راهکار SIEM و 4 گام پیاده سازی

راهکار SIEM و 4 گام پیاده سازی

آشنایی با راهکار SIEM

مدیریت امنیت اطلاعات و وقایع (راهکار SIEM) فن آوری جدیدی است که می­تواند تمام سیستم­های شما را به هم متصل کند و به شما یک دیدگاه جامع از امنیت اطلاعات ارائه دهد.

امنیت فناوری اطلاعات معمولا از چند فن­ آوری مختلف تشکیل شده است

( فایروال ها، پیشگیری از نفوذ، حفاظت از پایانه ها، اطلاعات تهدید و …) که برای حفاظت از شبکه و داده­های سازمان از هکرها و سایر تهدیدات همکاری می­کنند.

راهکار siem

با این وجود اتصال همه این سیستم­های متفرقه چالشی دیگر است و در اینجا است که راهکار SIEM می تواند کمک کند. سیستم SIEM مدیریت و تشخیص ورودی­ های امنیتی را از انواع دستگاه­ها انجام می­دهد

و از طیف وسیعی از توابع، از جمله تهدیدهای پنهان، از رخدادها قبل از وقوع آنها، شناسایی رخدادهای امنیتی و ارائه اطلاعات قانونی برای تعیین اینکه یک حادثه امنیتی رخ داده است و همچنین تاثیر احتمالی، جلوگیری می­کند.

پایه ریزان فناوری هوشمند ارائه دهنده برتر راهکارهای SIEM در ایران میباشد جهت دریافت مشاوره و راه اندازی راهکارهای SIEM ، با کارشناسان ما تماس بگیرید

هر سازمان باید با توجه به نیاز خود به تهیه ابزارهای کاربردی اقدام نماید.

اما آنچه مهم است این نکته است که امروزه سامانه­ های SIEM به قدری توانمند شده­ اند که علاوه بر اینکه بخش Log Management را بصورت یک ماژول مستقل در دل خود دارند بلکه فارغ از اندازه سازمان قابلیت بکارگیری دارند.

همینطور نیاز ایجاد و بکارگیری مراکز عملیات امنیت (SOC) بکارگیری سامانه­های SIEM را کاملا توجیه­پذیر می­نماید. شرکتهای مختلفی محصولاتی را در زمینه SIEM ارئه داده­ اند.

که از اصلی­ ترین و پرکاربردترین آنها میتوان به IBM Qradar, HP ArcSight و Splunk Enterprise  اشاره کرد. تمرکز ما بر روی اقتصادی ترین و کاملترین این محصولات یعنی Splunk Enterprise می­باشد.

 

راهکار SIEM چیست؟

Security Information and Event Management SIEM توانایی جمع ­آوری ، آنالیز و گزارشگیری اطلاعات ­log  های تجهیزات امنیتی ، هاست ­ها ، سرور­ها ، نرم­ افزارها و … را دارد و تمامی این فعالیت­ ها را انجام می­دهد.
همچنین برخی از ­SIEM  ها امکان متوقف کردن حملات شناسایی شده را دارند که به صورت چشم­گیری باعث کاهش صدمات و مصرف منابع می­شود.

SIEM ها تکنولوژی پیچیده­ای هستند که نیازمند یکپارچگی با تجهیزات امنیتی و هاست­ های شبکه سازمان را دارد.

راهکار SIEM
راهکار SIEM

مدیریت امنیت اطلاعات و وقایع (SIEM) ترکیبی از مدیریت امنیت اطلاعات (SIM) و مدیریت وقایع (SEM) می­باشد که یکپارچه شده است و بصورت شماتیک می­توان نشان داد که تمام  توانایی­های SEM و SIM را دارد.

توانایی ­های استفاده از راهکار SIEM در سازمان

با بزرگ شدن و چندوجهی شدن فعالیت­های سازمان­ها، نیاز به داشتن راهکار SIEM، مهمتر از قبل  بیشتر احساس می­شود. مهم­ترین عملکرد­های SIEM که به عنوان توانایی­های این محصول می­توان اشاره کرد در ادامه مطرح می­شود که سازمانها با توجه به نیازهای خود می­توانند از این توانایی­ها در جهت رفع مشکلات اقدام نمایند:

مطابقت با مقررات از طریق جمع­آوری و آنالیز داده­های ورودی.  تمام سازمانها می­بایست خود را با مقررات مختلف تطبیق دهند. این کار با دراختیار داشتن SIEM فراهم می­شود.
پشتیبانی از عملیات در تیم­های مختلف سازمان با رویکرد جمع­آوری، بررسی اطلاعات و اطلاع رسانی
شناسایی تهدید­ها و مقابله با آنها با رویکرد انتخاب و تشخیص بهترین راه حل
جمع­آوری و بررسی شواهد قانونی [1] از منابع مختلف سازمان
مدیریت لاگ و گزارش گیری، ارتباط دهی با داده­ها و پشتیبانی برای گزارشهای تطبیقی

موارد تضعیف عملکرد SIEM

همانطور که توانایی­های عملکرد یک SIEM مطرح گردید، مواردی هم وجود دارد که می­تواند باعث تضعیف عملکرد یک SIEM در سازمان گردد و یا در روند آن خلل ایجاد نماید. در ادامه به برخی از این موارد اشاره خواهد شد:

جمع­آوری ناقص اطلاعات و حجم زیاد اطلاعات و منابع محدود
تغییرات رفتار­های کاربران و واکنش در برابر تغییرات جدید در سازمان
افزایش دستگاه­ها و برنامه­ها در سازمان
مدیریت سیستم­های مانیتورینگ
پیچیدگی افزایشی تهدید­های امنیتی
ناتوانی در درک داده­ها

گام های اصلی در پیاده سازی راهکار SIEM

گام اول: تعیین دلیل نیاز به SIEM

چه الزام سازمان بالادستی شما باشد و یا نگاه مثبت سازمانتان، برای استفاده از SIEM باید به این نکته توجه شود که SIEM تنها زمانی کاربردی خواهد بود که قبل از پیاده­سازی،

تمامی یا بخشی از use case ها و سناریو­های امنیتی خود را بررسی و شناسایی کرده باشید و به این نتیجه رسیده باشید که چه نیاز­هایی از امنیت شما را بابستی SIEM برآورده کند؟

گام دوم: داده­های مورد نیاز

شما مشخص می­کنید که با استفاده از تحلیل چه داده­هایی به اهداف امنیتی خود می­رسید؟ بررسی نیاز به یک محصول Real-time یا Offline انجام شود.

گام سوم: نیازمندی­های Correlation

مورد نیاز ما چیست و چه بخشی از رخداد­های امنیتی ما را شناسایی می­کند.

شاید شما پس از دادن جواب این سوال­ها به نتیجه برسید که یک محصول مدیریت لاگ هم پاسخگوی نیاز­تان باشد. یا اینکه من احتیاج به یک محصول بسیار پیشرفته دارم که نیاز من را برآورده کند.

انتخاب راهکار SIEM برای سازمان

برای انتخاب SIEM برای سازمان، نخست می­بایست به مشخص کردن معیارهای ارزیابی سازمان پرداخت.

انتخاب SIEM به شرایط سازمان باز می­گردد. توجه به تمام معیارهای سازمان از ابتدای راه­اندازی، شخصی سازی، گسترش و تا انتهای پیاده سازی و استفاده و کاربری SIEM ضروری است.

در این صورت است که می توانید بهترین انتخاب را داشته باشید.

هزینه های SIEM

هزینه های SIEM به چند عامل اصلی برمی­گردد:

  • قابلیت­ های SIEM:

بخش قابلیت­ها به امکانات SIEM مرتبط می­شود با برخی از SIEM ها سولوشن­هایی تحت عنوان light دارند که مدیریت و گزارشگیری log ها را به صورت basic ارائه می­دهند

و تکنیک­های پیشرفته آنالیز و دیگر قابلیت­هایی که SIEM پشتیبانی می­کند را شامل نمی­شود. راه­حل­های light به صورت قابل ملاحظه­ای نبست به سایر SIEM ها ارزان­تر و حتی رایگان هستند.

  • نحوه پیاده سازی SIEM:

برخی از SIEM ها نیاز به خریداری سخت­افزار و نرم­افزار دارند. علاوه بر هزینهSIEM ، هزینه­ های جانبی نیز می­­تواند وجود داشته باشد.

به طور مثال SIEM ها می­توانند از threat intelligence feeds استفاده کنند و باعث می­شود اطلاعات بروز تهدیدات امنیتی را در اختیار داشته باشد. استفاده از این سرویس­ها نیاز به پرداخت هزینه دارد.

  • سفارشی کردن SIEM

این بخش برای تغییر فرمت log هایی که SIEM نمی­تواند آنها درک کند می­تواند      هزینه ­هایی را به سازمان تحمیل کند.

  • مدیریت SIEM

هزینه دیگری که برای SIEM می توان در نظر گرفت بحث مدیریت آن است SIEM ها نیاز دارند که به صورت مرتب تنظیم و براساس نیازهای سازمان شخصی سازی شوند.

  • معماری SIEM

از نکات مهم در رابطه با معماری SIEM انتخاب چگونگی ارسال log از مبدا به SIEM است که برای این مهم، دو روش اصلی وجود داد:

Agent-based: در این روش، نرم­افزار agent روی هر هاست که log تولید می­کند نصب می­شود و وظیفه استخراج، پردازش و ارسال اطلاعات از هاست به سرور SIEM را دارد.

Agentless: این روش ارسال به این صورت است که اطلاعات log ها بدون Agent انجام می­گیرد و هاست به صورت مستقیم log ها را به SIEM ارسال می­کند یا از طریق یک سرور logging واسط مانند syslog server اینکار را انجام می­دهد.

کاربردهای راهکار SIEM

کاربردهای راهکار SIEM را می توان در سه حوزه بیان کرد:

  • Security detectiveو investigative:

این حوزه بر روی شناسایی و واکنش ( در واقع پاسخ به حملات)، نفوذ بدافزار­ها، دسترسی غیر مجاز به داده­ها و اطلاعات  و سایر مسائل امنیتی تمرکز دارد.

  • Compliance regulatoryو policy : 

تمرکز این قسمت بر روی  قوانین و سیاست­های مورد نیاز و همچنین احکام تعیین شده در سازمان­ها می­باشد.

  • System & Network troubleshooting Operation – Normal Operation:

این حوزه اغلب بر روی مدیریت log ها تمرکز دارد و با بررسی و یافتن مشکلات سیستم، بمنظور امکان دسترس­پذیری سیستم­ها و برنامه­های کاربردی در صدد رفع این مشکلات  بر­می­ آید.

اشتراک گذاری در شبکه های اجتماعی

ارسال نظر

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *