امنیت, splunk

راهکار SIEM و 4 گام پیاده سازی

راهکار SIEM و 4 گام پیاده سازی
28 سپتامبر
رای بدهید

آشنایی با راهکار SIEM

مدیریت امنیت اطلاعات و وقایع (راهکار SIEM) فن آوری جدیدی است که می­تواند تمام سیستم‌­های شما را به هم متصل کند و به شما یک دیدگاه جامع از امنیت اطلاعات ارائه دهد. امنیت فناوری اطلاعات معمولا از چند فن­ آوری مختلف تشکیل شده است (فایروال ها، پیشگیری از نفوذ، حفاظت از پایانه‌ها، اطلاعات تهدید و …) که برای حفاظت از شبکه و داده­‌های سازمان از هکرها و سایر تهدیدات همکاری می‌­کنند.

آشنایی با راهکار SIEM

آشنایی با راهکار SIEM

با این وجود اتصال همه این سیستم‌­های متفرقه چالشی دیگر است و در اینجا است که راهکار SIEM می‌تواند کمک کند. سیستم SIEM مدیریت و تشخیص ورودی­ های امنیتی را از انواع دستگاه‌­ها انجام می­دهد و از طیف وسیعی از توابع، از جمله تهدیدهای پنهان، از رخدادها قبل از وقوع آنها، شناسایی رخدادهای امنیتی و ارائه اطلاعات قانونی برای تعیین اینکه یک حادثه امنیتی رخ داده است و همچنین تاثیر احتمالی، جلوگیری می­‌کند. هر سازمان باید با توجه به نیاز خود به تهیه ابزارهای کاربردی اقدام نماید. اما آنچه مهم است این نکته است که امروزه سامانه‌های SIEM به قدری توانمند شده­ اند که علاوه بر اینکه بخش Log Management را بصورت یک ماژول مستقل در دل خود دارند بلکه فارغ از اندازه سازمان قابلیت بکارگیری دارند. همینطور نیاز ایجاد و بکارگیری مراکز عملیات امنیت (SOC) بکارگیری سامانه‌­های SIEM را کاملا توجیه­‌پذیر می­نماید. شرکت‌های مختلفی محصولاتی را در زمینه SIEM ارئه داده­ اند. که از اصلی­ ترین و پرکاربردترین آنها میتوان به IBM Qradar, HP ArcSight و Splunk Enterprise  اشاره کرد. تمرکز ما بر روی اقتصادی‌ترین و کاملترین این محصولات یعنی Splunk Enterprise می­باشد.

راهکار SIEM چیست؟

Security Information and Event Management SIEM توانایی جمع ­آوری، آنالیز و گزارشگیری اطلاعات ­log  های تجهیزات امنیتی، هاست‌ها، سرور­ها، نرم­ افزارها و … را دارد و تمامی این فعالیت­‌ها را انجام می‌­دهد. همچنین برخی از ­SIEM  ها امکان متوقف کردن حملات شناسایی شده را دارند که به صورت چشم­گیری باعث کاهش صدمات و مصرف منابع می­‌شود. SIEM ها تکنولوژی پیچیده­ای هستند که نیازمند یکپارچگی با تجهیزات امنیتی و هاست­‌های شبکه سازمان را دارد. مدیریت امنیت اطلاعات و وقایع (SIEM) ترکیبی از مدیریت امنیت اطلاعات (SIM) و مدیریت وقایع (SEM) می‌باشد که یکپارچه شده است و بصورت شماتیک می­توان نشان داد که تمام  توانایی­های SEM و SIM را دارد.

راهکار SIEM

راهکار SIEM

توانایی ­های استفاده از راهکار SIEM در سازمان

با بزرگ شدن و چند وجهی شدن فعالیت­‌های سازمان­‌ها، نیاز به داشتن راهکار SIEM، مهمتر از قبل  بیشتر احساس می­شود. مهم­ترین عملکرد­های SIEM که به عنوان توانایی‌­های این محصول می­توان اشاره کرد در ادامه مطرح می­شود که سازمان‌ها با توجه به نیازهای خود می‌­توانند از این توانایی‌­ها در جهت رفع مشکلات اقدام نمایند:

  • مطابقت با مقررات از طریق جمع­آوری و آنالیز داده­‌های ورودی  تمام سازمان‌ها می‌­بایست خود را با مقررات مختلف تطبیق دهند. این کار با دراختیار داشتن SIEM فراهم می‌­شود.
  • پشتیبانی از عملیات در تیم‌­های مختلف سازمان با رویکرد جمع ­آوری، بررسی اطلاعات و اطلاع رسانی
  • شناسایی تهدید­ها و مقابله با آنها با رویکرد انتخاب و تشخیص بهترین راه حل
  • جمع­آوری و بررسی شواهد قانونی از منابع مختلف سازمان
  • مدیریت لاگ و گزارش گیری، ارتباط دهی با داده­ها و پشتیبانی برای گزارش‌های تطبیقی

موارد تضعیف عملکرد SIEM

همانطور که توانایی­های عملکرد یک SIEM مطرح گردید، مواردی هم وجود دارد که می­تواند باعث تضعیف عملکرد یک SIEM در سازمان گردد و یا در روند آن خلل ایجاد نماید. در ادامه به برخی از این موارد اشاره خواهد شد:

  • جمع ­آوری ناقص اطلاعات و حجم زیاد اطلاعات و منابع محدود
  • تغییرات رفتار­های کاربران و واکنش در برابر تغییرات جدید در سازمان
  • افزایش دستگاه­‌ها و برنامه‌­ها در سازمان
  • مدیریت سیستم­‌های مانیتورینگ
  • پیچیدگی افزایشی تهدید­های امنیتی
  • ناتوانی در درک داده­‌ها

گام‌های اصلی در پیاده سازی راهکار SIEM

گام اول: تعیین دلیل نیاز به SIEM

چه الزام سازمان بالا دستی شما باشد و یا نگاه مثبت سازمانتان، برای استفاده از SIEM باید به این نکته توجه شود که SIEM تنها زمانی کاربردی خواهد بود که قبل از پیاده‌­سازی، تمامی یا بخشی از use case ها و سناریو­های امنیتی خود را بررسی و شناسایی کرده باشید و به این نتیجه رسیده باشید که چه نیاز­هایی از امنیت شما را بابستی SIEM برآورده کند؟

گام دوم: داده­های مورد نیاز

شما مشخص می­کنید که با استفاده از تحلیل چه داده­‌هایی به اهداف امنیتی خود می­رسید؟ بررسی نیاز به یک محصول Real-time یا Offline انجام شود.

گام سوم: نیازمندی­های Correlation

مورد نیاز ما چیست و چه بخشی از رخداد­های امنیتی ما را شناسایی می‌­کند. شاید شما پس از دادن جواب این سوال­‌ها به نتیجه برسید که یک محصول مدیریت لاگ هم پاسخگوی نیاز­تان باشد. یا اینکه من احتیاج به یک محصول بسیار پیشرفته دارم که نیاز من را برآورده کند.

انتخاب راهکار SIEM برای سازمان

برای انتخاب SIEM برای سازمان، نخست می­بایست به مشخص کردن معیارهای ارزیابی سازمان پرداخت. انتخاب SIEM به شرایط سازمان باز می­گردد. توجه به تمام معیارهای سازمان از ابتدای راه­اندازی، شخصی سازی، گسترش و تا انتهای پیاده سازی و استفاده و کاربری SIEM ضروری است. در این صورت است که می‌توانید بهترین انتخاب را داشته باشید.

هزینه های SIEM به چند عامل اصلی برمی­گردد:

– قابلیت­ های SIEM:

بخش قابلیت‌­ها به امکانات SIEM مرتبط می­شود با برخی از SIEM ها سولوشن­‌هایی تحت عنوان light دارند که مدیریت و گزارشگیری log ها را به صورت basic ارائه می­دهند و تکنیک­های پیشرفته آنالیز و دیگر قابلیت­هایی که SIEM پشتیبانی می­‌کند را شامل نمی­‌شود. راه‌­حل­‌های light به صورت قابل ملاحظ‌ه­ای نبست به سایر SIEM ها ارزان­تر و حتی رایگان هستند.

– نحوه پیاده سازی SIEM:

برخی از SIEM ها نیاز به خریداری سخت ­افزار و نرم­افزار دارند. علاوه بر هزینهSIEM ، هزینه­‌های جانبی نیز می‌­­تواند وجود داشته باشد. به طور مثال SIEM ها می­توانند از threat intelligence feeds استفاده کنند و باعث می­‌شود اطلاعات بروز تهدیدات امنیتی را در اختیار داشته باشد. استفاده از این سرویس­‌ها نیاز به پرداخت هزینه دارد.

– سفارشی کردن SIEM

این بخش برای تغییر فرمت log هایی که SIEM نمی­تواند آنها درک کند می­تواند هزینه‌­هایی را به سازمان تحمیل کند.

– مدیریت SIEM

هزینه دیگری که برای SIEM می‌توان در نظر گرفت بحث مدیریت آن است SIEM ها نیاز دارند که به صورت مرتب تنظیم و براساس نیازهای سازمان شخصی سازی شوند.

– معماری SIEM

از نکات مهم در رابطه با معماری SIEM انتخاب چگونگی ارسال log از مبدا به SIEM است که برای این مهم، دو روش اصلی وجود داد:

Agent-based: در این روش، نرم­افزار agent روی هر هاست که log تولید می­کند نصب می­‌شود و وظیفه استخراج، پردازش و ارسال اطلاعات از هاست به سرور SIEM را دارد.
Agentless: این روش ارسال به این صورت است که اطلاعات log ها بدون Agent انجام می­‌گیرد و هاست به صورت مستقیم log ها را به SIEM ارسال می­کند یا از طریق یک سرور logging واسط مانند syslog server اینکار را انجام می­دهد.

کاربردهای راهکار SIEM

کاربردهای راهکار SIEM را می توان در سه حوزه بیان کرد:

– Security detective و investigative:

این حوزه بر روی شناسایی و واکنش (در واقع پاسخ به حملات)، نفوذ بدافزار­ها، دسترسی غیر مجاز به داده‌­ها و اطلاعات  و سایر مسائل امنیتی تمرکز دارد.

– Compliance regulatoryو policy : 

تمرکز این قسمت بر روی  قوانین و سیاست‌­های مورد نیاز و همچنین احکام تعیین شده در سازمان­‌ها می­باشد.

– System & Network troubleshooting Operation – Normal Operation:

این حوزه اغلب بر روی مدیریت log ها تمرکز دارد و با بررسی و یافتن مشکلات سیستم، بمنظور امکان دسترس­‌پذیری سیستم‌­ها و برنامه­‌های کاربردی در صدد رفع این مشکلات بر­می­ آید.

پایه ریزان فناوری هوشمند ارائه دهنده برتر راهکارهای SIEM در ایران می‌باشد جهت دریافت مشاوره و راه اندازی راهکارهای SIEM، با کارشناسان ما تماس بگیرید.

جدیدتر افزونه Splunk Enterprise Security با 7 ویژگی کاربردی
بازگشت به لیست
قدیمی تر مرکز مدیریت سیسکو فایر پاور یا سیسکو FirePOWER

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

6 + 1 =