با اندکی کاوش در زمینه امنیت و اطلاعات به مبحث SIEM برخورد می کنید، در این مقاله در کنار شما هستیم تا این مبحث را به صورت کلی زیر و رو کنیم.
کلمه SIEM مخفف عبارت Security Information and Event Management است، از نظری لغوی این عبارت به معنی مدیریت امنیت اطلاعات (SIM) و مدیریت وقایع می باشد،در واقع این عبارت از دو بخش اصلی تشکیل شده است که به صورت مخفف به شکل SIEM درآمده است.
اصطلاح SIEM اولین بار توسط مارک نیکولت و امریت ویلیامز در سال ۲۰۰۵، هنگامی که در حال تکمیل کردن گزارش تحقیقاتی برای شرکت گارتر بودند ابداع شد.
SIEM چه کاربردی دارد ؟
اولین و پیش و پا افتاده ترین کاربرد هر SIEM، متمرکز ساختن تمامی اعلان های امنیتی یا همان secure notification، می باشد. تکنولوژی های مخلتفی که برای تامین امنیت سازمان های مختلف مانند فایروال ها و سیستم های IDS/IPS و آنتی ویروس ها از سری تکنولوژی هایی می باشند که می توان با استفاده از SIEM، اعلان های آن ها را مدیریت کرد.
Access Point ها یا همان نقاط دستیابی وایرلس و یا برخی از سرور های به اصطلاح Active directory، روزانه تعداد زیادی هشتار امنیتی ایجاد می کنند که تعداد انبوه آن می تواند از چند سری جهت برای شرکت ها دردسر ساز باشد.
وقتی که از یک اس آی ای ام استفاده می کنیم می توانیم تمامی این نویتفی ها را به صورت یک گزارش کامل و جامع و بدون شلوغی تبدیل کنیم و در نهایت از آن بهره ببریم.اصطلاح دیگری که برای این عملیات به کار می رود، تجمیع Log گفته می شود.
بیش از ۹۰% قوانین تطبیق پذیر، ملزوماتی را برای Log کردن اطلاعات کاربر وجود می آید، از ردیابی شبکه و عدم پایبندی به قوانین و مقررات گرفته تا انواع دسترسی ها و…
SIEM ها می توانند این فعالیت ها را بسیار بسیار آسان تر و قابل فهم تر انجام دهند، این نظم به این دلیل اتفاق می افتد زیرا اطلاعات به صورت کامل از تمامی سیستم های موجود استخراج می شود و هنگامی که قرار است مورد نمایش در بیاید به صورت یک گزارش کامل و قابل فهم تبدیل می شود.
توجه داشته باشید که این SIEM ها انواع مختلفی دارند و همگی مانند هم نیستند، در برخی از آن ها الگوریتم Build-in استفاده می شود برای اینکه کارآمد بیشتری داشته باشد.
سومین و مهم ترین کاربرد یک SIEM، همبستگی متقابل یا Cross-Correlation می باشد که قابلیت این را دارد که با تجزیه و تحلیل حرفه ای و البته خودکاری که دارد، تمامی Log های موجود از سرتاسر شبکه را را مدیریت کند.
هنگامی که یک SIEM به دنبال حفره ها و مشکلات امنیت سایبری می گردد، در حالت عادی کسی متوجه حضور آن نمی شود. این عدم توجه به این دلیل است که او به جمع آوری اطلاعات از منابع مختلف و در نهایت تجزیه و تحلیل آن ها می پردازد.اما باید توجه داشته باشید که لاگ های امنیتی بدون ابزار های دیگر قابل استفاده و کارآمد نیستند!
SIEM به چه شکل کار می کند ؟
تصور کنید که یکی از سرور های شما توسط افرادی مورد حمله SQL Injection قرار گرفته است و سیستم SIEM توسط یک نوتیفیکشن شما را مطلع می سازد.البته همه این ها بستگی به این دارد که شما یک SQL Server داشته باشید و در یر این صورت SIEM دچار مشکل شده و خطاهایی ایجاد می کند.
اما همانطور که پیشتر درباره آن صحبت کردیم SIEM ها انواعی دارند که هر کدام ویژگی های خاص خود را دارند، به طور مثال با فعال سازی یکی از راهکاری های SIEM، می توانید به آن امکانی بدهید که توانایی تشخیص سرورها، برنامه های در حال اجرا، پیکربندی و … را داشته باشد.با استفاده از این راهکار از بسیاری مشکلات احتمالی جلوگیری می شود و شما زمانی خبرداری وضعیتی می شوید که شما را دچار دردسر کند.
با استفاده کردن از این قابلیت می توان تشخیص داد که هر برنامه کی و چقدر و روی چه چیزی کار می کند.بدون شک شرکت های بزرگ باید از این راهکار بهره ببرند زیرا نمی توانند برای هر نوتیفی معمولی ای خود را نگران کنند.
چرا باید از SIEM استفاده کنیم ؟
علاوه بر ویژگی هایی که تا به اینجای مطلب مرور کرده ایم، دلایل متنوع و بسیاری وجود دارد که ضرورت اس آی ای ام را بیشتر و بیشتر می کند. اما باید توجه داشته باشید که نوتیفی ها نمی توانند جلوی حملات را بگیرند.
یک SIEM به شما کمک می کند تا از حملاتی که رخ داده است در سریع ترین حالت ممکن خبردار شوید نه اینکه خود آن حمله را برطرف کند. تمامی اقداماتی که برای دفع حمله باید انجام شود توسط شخص و یا شرکت شما باید انجام گردد. پس با نصب SIEM نفس راحت نکشید و برای قوی کردن سپر امنیتی خود تلاش کنید.
هزینه راه اندازی اس آی ای ام به چه صورت محاسبه می شود ؟
هزینه ای که برای راه اندازی یک SIEM باید پرداخت شود به عوامل مختلف زیادی بستگی دارد : از مهم ترین این عوامل می توان به تکنولوژی مورد استفاده در آن، نرم افزار ها، سخت افزار ها و حتی موقعیت مکانی آن اشاره کرد.
در حالت کلی به هیچ عنوان نمی توان قیمتی را به صورت حدودی برای آن در نظر گرفت زیرا با تغییر یکی از جزئیات گفته شده ممکن است اختلاف رقمی بسیار زیادی اتفاق افتد.
تفاوت SIEM و SOC در چیست ؟
در دنیای امروزی و با پیشرفت روز افزون تکنولوژی، برخی از اسم هایی که کارکرد و عملکرد متفاوتی دارند به اشتباه به جای یکدیگر مورد استفاده قرار می گیرند، یکی از این نمونه ها را می توان جابجایی دو کلمه SIEM و SOC دانست.
در نظر داشته باشید که SOC یک چیز نیست و به مجموعه ای بزرگ شامل : نرم افزار، سخت افزار و حتی نیروی انسانی می باشد که حمله را در اصرا وقت شناسایی و برای دفع آن مقابله می کنند.
مجتمع فنی آریا تهران امیدوار است از این مقاله لذت برده باشید، برای مطالعه سایر مقالات این چنینی می توانید به دسته بندی شبکه و الکترونیک مراجعه کنید.
هیچ دیدگاهی برای این محصول نوشته نشده است.