SIEM چیست؟
(SIEM) مجموعه ای از ابزارها و خدمات است که دیدگاهی جامع از امنیت اطلاعات یک سازمان ارائه می دهد. ابزارهایی که SIEM فراهم میکند:
- مشاهده بیدرنگ در سراسر سیستمهای امنیت اطلاعات یک سازمان.
- مدیریت گزارش رویداد که داده ها را از منابع متعدد ادغام می کند.
- همبستگی رویدادهای جمعآوریشده از گزارشهای مختلف یا منابع امنیتی، با استفاده از قوانین if-then که اطلاعات را به دادههای خام اضافه میکنند.
- اعلان رویدادهای امنیتی خودکار اکثر سیستم های SIEM داشبوردهایی را برای مسائل امنیتی و سایر روش های اطلاع رسانی مستقیم ارائه می دهند.
SIEM با ترکیب دو فناوری کار میکند:
الف) مدیریت اطلاعات امنیتی (SIM)، که دادهها را از فایلهای گزارش برای تجزیه و تحلیل و گزارش های تهدیدات و رویداد های امنیتی جمعآوری میکند،
ب) مدیریت رویداد امنیتی (SEM)، که نظارت بر سیستم را در زمان واقعی انجام میدهد. مدیران شبکه را در مورد مسائل مهم مطلع می کند و بین رویدادهای امنیتی ارتباط برقرار می کند.
اطلاعات امنیتی و فرآیند مدیریت رویداد را می توان به صورت زیر تقسیم کرد: 1. جمعآوری دادهها : همه منابع اطلاعات امنیت شبکه، به عنوان مثال، سرورها، سیستمهای عامل، فایروالها، نرمافزار آنتی ویروس و سیستمهای جلوگیری از نفوذ پیکربندی شدهاند تا دادههای رویداد را به ابزار SIEM وارد کنند. اکثر ابزارهای مدرن SIEM از عواملی برای جمعآوری گزارشهای رویداد از سیستمهای سازمانی استفاده میکنند. که پس از پردازش، فیلتر و به SIEM ارسال می شوند. برخی از SIEM ها امکان جمع آوری داده های بدون عامل را فراهم می کنند. به عنوان مثال، Splunk جمع آوری داده های بدون عامل را در ویندوز با استفاده از WMI ارائه می دهد.2. سیاست ها : نمایه ای توسط مدیر SIEM ایجاد می شود که رفتار سیستم های سازمانی را هم در شرایط عادی و هم در هنگام حوادث امنیتی از پیش تعریف شده تعریف می کند. SIEMها قوانین، هشدارها، گزارشها و داشبوردهای پیشفرض را ارائه میکنند که میتوان آنها را تنظیم و سفارشی کرد تا متناسب با نیازهای امنیتی خاص باشد.3. ادغام و همبستگی داده ها : راه حل های SIEM فایل های گزارش را ادغام، تجزیه و تحلیل می کند. سپس رویداد ها بر اساس داده های خام دسته بندی میشوند و قوانین همبستگی را اعمال میکنند که رویدادهای دادههای فردی را در مسائل امنیتی معنادار ترکیب میکند.4. اعلان ها : اگر یک رویداد یا مجموعه ای از رویداد ها یک قانون SIEM را راه اندازی کند، سیستم به پرسنل امنیتی اطلاع می دهد.SIEM چگونه کار می کند؟ نرمافزار SIEM با جمعآوری دادهها، گزارش و رویداد های تولید شده از برنامه، دستگاه، شبکه، زیرساختها و سیستمها برای ترسیم تجزیه و تحلیل و ارائه دیدگاهی جامع از فناوری اطلاعات یک سازمان (IT) کار میکند.( حالا این یعنی چی: SIEM با جمع آوری تمام لاگهای تولید شده از سیستم های مختلف (ویندوز، روتر، سوئیچ، فایروالها، آنتی ویروس ها و …) و پارس کردن آنها این امکان را برای ما فراهم می کند که بر روی لاگ های پارس شده Correlation های مورد نیاز خود را اجرا نماییم.پارس کردن: استخراج فیلدهای مود نیاز از داخل لاگ خام.Correlation: اجرای قانون بر روی لاگها و دریافت خروجی مورد نظر ) SIEM میتوانند بر روی کلود یا بر روی لوکال هاست نصب شود. با تجزیه و تحلیل تمام داده ها در لحظه، SIEM می تواند قوانین و همبستگی های آماری برای ایجاد بینش عملی در طول تحقیقات پزشکی قانونی استفاده شود. فناوری SIEM تمام داده ها را بررسی می کند و فعالیت های تهدید آمیز را بر اساس سطح خطر آن مرتب می کند تا به تیم های امنیتی کمک کند. عوامل مخرب را شناسایی کرده و حملات سایبری را به سرعت کاهش دهند.