تبعات حمله به صورت خودکار می‌باشند. 

به عنوان مثال، یک اسکن معمولی آسیب پذیری که با فیدهای هوشمند تهدیدات ترکیب شده باشد، می تواند نشان دهنده آسیب پذیری جدید بر روی تجهیز مورد نظر باشد. یک سیستم SOAR می‌تواند به صورت کاملا اتوماتیک به سیستم بروز رسانی جهت پچ کردن سرور دستور دهد و یا اینکه با استفاده از ابزارهای دیگر میزان تاثیرات تهدید بر روی سرور را به طور خودکار کاهش دهد.

هوش مصنوعی و تجزیه و تحلیل Big Data

تولید کنندگان سیستم های SIEM همیشه در تلاش اند تا قابلیت‌های جدیدی با استفاده از هوش مصنوعی و توانایی یادگیری عمیق به سیستم های خود اضافه نمایند. این هوشمند سازی سیستم می‌تواند شامل تولید قواعد به صورت اتوماتیک، تشخیص رفتارهای مشکوک و تجزیه و تحلیل آماری پیشرفته باشد. همه این کارها با هدف تشخیص سریع تهدیدات و همچنین کاهش میران تشخیص‌های مثبت غلط (False positives) انجام می‌شود.

نحوه انتخاب یک محصول SIEM

با تنوع گسترده سیستم‌های SIEM، نقطه شروع برای انتخاب یک سیستم مناسب، مشخص کردن دقیق وظایف سیستم SIEM در سازمان می‌باشد. به عنوان مثال اگر انگیزه اصلی شما از خرید و راه اندازی سیستم SIEM استفاده از قوانین انطباقی فعلی و تولید قوانین جدید باشد، شما بایستی سیستم‌هایی با قابلیت گزارش‌دهی با جزییات کامل را مد نظر قرا دهید. همچنین اگر قصد راه اندازی مرکز عملیات امنیتی (SOC) در سازمان خود را دارید، محصولی مناسب است که بیشتر بر روی پارامترهای امنیتی تمرکز داشته باشد. علاوه بر این اگر قصد شما کمک به تشخیص هرچه بهتر و سریع تهدیدات جدید می‌باشد، بایستی محصولی با ابزارهای تجسم داده ای قوی و قابلیت جستجو مناسب را انتخاب نمایید.

علاوه بر موارد ذکر شده اندازه سازمان یکی دیگر از عوامل مهم تعیین کننده در انتخاب SIEM می‌باشد: برای مثال اگر در شبکه شما 100،000 رخداد در ثانیه (EPS) تولید می‌شود، شما فقط محدود به استفاده از سیستم‌های SIEM با توان بالا می‌باشید.

اقبال سیستم‌های SIEM

گزارش اخیر از نظر سنجی در مورد سیستم اطلاعاتی امنیتی و مدیریت رویداد (SIEM) در 559 سازمان بزرگ در سراسر ایالات متحده نشان می‌دهد: 84 درصد از سازمان‌ها اظهار کرده‌اند که موضوع داشتن سیستم SIEM برای بهبود و کمک به فرآیندهای تشخیص و پاسخ به حوادث امری مهم و ضروری است.

نظرسنجی دیگری که توسط موسسه Ponemon با حمایت Cyphort که به صورت Starup امنیتی و توسط شرکت Juniper Networks در سال 2017 اجرایی شد، نشان می‌دهد که فقط 48 درصد سازمان‌ها از گزارشی که از سیستم‌های اطلاعاتی و امنیتی (SIEM) دریافت می کنند، راضی هستند. این آمار منفی ممکن است به این دلیل باشد که آنها بیش از حد نیاز بر روی Feedهای خاص تمرکز کرده و هشدارهای زیادی دریافت می‌کنند. دلیل دیگر آن نیر می‌تواند انتظار بیش از حدی باشد که از سیستم های SIEM می‌رود.

موضوعاتی همچون چالش‌های پیش روی کارشناسان امنیت سازمان برای ادغام سیستم SIEM با سایر سیستم‌های امنیتی نیز می تواند پشت نارضایتی از سیستم های SIEM باشد.

نیاز نیروی انسانی سیستم‌های SIEM

بررسی‌های انجام شده توسط موسسه Ponemon نشان می دهد که فقط 25 درصد سرمایه گذاری سازمان ها برای خرید و راه اندازی سیستم SIEM، مربوط به خرید اولیه نرم افزار می‌باشد. این در حالی است که 75 درصد آن به نصب، نگهداری و حقوق کارشناسان اختصاص داده می‌شود. براساس آمار ارایه شده در این بررسی 78 درصد سازمان‌ها یک یا کمتر از یک نیروی تمام وقت برای مدیریت سیستم SIEM دارند. دلیل عمده و اصلی این موضوع این است که سالانه بیش از 64 درصد سازمان‌ها بالای یک میلیون دلار برای مشاوران و پیمانکاران خارجی برای پیکربندی و مدیریت SIEM پرداخت می‌کنند. 68 درصد از پاسخ دهندگان به نظر سنجی نیز اعلام کرده اند که برای به حداکثر رساندن ارزش SIEM در سازمانشان به کارکنان بیشتری نیاز دارند.

واضح است که اگر قصد خرید سیستم SIEM دارید، بایستی هزینه نگهداری و حقوق کارکنان را در معادلات مالی و بودجه سالیانه سازمان خود در نظر بگیرید. اینکه شما فقط هزینه خرید نرم افزار و سخت افزار را در بودجه خود در نظر بگیرید کافی نیست. زیرا شما باید هزینه‌های استخدام و آموزش پرسنل ماهر را در بودجه عملیات امنیتی خود در نظر داشته باشید تا این اطمینان حاصل شود که در آینده می‌توانید قابلیت‌های جدیدی را خریداری و با سیستم خود ادغام و یکپارچه نمایید.

یک رویکرد جایگزین و مخصوص سازمان‌های کوچک که توانایی راهبری سیستم SIEM به صورت 24 ساعته را ندارند، استفاده از یک ارائه دهنده خدمات امنیتی مدیریت شده (MSSP) می‌باشد. یک ارائه دهنده خدمات امنیتی مدیریت شده می‌تواند سیستم SIEM را تحت عنوان سرویسی با هدف نظارت بر سیستم‌های شما ارایه دهد. همچنین در برخی موارد با تعیین و انجام اقدامات مناسب از طرف شما به هشدارها پاسخ مناسب دهد.

چگونه سیستم SIEM را در سارمان خود پیاده سازی نماییم

پیاده سازی SIEM می‌تواند یک پروسه طولانی و پرهزینه برای سازمان باشد. کم هزینه ترین راه برای استقرار سیستم SIEM در سازمان استفاده از مشاوران یا خدمات حرفه ای ارائه شده توسط فروشنده می‌باشد. خروجی نهایی این کار استقرار سیستمی است که نیازهای امنیتی شما را به طور کامل پوشش می‌دهد.

گام‌های اصلی عبارتند از:

  • تعیین معماری سیستم، از جمله سیستم داشبورد و گزارشگری، ایندکس گذاری، سیستم ذخیره سازی و سیستم‌های جمع آوری لاگ
  • انتخاب سخت افزار مناسب بر اساس فاکتورهایی مانند حجم داده مربوط به لاگ‌های ورودی به سیستم (که براساس تعداد رویدادها در ثانیه اندازه گیری می‌شود) و تعداد منابع ورودی لاگ
  • فراهم کردن الزامات ذخیره سازی و مشخص کردن نحوه تامین این منابع به همراه زیرساخت مناسب شبکه جهت دسترسی به منابع ذخیره ساز.
  • نصب سرورها و برنامه‌های کاربردی
  • پیکربندی سیستم، از جمله تنظیم ورودی‌های سیستم با استفاده از اتصالات استاندار یا کانکتورهای سفارشی، تنظیم داشبورد و زمانبندی گزارشات، تنظیم قوانین و قواعد همبسته سازی و فعال کردن هشدارهای مورد نیاز.

10 محصول برتر سیستم اطلاعاتی امنیتی و مدیریت رخداد (SIEM)

  • Micro Focus ArcSight
  • (Splunk Enterprise Security (ES
  • IBM Security QRadar
  • (AlienVault Unified Security Management (USM
  • LogRhythm SIEM
  • (McAfee Enterprise Security Manager (ESM
  • Micro Focus Sentinel Enterprise
  • SolarWinds Log & Event Manager
  • Trustwave SIEM Enterprise and Log Management Enterprise
  • RSA NetWitness Suite