SIEM چیست ؟

اطلاعات امنیتی و مدیریت رویداد (SIEM)

SIEM چیست ؟ اطلاعات امنیتی و مدیریت رویداد (SIEM) رویکردی برای مدیریت امنیتی است که  عملکردهای SIM  (مدیریت اطلاعات امنیتی) و SEM (مدیریت رویدادهای امنیتی) را در یک سیستم مدیریت امنیتی ترکیب می‌کند. مخفف SIEM “sim” با e بی صدا تلفظ می شود .

اصول اساسی هر سیستم SIEM جمع آوری داده های مرتبط از منابع متعدد، شناسایی انحرافات از هنجار و انجام اقدامات مناسب است. به عنوان مثال، هنگامی که یک مشکل بالقوه شناسایی می شود، یک سیستم SIEM ممکن است اطلاعات اضافی را ثبت کند، یک هشدار ایجاد کند و به سایر کنترل های امنیتی دستور دهد تا پیشرفت یک فعالیت را متوقف کنند.

در ابتدایی ترین سطح، یک سیستم SIEM می تواند مبتنی بر قوانین باشد یا از یک  موتور همبستگی آماری برای ایجاد روابط بین  ورودی های گزارش رویداد  استفاده کند. سیستم‌های پیشرفته SIEM تکامل یافته‌اند که شامل تجزیه و تحلیل رفتار کاربر و موجودیت (UEBA) و هماهنگ‌سازی امنیتی، اتوماسیون و پاسخ ( SOAR ) می‌شود.

انطباق با استاندارد امنیت داده های صنعت کارت پرداخت ( PCI DSS ) در ابتدا باعث پذیرش SIEM در شرکت های بزرگ شد، اما نگرانی ها در مورد تهدیدات پایدار پیشرفته ( APT ) باعث شده است تا سازمان های کوچکتر به مزایای ارائه دهندگان خدمات امنیتی مدیریت شده SIEM ( MSSP ) توجه کنند. توانایی مشاهده تمام داده های مرتبط با امنیت از یک دیدگاه واحد، تشخیص الگوهای غیرعادی را برای سازمان ها در هر اندازه آسان تر می کند.

سیستم‌های SIEM با استقرار چندین  عامل جمع‌آوری  به شیوه‌ای سلسله مراتبی برای جمع‌آوری رویدادهای مرتبط با امنیت از دستگاه‌های کاربر نهایی، سرورها و تجهیزات شبکه، و همچنین تجهیزات امنیتی تخصصی، مانند فایروال‌ها ، آنتی‌ویروس‌ها یا   سیستم‌های پیشگیری از نفوذ (IPS) کار می‌کنند. گردآورنده ها رویدادها را به یک کنسول مدیریت متمرکز ارسال می کنند، جایی که تحلیلگران امنیتی نویز را غربال می کنند، نقاط را به هم متصل می کنند و حوادث امنیتی را اولویت بندی می کنند.

در برخی از سیستم ها، پیش پردازش ممکن است در جمع کننده های لبه اتفاق بیفتد و فقط رویدادهای خاصی به یک گره مدیریت متمرکز منتقل می شوند. به این ترتیب می توان از حجم اطلاعات در حال انتقال و ذخیره سازی کاسته شود. اگرچه پیشرفت‌ها در یادگیری ماشین به سیستم‌ها کمک می‌کند تا ناهنجاری‌ها را با دقت بیشتری مشخص کنند، تحلیلگران همچنان باید بازخورد ارائه دهند و به طور مداوم سیستم را در مورد محیط آموزش دهند.

در اینجا برخی از مهم ترین ویژگی هایی که باید هنگام ارزیابی محصولات SIEM بررسی شوند آورده شده است:

ادغام با سایر کنترل ها آیا سیستم می تواند دستوراتی را به سایر کنترل های امنیتی سازمانی برای جلوگیری یا توقف حملات در حال انجام بدهد؟

هوش مصنوعی ( AI ). آیا سیستم می تواند دقت خود را از طریق یادگیری ماشینی و یادگیری  عمیق بهبود بخشد ؟

اطلاعات تهدید تغذیه می کند. آیا سیستم می‌تواند از  فیدهای اطلاعاتی تهدید  به انتخاب سازمان پشتیبانی کند، یا اینکه موظف است از یک خوراک خاص استفاده کند؟

گزارش انطباق گسترده آیا این سیستم شامل گزارش‌های داخلی برای نیازهای متداول انطباق است و به سازمان امکان سفارشی‌سازی یا ایجاد گزارش‌های انطباق جدید را می‌دهد؟

قابلیت های کالبد شکافی آیا سیستم می تواند با ثبت سرصفحه ها و محتویات بسته های مورد علاقه، اطلاعات بیشتری در مورد رویدادهای امنیتی بگیرد؟

SIEM چگونه کار می کند؟

ابزارهای SIEM با جمع‌آوری داده‌های رویداد و گزارش ایجاد شده توسط سیستم‌های میزبان، برنامه‌ها و دستگاه‌های امنیتی، مانند فیلترهای آنتی ویروس و فایروال‌ها، در سرتاسر زیرساخت شرکت و گردآوری این داده‌ها در یک پلتفرم متمرکز کار می‌کنند. ابزارهای SIEM داده ها را در دسته هایی مانند ورود موفق و ناموفق، فعالیت بدافزار و سایر فعالیت های مخرب احتمالی شناسایی و مرتب می کنند.

سپس نرم افزار SIEM هنگام شناسایی مشکلات امنیتی بالقوه هشدارهای امنیتی تولید می کند. با استفاده از مجموعه ای از قوانین از پیش تعریف شده، سازمان ها می توانند این هشدارها را به عنوان اولویت کم یا بالا تنظیم کنند.

به عنوان مثال، یک حساب کاربری که 25 تلاش ناموفق برای ورود را در 25 دقیقه ایجاد می کند، می تواند به عنوان مشکوک علامت گذاری شود، اما همچنان در اولویت پایین تری قرار می گیرد، زیرا احتمالاً تلاش های ورود به سیستم توسط کاربری انجام شده است که احتمالاً اطلاعات ورود خود را فراموش کرده است.

با این حال، یک حساب کاربری که 130 تلاش ناموفق برای ورود را در پنج دقیقه ایجاد می کند، به عنوان یک رویداد با اولویت بالا علامت گذاری می شود زیرا به احتمال زیاد یک حمله brute-force در حال انجام است.