امنیت, splunk

راهکار SIEM و 4 گام پیاده سازی

راهکار SIEM و 4 گام پیاده سازی
رای بدهید

آشنایی با راهکار SIEM

مدیریت امنیت اطلاعات و وقایع (راهکار SIEM) فن آوری جدیدی است که می­تواند تمام سیستم‌­های شما را به هم متصل کند و به شما یک دیدگاه جامع از امنیت اطلاعات ارائه دهد. امنیت فناوری اطلاعات معمولا از چند فن­ آوری مختلف تشکیل شده است (فایروال ها، پیشگیری از نفوذ، حفاظت از پایانه‌ها، اطلاعات تهدید و …) که برای حفاظت از شبکه و داده­‌های سازمان از هکرها و سایر تهدیدات همکاری می‌­کنند.

آشنایی با راهکار SIEM

آشنایی با راهکار SIEM

با این وجود اتصال همه این سیستم‌­های متفرقه چالشی دیگر است و در اینجا است که راهکار SIEM می‌تواند کمک کند. سیستم SIEM مدیریت و تشخیص ورودی­ های امنیتی را از انواع دستگاه‌­ها انجام می­دهد و از طیف وسیعی از توابع، از جمله تهدیدهای پنهان، از رخدادها قبل از وقوع آنها، شناسایی رخدادهای امنیتی و ارائه اطلاعات قانونی برای تعیین اینکه یک حادثه امنیتی رخ داده است و همچنین تاثیر احتمالی، جلوگیری می­‌کند. هر سازمان باید با توجه به نیاز خود به تهیه ابزارهای کاربردی اقدام نماید. اما آنچه مهم است این نکته است که امروزه سامانه‌های SIEM به قدری توانمند شده­ اند که علاوه بر اینکه بخش Log Management را بصورت یک ماژول مستقل در دل خود دارند بلکه فارغ از اندازه سازمان قابلیت بکارگیری دارند. همینطور نیاز ایجاد و بکارگیری مراکز عملیات امنیت (SOC) بکارگیری سامانه‌­های SIEM را کاملا توجیه­‌پذیر می­نماید. شرکت‌های مختلفی محصولاتی را در زمینه SIEM ارئه داده­ اند. که از اصلی­ ترین و پرکاربردترین آنها میتوان به IBM Qradar, HP ArcSight و Splunk Enterprise  اشاره کرد. تمرکز ما بر روی اقتصادی‌ترین و کاملترین این محصولات یعنی Splunk Enterprise می­باشد.

راهکار SIEM چیست؟

Security Information and Event Management SIEM توانایی جمع ­آوری، آنالیز و گزارشگیری اطلاعات ­log  های تجهیزات امنیتی، هاست‌ها، سرور­ها، نرم­ افزارها و … را دارد و تمامی این فعالیت­‌ها را انجام می‌­دهد. همچنین برخی از ­SIEM  ها امکان متوقف کردن حملات شناسایی شده را دارند که به صورت چشم­گیری باعث کاهش صدمات و مصرف منابع می­‌شود. SIEM ها تکنولوژی پیچیده­ای هستند که نیازمند یکپارچگی با تجهیزات امنیتی و هاست­‌های شبکه سازمان را دارد. مدیریت امنیت اطلاعات و وقایع (SIEM) ترکیبی از مدیریت امنیت اطلاعات (SIM) و مدیریت وقایع (SEM) می‌باشد که یکپارچه شده است و بصورت شماتیک می­توان نشان داد که تمام  توانایی­های SEM و SIM را دارد.

راهکار SIEM

راهکار SIEM

توانایی ­های استفاده از راهکار SIEM در سازمان

با بزرگ شدن و چند وجهی شدن فعالیت­‌های سازمان­‌ها، نیاز به داشتن راهکار SIEM، مهمتر از قبل  بیشتر احساس می­شود. مهم­ترین عملکرد­های SIEM که به عنوان توانایی‌­های این محصول می­توان اشاره کرد در ادامه مطرح می­شود که سازمان‌ها با توجه به نیازهای خود می‌­توانند از این توانایی‌­ها در جهت رفع مشکلات اقدام نمایند:

  • مطابقت با مقررات از طریق جمع­آوری و آنالیز داده­‌های ورودی  تمام سازمان‌ها می‌­بایست خود را با مقررات مختلف تطبیق دهند. این کار با دراختیار داشتن SIEM فراهم می‌­شود.
  • پشتیبانی از عملیات در تیم‌­های مختلف سازمان با رویکرد جمع ­آوری، بررسی اطلاعات و اطلاع رسانی
  • شناسایی تهدید­ها و مقابله با آنها با رویکرد انتخاب و تشخیص بهترین راه حل
  • جمع­آوری و بررسی شواهد قانونی از منابع مختلف سازمان
  • مدیریت لاگ و گزارش گیری، ارتباط دهی با داده­ها و پشتیبانی برای گزارش‌های تطبیقی

موارد تضعیف عملکرد SIEM

همانطور که توانایی­های عملکرد یک SIEM مطرح گردید، مواردی هم وجود دارد که می­تواند باعث تضعیف عملکرد یک SIEM در سازمان گردد و یا در روند آن خلل ایجاد نماید. در ادامه به برخی از این موارد اشاره خواهد شد:

  • جمع ­آوری ناقص اطلاعات و حجم زیاد اطلاعات و منابع محدود
  • تغییرات رفتار­های کاربران و واکنش در برابر تغییرات جدید در سازمان
  • افزایش دستگاه­‌ها و برنامه‌­ها در سازمان
  • مدیریت سیستم­‌های مانیتورینگ
  • پیچیدگی افزایشی تهدید­های امنیتی
  • ناتوانی در درک داده­‌ها

گام‌های اصلی در پیاده سازی راهکار SIEM

گام اول: تعیین دلیل نیاز به SIEM

چه الزام سازمان بالا دستی شما باشد و یا نگاه مثبت سازمانتان، برای استفاده از SIEM باید به این نکته توجه شود که SIEM تنها زمانی کاربردی خواهد بود که قبل از پیاده‌­سازی، تمامی یا بخشی از use case ها و سناریو­های امنیتی خود را بررسی و شناسایی کرده باشید و به این نتیجه رسیده باشید که چه نیاز­هایی از امنیت شما را بابستی SIEM برآورده کند؟

گام دوم: داده­های مورد نیاز

شما مشخص می­کنید که با استفاده از تحلیل چه داده­‌هایی به اهداف امنیتی خود می­رسید؟ بررسی نیاز به یک محصول Real-time یا Offline انجام شود.

گام سوم: نیازمندی­های Correlation

مورد نیاز ما چیست و چه بخشی از رخداد­های امنیتی ما را شناسایی می‌­کند. شاید شما پس از دادن جواب این سوال­‌ها به نتیجه برسید که یک محصول مدیریت لاگ هم پاسخگوی نیاز­تان باشد. یا اینکه من احتیاج به یک محصول بسیار پیشرفته دارم که نیاز من را برآورده کند.

انتخاب راهکار SIEM برای سازمان

برای انتخاب SIEM برای سازمان، نخست می­بایست به مشخص کردن معیارهای ارزیابی سازمان پرداخت. انتخاب SIEM به شرایط سازمان باز می­گردد. توجه به تمام معیارهای سازمان از ابتدای راه­اندازی، شخصی سازی، گسترش و تا انتهای پیاده سازی و استفاده و کاربری SIEM ضروری است. در این صورت است که می‌توانید بهترین انتخاب را داشته باشید.

هزینه های SIEM به چند عامل اصلی برمی­گردد:

– قابلیت­ های SIEM:

بخش قابلیت‌­ها به امکانات SIEM مرتبط می­شود با برخی از SIEM ها سولوشن­‌هایی تحت عنوان light دارند که مدیریت و گزارشگیری log ها را به صورت basic ارائه می­دهند و تکنیک­های پیشرفته آنالیز و دیگر قابلیت­هایی که SIEM پشتیبانی می­‌کند را شامل نمی­‌شود. راه‌­حل­‌های light به صورت قابل ملاحظ‌ه­ای نبست به سایر SIEM ها ارزان­تر و حتی رایگان هستند.

– نحوه پیاده سازی SIEM:

برخی از SIEM ها نیاز به خریداری سخت ­افزار و نرم­افزار دارند. علاوه بر هزینهSIEM ، هزینه­‌های جانبی نیز می‌­­تواند وجود داشته باشد. به طور مثال SIEM ها می­توانند از threat intelligence feeds استفاده کنند و باعث می­‌شود اطلاعات بروز تهدیدات امنیتی را در اختیار داشته باشد. استفاده از این سرویس­‌ها نیاز به پرداخت هزینه دارد.

– سفارشی کردن SIEM

این بخش برای تغییر فرمت log هایی که SIEM نمی­تواند آنها درک کند می­تواند هزینه‌­هایی را به سازمان تحمیل کند.

– مدیریت SIEM

هزینه دیگری که برای SIEM می‌توان در نظر گرفت بحث مدیریت آن است SIEM ها نیاز دارند که به صورت مرتب تنظیم و براساس نیازهای سازمان شخصی سازی شوند.

– معماری SIEM

از نکات مهم در رابطه با معماری SIEM انتخاب چگونگی ارسال log از مبدا به SIEM است که برای این مهم، دو روش اصلی وجود داد:

Agent-based: در این روش، نرم­افزار agent روی هر هاست که log تولید می­کند نصب می­‌شود و وظیفه استخراج، پردازش و ارسال اطلاعات از هاست به سرور SIEM را دارد.
Agentless: این روش ارسال به این صورت است که اطلاعات log ها بدون Agent انجام می­‌گیرد و هاست به صورت مستقیم log ها را به SIEM ارسال می­کند یا از طریق یک سرور logging واسط مانند syslog server اینکار را انجام می­دهد.

کاربردهای راهکار SIEM

کاربردهای راهکار SIEM را می توان در سه حوزه بیان کرد:

– Security detective و investigative:

این حوزه بر روی شناسایی و واکنش (در واقع پاسخ به حملات)، نفوذ بدافزار­ها، دسترسی غیر مجاز به داده‌­ها و اطلاعات  و سایر مسائل امنیتی تمرکز دارد.

– Compliance regulatoryو policy : 

تمرکز این قسمت بر روی  قوانین و سیاست‌­های مورد نیاز و همچنین احکام تعیین شده در سازمان­‌ها می­باشد.

– System & Network troubleshooting Operation – Normal Operation:

این حوزه اغلب بر روی مدیریت log ها تمرکز دارد و با بررسی و یافتن مشکلات سیستم، بمنظور امکان دسترس­‌پذیری سیستم‌­ها و برنامه­‌های کاربردی در صدد رفع این مشکلات بر­می­ آید.

پایه ریزان فناوری هوشمند ارائه دهنده برتر راهکارهای SIEM در ایران می‌باشد جهت دریافت مشاوره و راه اندازی راهکارهای SIEM، با کارشناسان ما تماس بگیرید.

تماس-پایه ریزان

در صورت تمایل به مشاوره رایگان و استفاده از خدمات پایه ریزان فناوری هوشمند می توانید با کارشناسان مجرب ما تماس بگیرید و محصول مورد نیاز خود را با قیمت رقابتی و ضمانت شرکتی دریافت کنید ضمن این که تیم متخصص پایه ریزان با پشتیبانی قوی در کنار شما خواهد بود.

جهت مشاوره رایگان با شماره های زیر تماس بگیرید.

02188546549

02188742123

info@pfh.co.ir

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

5 × سه =