اطلاعات امنیتی و مدیریت رویداد (SIEM)
SIEM چیست ؟ اطلاعات امنیتی و مدیریت رویداد (SIEM) رویکردی برای مدیریت امنیتی است که عملکردهای SIM (مدیریت اطلاعات امنیتی) و SEM (مدیریت رویدادهای امنیتی) را در یک سیستم مدیریت امنیتی ترکیب میکند. مخفف SIEM “sim” با e بی صدا تلفظ می شود .
اصول اساسی هر سیستم SIEM جمع آوری داده های مرتبط از منابع متعدد، شناسایی انحرافات از هنجار و انجام اقدامات مناسب است. به عنوان مثال، هنگامی که یک مشکل بالقوه شناسایی می شود، یک سیستم SIEM ممکن است اطلاعات اضافی را ثبت کند، یک هشدار ایجاد کند و به سایر کنترل های امنیتی دستور دهد تا پیشرفت یک فعالیت را متوقف کنند.
در ابتدایی ترین سطح، یک سیستم SIEM می تواند مبتنی بر قوانین باشد یا از یک موتور همبستگی آماری برای ایجاد روابط بین ورودی های گزارش رویداد استفاده کند. سیستمهای پیشرفته SIEM تکامل یافتهاند که شامل تجزیه و تحلیل رفتار کاربر و موجودیت (UEBA) و هماهنگسازی امنیتی، اتوماسیون و پاسخ ( SOAR ) میشود.
انطباق با استاندارد امنیت داده های صنعت کارت پرداخت ( PCI DSS ) در ابتدا باعث پذیرش SIEM در شرکت های بزرگ شد، اما نگرانی ها در مورد تهدیدات پایدار پیشرفته ( APT ) باعث شده است تا سازمان های کوچکتر به مزایای ارائه دهندگان خدمات امنیتی مدیریت شده SIEM ( MSSP ) توجه کنند. توانایی مشاهده تمام داده های مرتبط با امنیت از یک دیدگاه واحد، تشخیص الگوهای غیرعادی را برای سازمان ها در هر اندازه آسان تر می کند.
سیستمهای SIEM با استقرار چندین عامل جمعآوری به شیوهای سلسله مراتبی برای جمعآوری رویدادهای مرتبط با امنیت از دستگاههای کاربر نهایی، سرورها و تجهیزات شبکه، و همچنین تجهیزات امنیتی تخصصی، مانند فایروالها ، آنتیویروسها یا سیستمهای پیشگیری از نفوذ (IPS) کار میکنند. گردآورنده ها رویدادها را به یک کنسول مدیریت متمرکز ارسال می کنند، جایی که تحلیلگران امنیتی نویز را غربال می کنند، نقاط را به هم متصل می کنند و حوادث امنیتی را اولویت بندی می کنند.
در برخی از سیستم ها، پیش پردازش ممکن است در جمع کننده های لبه اتفاق بیفتد و فقط رویدادهای خاصی به یک گره مدیریت متمرکز منتقل می شوند. به این ترتیب می توان از حجم اطلاعات در حال انتقال و ذخیره سازی کاسته شود. اگرچه پیشرفتها در یادگیری ماشین به سیستمها کمک میکند تا ناهنجاریها را با دقت بیشتری مشخص کنند، تحلیلگران همچنان باید بازخورد ارائه دهند و به طور مداوم سیستم را در مورد محیط آموزش دهند.
در اینجا برخی از مهم ترین ویژگی هایی که باید هنگام ارزیابی محصولات SIEM بررسی شوند آورده شده است:
ادغام با سایر کنترل ها آیا سیستم می تواند دستوراتی را به سایر کنترل های امنیتی سازمانی برای جلوگیری یا توقف حملات در حال انجام بدهد؟
هوش مصنوعی ( AI ). آیا سیستم می تواند دقت خود را از طریق یادگیری ماشینی و یادگیری عمیق بهبود بخشد ؟
اطلاعات تهدید تغذیه می کند. آیا سیستم میتواند از فیدهای اطلاعاتی تهدید به انتخاب سازمان پشتیبانی کند، یا اینکه موظف است از یک خوراک خاص استفاده کند؟
گزارش انطباق گسترده آیا این سیستم شامل گزارشهای داخلی برای نیازهای متداول انطباق است و به سازمان امکان سفارشیسازی یا ایجاد گزارشهای انطباق جدید را میدهد؟
قابلیت های کالبد شکافی آیا سیستم می تواند با ثبت سرصفحه ها و محتویات بسته های مورد علاقه، اطلاعات بیشتری در مورد رویدادهای امنیتی بگیرد؟
SIEM چگونه کار می کند؟
ابزارهای SIEM با جمعآوری دادههای رویداد و گزارش ایجاد شده توسط سیستمهای میزبان، برنامهها و دستگاههای امنیتی، مانند فیلترهای آنتی ویروس و فایروالها، در سرتاسر زیرساخت شرکت و گردآوری این دادهها در یک پلتفرم متمرکز کار میکنند. ابزارهای SIEM داده ها را در دسته هایی مانند ورود موفق و ناموفق، فعالیت بدافزار و سایر فعالیت های مخرب احتمالی شناسایی و مرتب می کنند.
سپس نرم افزار SIEM هنگام شناسایی مشکلات امنیتی بالقوه هشدارهای امنیتی تولید می کند. با استفاده از مجموعه ای از قوانین از پیش تعریف شده، سازمان ها می توانند این هشدارها را به عنوان اولویت کم یا بالا تنظیم کنند.
به عنوان مثال، یک حساب کاربری که 25 تلاش ناموفق برای ورود را در 25 دقیقه ایجاد می کند، می تواند به عنوان مشکوک علامت گذاری شود، اما همچنان در اولویت پایین تری قرار می گیرد، زیرا احتمالاً تلاش های ورود به سیستم توسط کاربری انجام شده است که احتمالاً اطلاعات ورود خود را فراموش کرده است.
با این حال، یک حساب کاربری که 130 تلاش ناموفق برای ورود را در پنج دقیقه ایجاد می کند، به عنوان یک رویداد با اولویت بالا علامت گذاری می شود زیرا به احتمال زیاد یک حمله brute-force در حال انجام است.