ویژگیهای SIEM مدرن در سرویس Splunk

قابلیت های فنی SIEM مدرن

حال با آگاهی از شش قابلیت اساسی SIEM مبتنی بر تحلیل، به بررسی تکنولوژی هایی که SIEM مدرن بر مبنای آنها کار می کند، پرداخته می شود. این بخش به درک و آگاهی خواننده از تمایز SIEM مدرن، سنتی و مدل های نوظهور این بازار مانند فروشندگان user behavior analytics) UBA) ، کمک شایانی می کند.
به کلیه علاقه مندان بازار SIEM پیشنهاد می شود، گزارش سالیانه Gartner در ارتباط با اطلاعات امنیتی و مدیریت رخدادها را مطالعه نمایند. با تکامل SIEM، این گزارش گسترش یافته و تکنولوژی ها و فروشندگان جدید همچون UEBA را نیز در بر می گیرد.
تحلیلگران شرکت گزارشات تکمیلی در ارتباط با SIEM تهیه کردند که به قابلیت فنی SIEM مدرن و تفاوتهای آن نسبت به سایر راهکارهایی همچون Splunk اشاره دارد. جدول زیر این قابلیت ها را نمایش می دهد.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای SIEM را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید.
Splunk SIEM سنتی Open Source رقبای نوظهور
۱٫   جمع ­آوری وقایع و رخدادها             
۲٫    نرم افزارهای بهنگام از قوانین مرتبط        DIY      
۳٫    نرم ­افزارهای بهنگام از تحلیل پیشرفته و machine learning     محدود DIY       
۴٫    تجزیه و تحلیل تشریحی بلند مدت و machine learning     محدود DIY محدود
۵٫    ذخیره ­سازی طولانی مدت رخدادها     محدود     محدود
۶٫    جستجو و ارایه گزارش از داده ­های نرمالیزه شده                    
۷٫    جستجو و ارایه گزارش از داده ­های خام   پیچیده      پیچیده
۸٫    ورود context data به منظور تحلیل­ ها و یافتن ارتباطات بیشتر   محدود محدود
۹٫    شناسایی و درک موارد غیرامنیتی DIY

جمع آوری وقایع و رخدادها در Splunk

SIEM تحلیلی می بایست قادر به جمع آوری، استفاده و تحلیل کلیه وقایع ثبت شده و ارایه یک رویکرد یکپارچه بهنگام باشد. این قابلیت امکان مدیریت مرکزی گزارشات وقایع ثبت شده، یافتن ارتباط وقایع رخ داده در روزهای مختلف و سیستم های متفاوت، بررسی ارتباط سایر منابع اطلاعاتی مانند تغییرات رجیستری و ISA Proxy log، را فراهم می کند. همچنین محققان حوزه امنیت، توانایی انجام هرگونه حسابرسی و ارایه گزارش از رخدادها را خواهند داشت.

کاربرد به موقع از همبستگی قوانین  Real-time application of correlation rules

تشخیص همبستگی رویدادها، مسیری برای شناسایی رویدادهای امنیتی است و از طریق بررسی ارتباط رویدادها دید کاملی نسبت به ماهیت آنها بدست می دهد.
نرم افزارهای بهنگام از تحلیل پیشرفته و machine learning
تجزیه و تحلیل تشریحی بلند مدت و machine learning
یکی از صورت های پایه تجزیه و تحلیل در SIEM که درک کاملی نسبت به ماهیت داده ها ارایه داده و الگوی آنها را آشکار می کند. بنابراین تحلیلگران امنیتی امکان بررسی دقیق تر و شناسایی تهدیدات پیش از بروز هرگونه حادثه ای را خواهند داشت.
تحقیقات اخیر Forrester نشان داد؛ ۷۴ درصد از مسئولین تکنولوژی های امنیتی سازمان ها در سطح جهان بر این باورند که ارتقا قابلیت نظارت و پایش امنیتی را از اولویت های اساسی سازمان ها محسوب می شود. فروشندگان، قابلیت های تحلیل امنیتی جدیدی را به زیرساخت امنیتی موجود می افزایند و کمپانی های جدید تکنولوژی های نوینی را بدون در نظر داشتن راهکارهای سنتی ارایه می دهند.
Machine learning) ML) قابلیت تحلیل داده ها را ارتقا داده و سازمان ها را، از طریق یک راهکار SIEM تحلیلی به منظور ارایه تحلیل های پیشنگرانه و دقیق، تقویت می کند. این رویکرد پرسنل امنیتی سازمان ها را در شناسایی حوداث، پیشگویی و جلوگیری از آنها یاری می کند.

ذخیره سازی طولانی مدت رخدادها در اسپلانک

راهکارهای SIEM مبتنی بر تحلیل قابلیت ذخیره داده های وقایع ثبت شده را برای مدت زمان طولانی دارند. این قابلیت امکان بررسی ارتباط و هم بستگی داده در طولانی مدت و تامین الزامات تعهدات قانونی را فراهم می کند. اهمیت نگهداری طولانی مدت اطلاعات زمانی که تحلیلگران امنیتی به انجام بررسی های مسیر یک حمله پرداخته و نقاط ضعف شبکه را شناسایی می کنند، مشهود خواهد شد.

جستجو و ارایه گزارش از داده های نرمالیزه شده Search and reporting on normalized data

قابلیت جستجو و ارایه گزارش در SIEM، به کاربران امکان جستجو در داده ها، ساخت مدل-های داده و تعیین اساس آن، ذخیره جستجوها به عنوان یک گزارش، پیکربندی هشدارها و ساخت داشبوردهایی با قابلیت به اشتراک گذاری را می دهد.

جستجو و ارایه گزارش از داده های خام در اسپلانک

جستجو و ارایه گزارش از داده های خام از منظر SIEM، شامل جمع آوری داده از منابع مختلف و تجمیع آن توسط یک راهکار SIEM مبتنی بر تحلیل است. برخلاف SIEM سنتی، راهکارهای مدرن قابلیت دریافت داده از هر منبعی را دارند. پس از جمع آوری داده ها، SIEM تحلیلی آنها را به داده های هوشمند عملیاتی تبدیل کرده و به صورت گزارش های ساده در سطح بستر SIEM توزیع کرده و به مراجع ذی صلاح ارایه می کند.

ورود context data به منظور تحلیل ها و یافتن ارتباطات بیشتر

پس از تجمیع اطلاعات توسط راهکارهای SIEM تحلیلی، کاربر به اطلاعات بیشتری جهت تصمیم گیری در ارتباط با درک این داده ها و رویکرد خود در قبال آنها نیاز دارد. این مهم از منظر شناسایی حملات حقیقی، تفکیک آنها از هشدارهای کاذب، پاسخ و واکنش مناسب در مقابله با حملات واقعی اهمیت ویژه ای دارد. SIEM مبتنی بر تحلیل، زمینه لازم جهت ارایه سیستم هوشمند مقابله با تهدیدات خارجی، تعیین روند عملیات IT داخلی و شناسایی الگوی رخدادها، را فراهم می-کند. این قابلیت ها کاربر را در انجام واکنش مناسب و به موقع در مقابله یا تهدیدات حقیقی یاری می کند.

شناسایی و درک موارد غیر امنیتی

تمایز دیگری میان SIEM مبتنی بر تحلیل و شیوه سنتی آن، در توانایی استفاده از آن در زمینه های مختلف همچون موارد غیر امنیتی مانند IT Ops است.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *