آشنایی با راهکار SIEM
مدیریت امنیت اطلاعات و وقایع (راهکار SIEM) فن آوری جدیدی است که میتواند تمام سیستمهای شما را به هم متصل کند و به شما یک دیدگاه جامع از امنیت اطلاعات ارائه دهد. امنیت فناوری اطلاعات معمولا از چند فن آوری مختلف تشکیل شده است (فایروال ها، پیشگیری از نفوذ، حفاظت از پایانهها، اطلاعات تهدید و …) که برای حفاظت از شبکه و دادههای سازمان از هکرها و سایر تهدیدات همکاری میکنند.
آشنایی با راهکار SIEM
با این وجود اتصال همه این سیستمهای متفرقه چالشی دیگر است و در اینجا است که راهکار SIEM میتواند کمک کند. سیستم SIEM مدیریت و تشخیص ورودی های امنیتی را از انواع دستگاهها انجام میدهد و از طیف وسیعی از توابع، از جمله تهدیدهای پنهان، از رخدادها قبل از وقوع آنها، شناسایی رخدادهای امنیتی و ارائه اطلاعات قانونی برای تعیین اینکه یک حادثه امنیتی رخ داده است و همچنین تاثیر احتمالی، جلوگیری میکند. هر سازمان باید با توجه به نیاز خود به تهیه ابزارهای کاربردی اقدام نماید. اما آنچه مهم است این نکته است که امروزه سامانههای SIEM به قدری توانمند شده اند که علاوه بر اینکه بخش Log Management را بصورت یک ماژول مستقل در دل خود دارند بلکه فارغ از اندازه سازمان قابلیت بکارگیری دارند. همینطور نیاز ایجاد و بکارگیری مراکز عملیات امنیت (SOC) بکارگیری سامانههای SIEM را کاملا توجیهپذیر مینماید. شرکتهای مختلفی محصولاتی را در زمینه SIEM ارئه داده اند. که از اصلی ترین و پرکاربردترین آنها میتوان به IBM Qradar, HP ArcSight و Splunk Enterprise اشاره کرد. تمرکز ما بر روی اقتصادیترین و کاملترین این محصولات یعنی Splunk Enterprise میباشد.
راهکار SIEM چیست؟
Security Information and Event Management SIEM توانایی جمع آوری، آنالیز و گزارشگیری اطلاعات log های تجهیزات امنیتی، هاستها، سرورها، نرم افزارها و … را دارد و تمامی این فعالیتها را انجام میدهد. همچنین برخی از SIEM ها امکان متوقف کردن حملات شناسایی شده را دارند که به صورت چشمگیری باعث کاهش صدمات و مصرف منابع میشود. SIEM ها تکنولوژی پیچیدهای هستند که نیازمند یکپارچگی با تجهیزات امنیتی و هاستهای شبکه سازمان را دارد. مدیریت امنیت اطلاعات و وقایع (SIEM) ترکیبی از مدیریت امنیت اطلاعات (SIM) و مدیریت وقایع (SEM) میباشد که یکپارچه شده است و بصورت شماتیک میتوان نشان داد که تمام تواناییهای SEM و SIM را دارد.
راهکار SIEM
توانایی های استفاده از راهکار SIEM در سازمان
با بزرگ شدن و چند وجهی شدن فعالیتهای سازمانها، نیاز به داشتن راهکار SIEM، مهمتر از قبل بیشتر احساس میشود. مهمترین عملکردهای SIEM که به عنوان تواناییهای این محصول میتوان اشاره کرد در ادامه مطرح میشود که سازمانها با توجه به نیازهای خود میتوانند از این تواناییها در جهت رفع مشکلات اقدام نمایند:
- مطابقت با مقررات از طریق جمعآوری و آنالیز دادههای ورودی تمام سازمانها میبایست خود را با مقررات مختلف تطبیق دهند. این کار با دراختیار داشتن SIEM فراهم میشود.
- پشتیبانی از عملیات در تیمهای مختلف سازمان با رویکرد جمع آوری، بررسی اطلاعات و اطلاع رسانی
- شناسایی تهدیدها و مقابله با آنها با رویکرد انتخاب و تشخیص بهترین راه حل
- جمعآوری و بررسی شواهد قانونی از منابع مختلف سازمان
- مدیریت لاگ و گزارش گیری، ارتباط دهی با دادهها و پشتیبانی برای گزارشهای تطبیقی
موارد تضعیف عملکرد SIEM
همانطور که تواناییهای عملکرد یک SIEM مطرح گردید، مواردی هم وجود دارد که میتواند باعث تضعیف عملکرد یک SIEM در سازمان گردد و یا در روند آن خلل ایجاد نماید. در ادامه به برخی از این موارد اشاره خواهد شد:
- جمع آوری ناقص اطلاعات و حجم زیاد اطلاعات و منابع محدود
- تغییرات رفتارهای کاربران و واکنش در برابر تغییرات جدید در سازمان
- افزایش دستگاهها و برنامهها در سازمان
- مدیریت سیستمهای مانیتورینگ
- پیچیدگی افزایشی تهدیدهای امنیتی
- ناتوانی در درک دادهها
گامهای اصلی در پیاده سازی راهکار SIEM
گام اول: تعیین دلیل نیاز به SIEM
چه الزام سازمان بالا دستی شما باشد و یا نگاه مثبت سازمانتان، برای استفاده از SIEM باید به این نکته توجه شود که SIEM تنها زمانی کاربردی خواهد بود که قبل از پیادهسازی، تمامی یا بخشی از use case ها و سناریوهای امنیتی خود را بررسی و شناسایی کرده باشید و به این نتیجه رسیده باشید که چه نیازهایی از امنیت شما را بابستی SIEM برآورده کند؟
گام دوم: دادههای مورد نیاز
شما مشخص میکنید که با استفاده از تحلیل چه دادههایی به اهداف امنیتی خود میرسید؟ بررسی نیاز به یک محصول Real-time یا Offline انجام شود.
گام سوم: نیازمندیهای Correlation
مورد نیاز ما چیست و چه بخشی از رخدادهای امنیتی ما را شناسایی میکند. شاید شما پس از دادن جواب این سوالها به نتیجه برسید که یک محصول مدیریت لاگ هم پاسخگوی نیازتان باشد. یا اینکه من احتیاج به یک محصول بسیار پیشرفته دارم که نیاز من را برآورده کند.
انتخاب راهکار SIEM برای سازمان
برای انتخاب SIEM برای سازمان، نخست میبایست به مشخص کردن معیارهای ارزیابی سازمان پرداخت. انتخاب SIEM به شرایط سازمان باز میگردد. توجه به تمام معیارهای سازمان از ابتدای راهاندازی، شخصی سازی، گسترش و تا انتهای پیاده سازی و استفاده و کاربری SIEM ضروری است. در این صورت است که میتوانید بهترین انتخاب را داشته باشید.
هزینه های SIEM به چند عامل اصلی برمیگردد:
– قابلیت های SIEM:
بخش قابلیتها به امکانات SIEM مرتبط میشود با برخی از SIEM ها سولوشنهایی تحت عنوان light دارند که مدیریت و گزارشگیری log ها را به صورت basic ارائه میدهند و تکنیکهای پیشرفته آنالیز و دیگر قابلیتهایی که SIEM پشتیبانی میکند را شامل نمیشود. راهحلهای light به صورت قابل ملاحظهای نبست به سایر SIEM ها ارزانتر و حتی رایگان هستند.
– نحوه پیاده سازی SIEM:
برخی از SIEM ها نیاز به خریداری سخت افزار و نرمافزار دارند. علاوه بر هزینهSIEM ، هزینههای جانبی نیز میتواند وجود داشته باشد. به طور مثال SIEM ها میتوانند از threat intelligence feeds استفاده کنند و باعث میشود اطلاعات بروز تهدیدات امنیتی را در اختیار داشته باشد. استفاده از این سرویسها نیاز به پرداخت هزینه دارد.
– سفارشی کردن SIEM
این بخش برای تغییر فرمت log هایی که SIEM نمیتواند آنها درک کند میتواند هزینههایی را به سازمان تحمیل کند.
– مدیریت SIEM
هزینه دیگری که برای SIEM میتوان در نظر گرفت بحث مدیریت آن است SIEM ها نیاز دارند که به صورت مرتب تنظیم و براساس نیازهای سازمان شخصی سازی شوند.
– معماری SIEM
از نکات مهم در رابطه با معماری SIEM انتخاب چگونگی ارسال log از مبدا به SIEM است که برای این مهم، دو روش اصلی وجود داد:
Agent-based: در این روش، نرمافزار agent روی هر هاست که log تولید میکند نصب میشود و وظیفه استخراج، پردازش و ارسال اطلاعات از هاست به سرور SIEM را دارد.
Agentless: این روش ارسال به این صورت است که اطلاعات log ها بدون Agent انجام میگیرد و هاست به صورت مستقیم log ها را به SIEM ارسال میکند یا از طریق یک سرور logging واسط مانند syslog server اینکار را انجام میدهد.
کاربردهای راهکار SIEM
کاربردهای راهکار SIEM را می توان در سه حوزه بیان کرد:
– Security detective و investigative:
این حوزه بر روی شناسایی و واکنش (در واقع پاسخ به حملات)، نفوذ بدافزارها، دسترسی غیر مجاز به دادهها و اطلاعات و سایر مسائل امنیتی تمرکز دارد.
– Compliance regulatoryو policy :
تمرکز این قسمت بر روی قوانین و سیاستهای مورد نیاز و همچنین احکام تعیین شده در سازمانها میباشد.
– System & Network troubleshooting Operation – Normal Operation:
این حوزه اغلب بر روی مدیریت log ها تمرکز دارد و با بررسی و یافتن مشکلات سیستم، بمنظور امکان دسترسپذیری سیستمها و برنامههای کاربردی در صدد رفع این مشکلات برمی آید.
پایه ریزان فناوری هوشمند ارائه دهنده برتر راهکارهای SIEM در ایران میباشد جهت دریافت مشاوره و راه اندازی راهکارهای SIEM، با کارشناسان ما تماس بگیرید.
در صورت تمایل به مشاوره رایگان و استفاده از خدمات پایه ریزان فناوری هوشمند می توانید با کارشناسان مجرب ما تماس بگیرید و محصول مورد نیاز خود را با قیمت رقابتی و ضمانت شرکتی دریافت کنید ضمن این که تیم متخصص پایه ریزان با پشتیبانی قوی در کنار شما خواهد بود.
جهت مشاوره رایگان با شماره های زیر تماس بگیرید.
