معرفي  SIEM:

Security Information And Event Managment


بر اساس الگو ها و استانداد هاي رايج موجود در مديريت شبكه هاي كاميوتري مانند: FCAPS و TMN يكپاچه سازي و مديريت مجتمع يكي از بخش هاي مهم در پياده سازي مديريت شبكه بهينه و كارآمد مي باشد اين بخش نه تنها در لايه هاي مالي شبكه اي و مانيتورينگ بايد اجرا شود بلكه امروزه به بخش هاي امنيتي نـيز وارد شده است.

جدا از مديريت مجتمع دستگاه هاي امنيتي كه معمولا جهت پيكره بندي محصولات از يك برند قابل انجام است مديريت رخداد ها نيز يك الزام امنيتي در استاندارد هاي نوين امنيتي محسوب مي شود، امروزه باگسترش روز افزون حملات و تهديدات امنيتي لزوم به كار گيري سيستم هاي تدافعي محافظتي و آشكار سازي گسترش يافته است و مديريت رويداد هاي امنيتي تك تك اين سيستم ها را براي كارشناسان امنيتي مشكل ساخته است. همچنين بايد توجه داشت كه رخداد هاي توليد شده از يك سيستم معمولا توجيه كننده وقوع يك حمله يا رخداد امنيتي نمي باشد و از آن نمي توان نتيجه گرفت كه آيا حمله يا تهديدي درحال وقوع است يا خير.
همواره يك موضوع نيز باعث نگراني كارشناسان امنيتي و ادمينهاي شبكه بوده و آن از بين رفتن گزارش ,Log هاي توليد شده و ذخـيره شده سمت سرور ها و كلاينت هاي شبكه است كه تهديدات ذيل را به همراه دارد :

  • تغيير محتوا توسط مهاجمين (Integrity Risk)
  • تغيير محتوا توسط مهاجمين (Integrity Risk)
  • پاك شدن و از بين رفتن (Availability Risk)

ضعف ديگري كه در حوزه مديريت امنيت شبكه حس مي شود زمان و نحوه واكنش به رويداد ها است :

  • معمولا نياز است كه سريعا نسبت به يك رخداد واكنش نشان داد و زمان بسيار تعيين كننده مي باشد.
  • تحليل رويداد هاي امنيتي نياز به بررسي و زمان دارد.
  • بخش هاي مختلفي درگـیر بررسي گزارشات مي شوند.
  • محل انجام واكنش نيزمهم است، به طور مثال قطع كردن ترافيك مشكوك روي سرور، فاير وال مياني، روتر يا فاير وال لبه و …

 

با توجه به مشكلات مطرح شده و براساس استاندارد هاي مديريت مجتمع شبكه محصولاتي تحت عنوان SIEM توليد شد كه سعي در بر طرف كردن آنها داشت :

سيستم هاي SIEM :

  • در ابتدا سعي در جمع آوري گزارشات خام تجهـيزات شبكه را داشته.
  • در مرحله دوم سعي در يكسان سازي گزارشات از يك سـيستم را داشته.
  • در مرحله سوم گزارش تمام سـتم ها را با توجه به پارامتر هاي خواسسته شده اراتباط دهي نموده.
  • و در مرحله آخر با آناليز و تحليل آنها گزارشات مختلفي توليد مي نمايد.

 

 

البته بعضي از اين سيستم ها توانايي واكنش به رخداد ها را دارند كه با توجه به نوع محصول از قوت و ضعف متفاوت برخوردار هستند.

گروه تكتا كام سعي در شناساندن و ارائه اين محصولات به ساز مان هاي مختلف داشته و انواع اين محصول را با توجه به پارامترهايي همچون گستره فيزيكي و منطقي شبكه مشتري، نوع نياز ، نوع تجهيزات موجود، تعداد رويداد ها و… در سبد محصولات امنيتي خود قرار داده است تكتا كام بر اساس كارشناسان متخصصي كه در اين زمينه دارد مي تواند در فاز هاي مشاوره طراحي نصب و پشتيباني اين نوع محصولات مشتريان محترم را همراهي نمايد.