SIEM چیست؟

SIEM چیست؟

 (SIEM) مجموعه ای از ابزارها و خدمات است که دیدگاهی جامع از امنیت اطلاعات یک سازمان ارائه می دهد.  ابزارهایی که SIEM فراهم میکند: 

• مشاهده بی‌درنگ در سراسر سیستم‌های امنیت اطلاعات یک سازمان.
• مدیریت گزارش رویداد که داده ها را از منابع متعدد ادغام می کند.
• همبستگی رویدادهای جمع‌آوری‌شده از گزارش‌های مختلف یا منابع امنیتی، با استفاده از قوانین if-then که اطلاعات را به داده‌های خام اضافه می‌کنند.
• اعلان رویدادهای امنیتی خودکار اکثر سیستم های SIEM داشبوردهایی را برای مسائل امنیتی و سایر روش های اطلاع رسانی مستقیم ارائه می دهند.

SIEM با ترکیب دو فناوری کار می‌کند:

 الف) مدیریت اطلاعات امنیتی (SIM)، که داده‌ها را از فایل‌های گزارش برای تجزیه و تحلیل و گزارش‌ های تهدیدات و رویداد های امنیتی جمع‌آوری می‌کند،

 ب) مدیریت رویداد امنیتی (SEM)، که نظارت بر سیستم را در زمان واقعی انجام می‌دهد. مدیران شبکه را در مورد مسائل مهم مطلع می کند و بین رویدادهای امنیتی ارتباط برقرار می کند.

  اطلاعات امنیتی و فرآیند مدیریت رویداد را می توان به صورت زیر تقسیم کرد: 1.      جمع‌آوری داده‌ها : همه منابع اطلاعات امنیت شبکه، به عنوان مثال، سرورها، سیستم‌های عامل، فایروال‌ها، نرم‌افزار آنتی ویروس و سیستم‌های جلوگیری از نفوذ پیکربندی شده‌اند تا داده‌های رویداد را به ابزار SIEM وارد کنند. اکثر ابزارهای مدرن SIEM از عواملی برای جمع‌آوری گزارش‌های رویداد از سیستم‌های سازمانی استفاده می‌کنند. که پس از پردازش، فیلتر و به SIEM ارسال می شوند. برخی از SIEM ها امکان جمع آوری داده های بدون عامل را فراهم می کنند. به عنوان مثال، Splunk جمع آوری داده های بدون عامل را در ویندوز با استفاده از WMI ارائه می دهد.2.      سیاست ها : نمایه ای توسط مدیر SIEM ایجاد می شود که رفتار سیستم های سازمانی را هم در شرایط عادی و هم در هنگام حوادث امنیتی از پیش تعریف شده تعریف می کند. SIEMها قوانین، هشدارها، گزارش‌ها و داشبوردهای پیش‌فرض را ارائه می‌کنند که می‌توان آن‌ها را تنظیم و سفارشی کرد تا متناسب با نیازهای امنیتی خاص باشد.3.      ادغام و همبستگی داده ها : راه حل های SIEM فایل های گزارش را ادغام، تجزیه و تحلیل می کند. سپس رویداد ها بر اساس داده‌ های خام دسته‌ بندی می‌شوند و قوانین همبستگی را اعمال می‌کنند که رویدادهای داده‌های فردی را در مسائل امنیتی معنادار ترکیب می‌کند.4.      اعلان ها : اگر یک رویداد یا مجموعه ای از رویداد ها یک قانون SIEM را راه اندازی کند، سیستم به پرسنل امنیتی اطلاع می دهد.SIEM چگونه کار می کند؟ نرم‌افزار SIEM با جمع‌آوری داده‌ها، گزارش و رویداد های تولید شده از برنامه‌، دستگاه‌، شبکه، زیرساخت‌ها و سیستم‌ها برای ترسیم تجزیه و تحلیل و ارائه دیدگاهی جامع از فناوری اطلاعات یک سازمان (IT) کار می‌کند.( حالا این یعنی چی: SIEM با جمع آوری تمام لاگهای تولید شده از سیستم های مختلف (ویندوز، روتر، سوئیچ، فایروالها، آنتی ویروس ها و …) و پارس کردن آنها این امکان را برای ما فراهم می کند که بر روی لاگ های پارس شده Correlation های مورد نیاز خود را اجرا نماییم.پارس کردن: استخراج فیلدهای مود نیاز از داخل لاگ خام.Correlation: اجرای قانون بر روی لاگها و دریافت خروجی مورد نظر ) SIEM می‌توانند بر روی کلود یا بر روی لوکال هاست نصب شود. با تجزیه و تحلیل تمام داده ها در لحظه، SIEM می تواند قوانین و همبستگی های آماری برای ایجاد بینش عملی در طول تحقیقات پزشکی قانونی استفاده شود. فناوری SIEM تمام داده ها را بررسی می کند و فعالیت های تهدید آمیز را بر اساس سطح خطر آن مرتب می کند تا به تیم های امنیتی کمک کند. عوامل مخرب را شناسایی کرده و حملات سایبری را به سرعت کاهش دهند.