سیستمهای SIEM
سیستمهای SIEM
به طور کلی سیستمهای اطلاعاتی امنیتی و مدیریت رویداد یا SIEM، اطلاعات مربوط به رویدادهای مختلف را از طیف وسیعی از منابع نرم افزاری، تجهیزات امنیتی، تجهیزات زیرساخت شبکه و برنامههای در حال اجرا دریافت، ذخیره و تحلیل میکنند.
سیستمهای SIEM عمدتا دو هدف مهم را دنبال میکنند
هدف اول جمع آوری، ذخیره، تجزیه و تحلیل، تحقیق و گزارش در مورد لاگها و سایر دادههای دریافتی از تجهیزات شبکه سازمان با هدف پاسخ سریع به حوادث، کارهای فارنزیکی و ایجاد قواعد نظارتی.
هدف دوم تجزیه و تحلیل برخط دادههای مربوط به رویدادها و حوادث جهت تسهیل در تشخیص سریع حملات پیشرفته، خاص منظوره و روز صفر.
اقبال سیستم اطلاعاتی امنیتی و مدیریت رویداد (SIEM)
با مطرح شدن مفاهیم مربوط به سیستمهای SIEM در بازار امنیت، نیازهای جدیدی در سازمانهای مختلف شکل گرفته است. از طرفی پیش قدمی سازمانها برای پیاده سازی و سازگاری با این سیستمها باعث شده تا شرکتهای تولید کننده SIEM به صورت حداکثری الزامات امنیتی مورد نیاز سازمانها را در طراحی و پیاده سازی معماری خود در نظر بگیرند.
در حال حاضر اولین اقدام برای سازگاری با قابلیتهای جدید امنیتی توسط سازمانها، پذیرش امکاناتی است که سیستمهای SIEM ارایه میدهند. زیرا همه سازمانها این موضوع را میدانند که اگر هکرها ابزار و منابع کافی در اختیار داشته باشند – که در بیشتر موارد توسط کشور دیگری پشتیبانی میشوند – میتوانند سیستمهای امنیتی فعلی را Bypass کنند. پس بهتر است از راهکاری استفاده کنند که در صورت بروز چنین اتفاقی سریعا مطلع شوند و اقدامات لازم را برای جلوگیری انجام دهند.
دغدغههای امنیتی موجود در حوزه نظارت و پایش شبکه نیز باعث شده تا اکثر سازمانها به فکر پیاده سازی راهکارهای مبتنی بر نظارت و پایش شبکه مانند SIEM در کنار راهکارهای امنیتی موجود بیافتند. استفاده از راهکارهایی مانند SIEM به سازمانها کمک میکند تا با شناسايی سریع و دقیق حملات و نقض قوانین امنيتی، آسیبهای مربوط به حملات را به حداقل برسانند. در واقع این سیستمها به سازمان کمک میکنند تا با انجام اقدامات دقیق و حساب شده، مدیریت ریسک مناسبی در هنگام بروز حوادث داشته باشند.
براساس گزارش Gartner راه اندازی سیستمهای SIEM در سازمانهایی با منابع امنیتی محدود، نیازمند کارهای توسعهای جدید و بهبود فرآیندها و ساختارهای امنیتی میباشد. در واقع سیستم SIEM به کمک تغییراتی که در ساختار و فرآیندهای امنیتی سازمان رخ میدهد به تشخیص هر چه سریع تر تهدیدات کمک میکند.
چرایی نیاز سازمانها به سیستم اطلاعاتی امنیتی و مدیریت رویداد (SIEM)
یکی از دلایل نیاز سازمانها به سیستم SIEM رسیدن به شفافیت در رابطه با فعالیتهای کاربران خود میباشد. زیرا سازمانها به صورت دائمی نیازمند تولید گزارشات متنوع از همه فعالیتهای کاربران خود میباشند. کار تجزیه و تحلیل انواع رویدادها و همچنین تولید و ارایه گزارش از آنها، بدون استفاده از سیستمهای SIEM کار سخت و دشواری است.
برای درک مناسب از مقیاس دادههای درگیر در سیستم اطلاعاتی امنیتی و مدیریت رویداد، تعدادی از پیاده سازیهای سیستمهای SIEM توسط گارتنر در زیر آورده شده است.
– یک استقرار کوچک از سیستم SIEM با 300 منبع رویداد با نرخ 1500 رویداد در ثانیه (EPS) و فضای ذخیره سازی 800 گیگابایتی .
-یک استقرار متوسط از این سیستم با 800 منبع با نرخ 7000 رویداد بر ثانیه و فضای ذخیره سازی 5 ترابایت.
-یک استقرار گسترده از سیستم SIEM با بیش از هزار منبع با نرخ بالای 25000 رویداد بر ثانیه (EPS) و با فضای ذخیرسازی 50 ترابایت.
قابلیت فیلترینگ اطلاعات مربوط به رویدادهای مختلف در سیستم SIEM و نمایش اطلاعات حساس سبب شده است تا امنیت کنترل پذیرتر شود. نکته دیگر اینکه سیستمهای SIEM نقش کلیدی و مهمی در ایجاد قواعد انطباق مربوط به تحلیل رویدادها بر عهده دارند.
سهم سیستمهای اطلاعاتی امنیتی و مدیریت رویداد(SIEM) از بازار IT
در حال حاضر سیستمهای اطلاعاتی امنیتی و مدیریت رویداد (SIEM) اگرچه نسبت کوچک اما میزان قابل توجهی از هزینههای امنیتی سازمانها و در حدود 2.5٪ را به خود اختصاص دادهاند.
در مجموع سازمانها در سال 2017 مبلغی بالغ بر 2,4 میلیارد دلار از هزینه 98 میلیارد دلاری خود را صرف سیستمهای SIEM کردهاند. طبق گزارش Gartner انتظار میرود این عدد تا سال 2019 به 2.6 میلیارد دلار و تا سال 2021 به عدد 3.4 میلیارد دلار برسد.
نحوه کار یک سیستم SIEM
یک سیستم SIEM در اصل یک سیستم تجزیه و تحلیل Big Data میباشد که با استفاده از قوانین تحلیل مناسب، اطلاعات مفید و مورد نیاز را از حجم زیادی از رویدادها و سایر دادهها استخراج میکند.
اصلیترین منبع ورودی دادهها و اطلاعات سیستم SIEM لاگها تولید شده توسط سیستمهای شبکه از جمله سرورها، تجهیزات شبکه، تجهیزات امنیتی و نقاط پایانی میباشد. علاوه براین یک سیستم SIEM میتواند انواع مختلفی از دادهها از جمله ترافیک NetFlow و ترافیک خام شبکه و همچنین اطلاعات متنی مربوط به کاربران، داراییها، تهدیدات و آسیب پذیریها را جمع آوری و تجزیه تحلیل کند.
برای اینکه دادههای جمع آوری شده از منابع مختلف بتوانند توسط سیستم SIEM قابل تحلیل شود، بایستی با استفاده از مکانیزمهای مناسبی نرمالسازی شوند و یا با استفاده از ابزارهایی مناسب به فرمت قابل فهمتری تبدیل شوند. بعد از اتمام کار دریافت و نرمال سازی دادهها، SIEM مراحل زیر را برای استخراج اطلاعات مفید از دادههای ارسالی انجام میدهد.
- جمع آوری و تفسیر لاگها
- ایجاد فیدهای هوشمند حملات
- همبسته سازی و تحلیل دادهها
- ایجاد هشدارهای امنیتی
- نمایش اطلاعات
- ایجاد قواعد جدید
نقطه تمایز سیستمهای اطلاعاتی امنیتی و مدیریت رخداد (SIEM)
تمایز اصلی سیستمهای SIEM با یکدیگردر تعداد و تنوع منابعی است که میتوانند جهت ارسال داده به آنها متصل شوند. در تئوری اگرچه ایجاد یک کانکتور برای یک تجهیز شبکهای و برنامه کاربردی خاص برای ارسال و دریافت لاگ امکان پذیر است، اما این کار میتواند بسیار هزینهبر باشد. به همین دلیل انجام همچین کاری برای منابعی بیشتر از تعداد انگشتان دست، کاری غیر عملی است. با وجود این، اگر برنامههای کاربردی سفارشی شدهای داشته باشیم، میتوانیم کانکتور مخصوص به آن را ایجاد کنیم. شاید میتوان گفت در برخی پروژهها، پشتیبانی سیستم SIEM از برنامههای تجاری سازمان، اصلیترین تفاوت پروژه SIEM موفق و شکست خورده باشد.
منابع مورد پشتیبانی توسط سیستم SIEM
- سیستمهای تشخیص نفوذ و جلوگیری از نفوذ (IDS/IPS)
- سیستمهای (DLP)
- آنتی ویروسها و نرم افزارهای امنیتی مربوط به Endpointها
- فایروالها
- UTMها
- VPNها
- WAFها
- Switchها و Routerهای شبکه
- Domain Controllerها
- Access Pointهای وایرلس
- سرورهای برنامههای کاربردی و پایگاههای داده
- سیستمهای کنترل دسترسی مانند سیسکو ISE
سیستمهای SIEM و فیدهای هوشمند تهدیدات (Threat intelligence feeds)
ترجیح بیشتر سازمانها در قدم اول استفاده از فیدهای ارایه شده بر روی محصول و سرویس خریداری شده و فیدهای ایجاد شده توسط سیستم SIEM از حملات و تهدیدات شناسایی شده میباشد. با این وجود فیدهای تجاری و متن باز دیگری نیز توسط برخی از شرکتها ارایه میشوند که سازمانها میتوانند از آنها در سیستم SIEM خود استفاده کنند.
تجربه نشان میدهد که استفاده همزمان از فیدهای هوشمند تجاری و متن باز میتواند در تشخیص دقیق حملات و تهدیدات بسیار موثر باشد. این فیدها علاوه بر اینکه هیچ همپوشانی باهم ندارند، بلکه با دانشی که در مورد تهدیدات امنیتی در اختیار سیستم SIEM قرار میدهند احتمال تشخیص صحیح تهدیدات و حملات سایبری را نیز افزایش میدهند. بسیاری از سازمانها با وجود آگاهی از اهمیت بالای استفاده ازفیدهای هوشمند تجاری و متن باز، همچنان به خاطر دلایلی مانند سادگی کار یا دلایل مالی، فقط از Feed های موجود در سیستم SIEM خود استفاده میکنند.
یکی از موارد ارزیابی یک سسیتم SIEM، مشخص کردن میزان سازگاری فیدهای پیش فرض موجود در آن با فیدهای متن باز و تجاری است. معمولا در ارزیابی سیستمهای SIEM برای مشخص کردن میزان سازگاری آن با فیدرهای مختلف از فریم ورک OpenIOC استفاده میشود.
موتور همبستهسازی و تحلیل (Correlation and analytics)
موتور همبستهسازی و آنالیز، هسته اصلی تکنولوژیهای استفاده شده در سیستم SIEM را تشکیل میدهند. این تکنولوژی شامل همبسته سازی لاگهای جمع آوری شده از وقایع مختلف و تحلیل دقیق آنها با استفاده از مکانیزمهای پیشرفته برای کشف الگوها و نشانههای رفتارهای مشکوک میباشد.
برای درک روش کار موتور همبستهسازی و تحلیل، حمله پورت اسکن را در نظر بگیرید. سیستم SIEM از طریق تحلیل و همبستهسازی رویدادهای مرتبط با ارتباطاتی که با دسترسی به نوع خاصی از دادهها همراه بودهاند، حملات پورت اسکن را شناسایی میکند. بنابراین ماژول تجزیه و تحلیل سیستم SIEM بایستی به گونه ای طراحی شود که بتواند، اطلاعات مختلف مربوط به رویدادهای تجهیزات امنیتی و اطلاعات داراییهای سازمان را در کنار هم قرار دهد و با آنالیز دقیق این اطلاعات به طور موثری کار تشخیص تهدیدات و فعالیتهای مشکوک را انجام دهد.
قوانین همبستهسازی
نکته کلیدی برای داشتن یک سیستم SIEM با قابلیت کشف تهدیدات بالقوه، ایجاد و استفاده از قوانین همبستهسازی مناسب میباشد. معمولا به صورت پیشفرض تعدادی محدودی از قوانین همبستهسازی به همراه خود سیستم ارائه میشوند و بایستی مابقی قوانین طبق نیاز سازمان توسط مدیر سیستم به آن اضافه شوند.
به عنوان مثال یک قاعده همبستهسازی ساده میتواند این باشد که اگر تلاشهای ناموفقی از یک آدرس IP برای ورود به یک سیستم مشخص و با استفاده از نامهای کاربری مختلف و در یک بازه زمانی 15 دقیقهای انجام شد. و در ادامه این تلاشها به یک ورود موفق از همان آدرس IP به دستگاهی در شبکه بیانجامد. سیستم SIEM بایستی برای این رخداد، هشداری تولید کند. در موارد مشابه مورد بالا (تلاش های ورود ناموفق به سیستم با یک ورد موفقیت آمیز به آن) نیز موتور همبسته سازی SIEM برای شناسایی الگوی رفتاری دست به کار میشود. طبق قواعد و الگوهای تشخیص رفتاری سیستم SIEM، این رخدادها میتواند نشان دهنده یک حمله Brute Force موفقیت آمیز باشد.
هشدارهای امنیتی (Security alerts)
هشدارهای امنیتی مهمترین ویژگی سیستمهای SIEM به حساب میآید. این قابلیت توانایی سیستم SIEM برای استفاده از قوانین و قواعد همبستگی برای هشدار به کارشناسان امنیتی در کمترین زمان ممکن و در هنگام تشخیص حملات احتمالی را فراهم میکند. این هشدارها می توانند بر روی یک داشبورد متمرکز نمایش داده شوند یا با استفاده از روشهای دیگر از جمله ارسال ایمیل اتوماتیک یا پیامهای متنی اطلاعرسانی شوند.
یکی از مشکلات بالقوه سیستم SIEM تازه نصب شده، تولید تعداد زیادی هشدار مثبت منفی میباشد که میتواند بیهوده زمان کارشناس امنیت را جهت بررسی این هشدارها بگیرد. در هنگام نصب سیستمهای اطلاعاتی امنیتی و مدیریت رویداد (SIEM) توجه به این نکته ضروری است که تمام قوانین پیش فرض سیستم مورد بازبینی قرار گیرد و هرکدام از آنها که در شبکه شما قابل استفاده نیست، غیرفعال گردد. بنابراین موقع استقرار سیستم SIEM ممکن است نیاز باشد برخی از قوانین غیر فعال یا با قوانین جدید جایگزین شوند که این کار نیازمند بازنویسی قواعد جهت سازگاری با معماری شبکه میباشد.
نمایش اطلاعات (Data Presentation)
یکی دیگر از ویژگیهای مهم و عملیاتی سیستمهای SIEM، نمایش دادههای تفسیر شده از منابع مختلف بر روی داشبورد امنیتی و به صورت نمودارهای گرافیکی است تا بتوان درک بهتری از دادههای تفسیر شده داشت. این که شما با یک نگاه به کل موضوع پی ببرید با اینکه در بین هزاران هزار لاگ به دنبال ناهنجاری بگردید، خیلی متفاوت است. این قابلیت یکی دیگر از ویژگیهایی است که سیستم SIEM میتواند با استفاده از آن سرعت پاسخ خود به حوادث را بهبود بخشد.
تطابق (Compliance)
در بسیاری از سازمانها از تکنولوژیهای موجود در سیستمهای SIEM برای جمع آوری رویدادها و لاگها مورد نیاز برای تولید گزارشات مطابق با نیازهای امنیتی و قواعد تطابقی خاص منظوره و با هدف حذف فرایندهای دستی خسته کننده و هزینه بر استفاده میشود. به همین دلیل افراد بسیاری پیشنهاد ادغام شدن این سیستمها با فریم ورک تطابقی یکپارچه (Unified Compliance Framework) را دارند. این فریم ورک امکان “جمع آوری یک باره دادهها و تطابق آنها با تعداد زیادی قاعده ” را به سیستم میدهد. این کار باعث ایجاد رویکردی برای ایجاد گزارشهای انطباقی میشود.
داشتن یک سیستم SIEM به معنی قرار داشتن در مرکز چندین رژیم انطباق، مانند PCI-DSS و ISO 27001 میباشد که اصلیترین مشخصه ISO برای مدیریت سیستمهای امنیتی است.
قابلیت های پیشرفته سیستمهای اطلاعاتی امنیتی و مدیریت رویداد (UEBA and SOAR)
بسیاری از سیستم های SIEM از ویژگیهای بنیادی و پایهای خود پا را فراتر گذاشته و ویژگیهای موجود را با امکانات و قابلیتهای پیشرفتهای ترکیب کردهاند. از بین این قابلیتها، به طور خاص می توان به دو ویژگی تحلیل و آنلالیز رفتاری کاربران و سایر موجودیتهای شبکه (UEBA) و اتوماتیک کردن ساختار و عملیاتهای امنیتی و پاسخگویی به حملات (SOAR) اشاره کرد.
تحلیل و آنلالیز رفتار کاربران (UBA) سایر موجودیتهای شبکه (UEBA)
طبق گزراشات موجود، سه چهارم از حملات در شبکه از طریق دسترسی به اطلاعات کاربری (مانند نام کاربری و کلمه عبور) انجام میشود. با توجه به آمار بالای این حملات، بسیاری از سیستمهای SIEM راهکارهایی برای تشخیص رفتار غیرعادی کاربران و سایر موجودیتهای شبکه که میتواند نشان دهنده نفوذ در شبکه سازمان باشد را توسعه دادهاند.
ایده اصلی این تکنولوژی به این صورت است که برای مثال اگر کاربر “Brian” در بخش بازاریابی کار میکند و او معمولا هر روز صبح ساعت 9 تا 9:30 به سیستم خود لاگین و در ساعت 5 بعد از ظهر از اکانت خود خارج میشود. این رفتار برای او به عنوان یک رفتار عادی در نظر گرفته میشود. اگر این کاربر یک روز به صورت ناگهانی ساعت 3 صبح تلاش کند تا ازسیستمی در بخش مالی به شبکه وارد شود، سیستم براساس رفتار نرمال قبلی کاربر این رفتار را مشکوک تشخیص داده و هشداری برای آن ایجاد میکند.
اتوماتیک کردن ساختار و عملیاتهای امنیتی و پاسخ به حوادث (SOAR)
قابلیت SOAR سیستمهای SIEM، نشان دهنده ظهور نسل بعدی سیستمها SIEM در عرصه محصولات امنیتی میباشد. این سیستمها علاوه بر قابلیت ایجاد و انتشار هشدارهای امنیتی در زمان تشخیص فعایتهای مشکوک، قادر به انجام اقدامات لازم جهت کاهش تبعات حمله به صورت خودکار میباشند.
به عنوان مثال، یک اسکن معمولی آسیب پذیری که با فیدهای هوشمند تهدیدات ترکیب شده باشد، میتواند نشان دهنده آسیب پذیری جدید بر روی تجهیز مورد نظر باشد. یک سیستم SOAR میتواند به صورت کاملا اتوماتیک به سیستم بروز رسانی جهت پچ کردن سرور دستور دهد و یا اینکه با استفاده از ابزارهای دیگر میزان تاثیرات تهدید بر روی سرور را به طور خودکار کاهش دهد.
هوش مصنوعی و تجزیه و تحلیل Big Data
تولید کنندگان سیستمهای SIEM همیشه در تلاشاند تا قابلیتهای جدیدی از طریق هوش مصنوعی و یادگیری عمیق به سیستمهای خود اضافه کنند. این هوشمند سازی سیستم میتواند شامل تولید قواعد به صورت اتوماتیک، تشخیص رفتارهای مشکوک و تجزیه و تحلیل آماری پیشرفته باشد. همه این کارها با هدف تشخیص سریع تهدیدات و همچنین کاهش میران تشخیصهای مثبت غلط (False positives) انجام میشود.
نحوه انتخاب یک محصول SIEM
با تنوع گسترده سیستمهای SIEM، نقطه شروع برای انتخاب یک سیستم مناسب، مشخص کردن دقیق وظایف سیستم SIEM در سازمان میباشد. به عنوان مثال اگر انگیزه اصلی شما از خرید و راه اندازی سیستم SIEM استفاده از قوانین انطباقی فعلی و تولید قوانین جدید باشد، شما بایستی سیستمهایی با قابلیت گزارشدهی با جزییات کامل را مد نظر قرا دهید. همچنین اگر قصد راه اندازی مرکز عملیات امنیتی (SOC) در سازمان خود را دارید، محصولی مناسب است که بیشتر بر روی پارامترهای امنیتی تمرکز داشته باشد. علاوه بر این اگر قصد شما کمک به تشخیص هرچه بهتر و سریع تهدیدات جدید میباشد، بایستی محصولی با ابزارهای تجسم دادهای قوی و قابلیت جستجو مناسب را انتخاب نمایید.
علاوه بر موارد ذکر شده اندازه سازمان یکی دیگر از عوامل مهم تعیین کننده در انتخاب SIEM میباشد: برای مثال اگر در شبکه شما 100،000 رخداد در ثانیه (EPS) تولید میشود، شما فقط محدود به استفاده از سیستمهای SIEM با توان بالا میباشید.
نیاز نیروی انسانی سیستمهای SIEM
بررسیهای موسسه Ponemon نشان می دهد که فقط 25 درصد از هزینه سازمانها برای خرید و راه اندازی سیستم SIEM، مربوط به خرید اولیه نرم افزار میباشد. یعنی75 درصد از این هزینه صرف نصب، نگهداری و حقوق کارشناسان میشود. براساس آمار ارایه شده 78 درصد سازمانها یک یا کمتر از یک نیروی تمام وقت برای مدیریت سیستم SIEM خود دارند. دلیل اصلی این موضوع این است که سالانه بیش از 64 درصد سازمانها بالای یک میلیون دلار برای مشاوران و پیمانکاران خارجی برای پیکربندی و مدیریت سیستمهای SIEM خود پرداخت میکنند. ولی از طرفی 68 درصد از شرکت کنندگان در نظرسنجی گفتهاند که برای به حداکثر رساندن ارزش SIEM در سازمانشان به کارکنان بیشتری نیاز دارند.
پس اگر قصد خرید یک سیستم SIEM برای سازمان خود را داریم، بایستی هزینه نگهداری و حقوق کارکنان را نیز در معادلات مالی و بودجه سالیانه سازمان در نظر بگیریم. زیرا صرف در نظر گرفتن هزینه خرید نرم افزار و سخت افزار در بودجه سازمان کافی نیست. هزینههای استخدام و آموزش پرسنل ماهر برای اطمینان از امکان خرید قابلیتهای جدید و ادغام و یکپارچهسازی آنها با سیستم خریداری شده انجام میشود.
یک رویکرد جایگزین و مخصوص سازمانهای کوچک که توانایی راهبری سیستم SIEM به صورت 24 ساعته را ندارند، استفاده از یک ارائه دهنده خدمات امنیتی مدیریت شده (MSSP) میباشد. یک ارائه دهنده خدمات امنیتی مدیریت شده میتواند سیستم SIEM را تحت عنوان یک سرویسی با هدف نظارت بر سیستمهای سازمان ارایه دهد.
چگونه سیستم SIEM را در سازمان خود پیاده سازی نماییم
پیاده سازی SIEM میتواند یک پروسه طولانی و پرهزینه برای سازمان باشد. کم هزینهترین راه برای استقرار سیستم SIEM در سازمان استفاده از مشاوران یا خدمات حرفهای ارائه شده توسط فروشنده میباشد. خروجی نهایی این کار استقرار سیستمی است که نیازهای امنیتی ما را به طور کامل پوشش میدهد.
گامهای اصلی
- تعیین معماری سیستم، از جمله سیستم داشبورد و گزارشگری، ایندکس گذاری، سیستم ذخیره سازی و سیستمهای جمع آوری لاگ
- انتخاب سخت افزار مناسب بر اساس فاکتورهایی مانند حجم داده مربوط به لاگهای ورودی به سیستم (که براساس تعداد رویدادها در ثانیه اندازه گیری میشود) و تعداد منابع ورودی لاگ
- فراهم کردن الزامات ذخیرهسازی و مشخص کردن نحوه تامین این منابع به همراه زیرساخت مناسب شبکه جهت دسترسی به منابع ذخیره ساز.
- نصب سرورها و برنامههای کاربردی
- پیکربندی سیستم، از جمله تنظیم ورودیهای سیستم با استفاده از اتصالات استاندار یا کانکتورهای سفارشی، تنظیم داشبورد و زمانبندی گزارشات، تنظیم قوانین و قواعد همبسته سازی و فعال کردن هشدارهای مورد نیاز.
10 محصول برتر سیستم اطلاعاتی امنیتی و مدیریت رخداد (SIEM)
- Cisco Stealthwatch
- Micro Focus ArcSight
- (Splunk Enterprise Security (ES
- IBM Security QRadar
- (AlienVault Unified Security Management (USM
- LogRhythm SIEM
- (McAfee Enterprise Security Manager (ESM
- Micro Focus Sentinel Enterprise
- SolarWinds Log & Event Manager
- Trustwave SIEM Enterprise and Log Management Enterprise
- RSA NetWitness Suite
دیدگاهتان را بنویسید