SIEM چیست


در این مقاله تصمیم داریم در رابطه با اینکه SIEM چیست و نحوه عملکرد و کاربرد آن در شناسایی تهدیدات پیشرفته چگونه می باشد توضیحاتی را ارائه نماییم.

SIEM چیست؟

راهکارهای امنیت اطلاعات و مدیریت رویدادها یا به اختصار SIEM با استفاده از قوانین و همبستگی‌های موجود در رخدادها، گزارش‌ها و رویدادهای سیستم‌های امنیتی را به اطلاعات کاربردی تبدیل می‌کنند. این اطلاعات در شناسایی تهدیدها به‌صورت Real-Time، مدیریت واکنش به حوادث، تحقیقات جرم‏شناسی درباره‌ی حوادث امنیتی گذشته و آماده‌سازی Auditها برای اهداف تطبیق‌پذیری، به تیم‌های امنیتی کمک می‌کند.

مارک نیکولت و امریت ویلیامز در سال 2005 اصطلاح SIEM را در گزارش شرکت تحقیقاتی گارتنر، به نام Improve IT Security with Vulnerability Management ساختند و بر مبنای دو نسل قبل‌تر یک سیستم اطلاعات امنیتی عرضه کردند.

مدیریت اطلاعات امنیتی یا به اختصار SIM

نسل اول است که بر مبنای مجموعه‌ی قدیمی جمع‌آوری گزارش‌ها و سیستم‌های مدیریتی ساخته شده بود و امکاناتی از این قبیل را ارائه می‌کرد: حافظه‌ی بلند مدت، تجزیه و تحلیل و گزارش درباره‌ی دیتای Log و ترکیب Logها با هوش تهدیدات.

مدیریت رویدادهای امنیتی یا به اختصار SEM

نسل دوم است که به مواردی از قبیل جمع آوری رویدادهای‌ امنیتی، برقراری ارتباط و انتشار اطلاعیه درباره‌ی رویدادهای سیستم‌های امنیتی از جمله آنتی‌ویروس‌ها، فایروال‌ها و IDSها می‌پردازد. همچنین به رویدادهایی توجه می‌کند که مستقیما از طریق Authentication، SNMP Trapها، سرورها و دیتابیس‌ها گزارش می‌شوند.

  • در سال‌های بعد، Vendorها برای ایجاد راهکارهای SIEM، سیستم‌هایی عرضه کردند که امکان مدیریت و آنالیز گزارش‌های امنیتی (SIM) و همچنین مدیریت رویدادها (SEM) را فراهم می‌کرد.
  • پلتفرم‌های SIEM Security می‌توانند هم دیتای گزارش‌های قدیمی و رویدادهای Real-Time را گردآوری کنند و هم می‌توانند با ایجاد روابط و پیوندهایی به مدیران امنیتی کمک کند نابهنجاری‌ها، آسیب‌پذیری‌ها و رویدادها را شناسایی نمایند.
  • تمرکز اصلی بر رویدادها و حوادث مرتبط با امنیت است که از جمله‌ی ‌آن‌ها می‌توان به Loginهای موفق یا ناموفق، فعالیت‌های بدافزارها و افزایش امکانات اشاره کرد.
  • این اطلاعات ممکن است به‌صورت اعلان و هشدار ارسال شوند یا ممکن است تحلیلگران امنیتی که از ابزارهای Visualization و Dashboarding پلتفرمِ SIEM استفاده می‌کنند، متوجه آن‌ها شوند.

دورنمای SIEM چیست

SIEM چیست – SIEM یک تکنولوژی کاملا شکل گرفته است و نسل‌های بعدی آن قابلیت‌های جدیدی دارند:

  • آنالیز رفتاری رویداد کاربر یا به اختصار UEBA: بطور کلی SIEMهای پیشرفته با استفاده‌ی حداکثری از Al و تکنیک‌های پیچیده‌ی یادگیری برای بررسی الگوی رفتاری انسان‌ها، از قوانین و ارتباط‌ها فراتر می‌روند. این قابلیت به شناسایی تهدیدهای داخلی، حمله‌های هدف‌دار و کلاهبرداری‌ها کمک می‌کند.
  • هماهنگ‌سازی و خودکارسازیِ امنیت یا به اختصار SOAR: در واقع SIEMهای نسل بعد با سیستم‌های سازمانی و پاسخگویی خودکار به حوادث ادغام می‌شوند. مثلا ممکن است SIEM هشداری برای باج‌افزار دریافت کند و قبل از این که مهاجم‌ها بتوانند داده‌ها را رمزگذاری کنند، به‌صورت اتوماتیک اقدامات مهارسازی را روی سیستم‌های آلوده اجرایی نماید.

کاربردهای SIEM چیست :

SIEM چیستجمع‌آوری دیتا

از شبکه، امنیت، سرورها، دیتابیس‌ها، اپلیکیشن‌ها و سیستم‌های امنیتی دیگر مثل: فایروال‌ها، آنتی‌ویروس‌ها و IDSها داده جمع‌آوری می‌کند.

SIEM چیستنتایج هوش تهدیدات

دیتای داخلی را با نتایج هوشمند تشخیص تهدید که محتوای اطلاعاتی درباره‌ی آسیب‌پذیری‌ها، عوامل تهدیدکننده و الگوهای حمله هستند، ترکیب می‌کند.

SIEM چیستهمبستگی

رویدادها و داده‌های مرتبط را به‌صورت مجموعه‌های معنادار که نشاندهنده‌ی یک حادثه‌ی امنیتی واقعی، تهدید، آسیب‌پذیری یا یافته‌های جرم‌شناسی هستند، به هم مرتبط می‌سازد.

SIEM چیست تجزیه و تحلیل

از مدل‌های آماری و یادگیری ماشینی برای شناسایی روابط عمیق‌تر میان ماهیت داده‌ها و نابهنجاری‌ها در قیاس با الگوهای شناخته شده و ارتباط دادن آن‌ها به مسائل امنیتی، استفاده می‌کند.

 SIEM چیستهشدار دادن

رویدادها را تحلیل می‌کند و با ارسال هشدار از طریق ایمیل، یا انواع دیگر پیام‌رسانی یا از طریق Dashboardهای امنیتی، پرسنل امنیتی را از مشکلات موجود باخبر می‌نماید.

SIEM چیستDashboardها و مصورسازی‌ها

با فراهم کردن امکان مصورسازی (Visualization) به پرسنل امنیتی این امکان را می‌دهد که دیتای مربوط به رویداد را بررسی کنند، الگوها را ببینند و فعالیت‌هایی را که با الگوهای استاندارد مطابقت ندارند، شناسایی نمایند.

SIEM چیستتطبیق‌پذیری

فرایند جمع‌آوری دیتای مربوط به تطبیق‌پذیری از استانداردها را خودکارسازی کرده و گزارش‌هایی مطابق با پروسه‌های امنیت، کنترل و Audit کردن استانداردهایی مثل HIPAA، PCI/DSS، HITECH، SOX و GDPR را تولید می‌نماید.

SIEM چیستحفظ و نگهداری

داده‌های قدیمی درازمدت را برای تحلیل و ردیابی و داده‌هایی را برای الزامات تطبیق‌پذیری ذخیره می‌کند که به صورت ویژه در تحقیقات جرم‌شناسی که بعد از آن انجام می‌شود اهمیت دارد.

جست‌وجو کردن تهدید

به پرسنل امنیتی این امکان را می‌دهد تا Queryهایی را روی داده‌های SIEM اجرا کنند، داده‌ها را فیلتر و مدیریت نمایند و تهدیدات و آسیب پذیری‌ها را به صورت فعال و آینده‌نگرانه کشف کنند.

پاسخگویی به رخداد

با فراهم آوردن امکان مدیریت موردی، همکاری و به اشتراک گذاری اطلاعات درباره‌ی حوادث امنیتی، تیم‌های امنیتی را قادر می‌سازد به‌سرعت داده‌های ضروری را هماهنگ کرده و به تهدید پاسخ دهند.

خودکارسازی SOC

با به‌کار‌گیری APIها با راهکارهای امنیتی دیگر ادغام می‌شود و به این ترتیب پرسنل امنیتی می‌توانند گردش کارهای خودکار و مجموعه قوانینی را که باید در پاسخ به حوادث مشخصی اجرا شوند، تعریف کنند.

 SIEM چیست و نحوه عملکرد آن چگونه است

در گذشته SIEM در هر مرحله از خط مستقیم داده‌ها، دریافت داده، Policyها، بررسی هشدارها و تحلیل نابهنجاری‌ها، نیازمند مدیریت دقیق بود. SIEMها به‌طور روزافزون در به هم مرتبط کردن داده‌های منابعِ به‌مراتب سازمانی‌تر و همچنین در استفاده از تکنیک‌های AI برای فهمیدن این که چه نوع رفتاری یک حادثه‌ی امنیتی را شکل می‌دهد، هوشمندتر می‌شوند.

جمع‌آوری داده

بیشتر سیستم‌های SIEM با قرار دادن Agentهای جمع‌آوری اطلاعات در دستگاه‌ها و سرورهای کاربران نهایی یا ابزار شبکه‌سازی و سیستم‌های امنیتی دیگری مثل فایروال‌ها و آنتی‌ویروس‌ها یا از طریق فوروارد کردن Syslog پروتکل‌ها،SNMP  یا WMI، اطلاعات جمع‌آوری می‌کنند. SIEMهای پیشرفته می‌توانند با سرویس‌های Cloud ادغام شوند تا داده‌هایی را درباره‌ی زیربنای پیاده‌سازی‌شده در Cloud یا برنامه‌های کاربردی SaaS به دست آورند و می‌توانند منابع داده‌ی غیر استاندارد دیگر را به‌سادگی دریافت کنند. پیش پردازش ممکن است با انتقال تنها برخی از رویداد‌ها و اطلاعات رویدادها به حافظه‌ی مرکزی، درEdge Collectorها اتفاق بیفتد.

 Storage داده

در گذشته SIEMها به حافظه‌ی دیتاسنتر متکی بودند که این به خودی خود ذخیره‌سازی و مدیریت کردن حجم زیاد داده‌ها را دشوار می‌کرد. در نتیجه فقط تعدادی از داده‌های گزارش‌ها بازیابی می‌شدند و SIEMهای نسل بعد بر مبنای تکنولوژی‌های مدرن Data Lake مثل Amazoon S3 یا Hadoop ساخته می‌شوند و به این ترتیب امکان مقیاس‌پذیری تقریبا نامحدود Storage با هزینه‌ی کم فراهم می‌گردد در نتیجه می‌توان 100% داده‌ی گزارش‌ها در سرتاسر پلتفرم‌ها و سیستم‌های بیشتری را حفظ و تحلیل کرد.

  قوانین  و Policyها

SIEM به پرسنل امنیت اجازه‌ی ساختن پروفایل‌هایی را می‌دهد که مشخص می‌کنند سیستم‌های سازمانی در شرایط نرمال چطور رفتار کنند. SIEMها همچنین می‌توانند با وضع قوانین و حد و حدودهایی به تعریف نابهجاری‌هایی که حادثه‌ی امنیتی تلقی می‌شوند بپردازند. SIEMها از یادگیری ماشینی و پروفایل‌بندی رفتاری (Behavioral Profiling) خودکار حداکثر استفاده را می‌کنند تا نابهنجاری‌ها را به‌صورت خودکار شناسایی کرده و برای کشف رویدادهای امنیتی‌ای که نیازمند بررسی هستند، به‌صورت مستقل قوانینی بر داده‌ها تعریف کنند.

تجمیع و همبستگی داده

هدف اصلی SIEM کنار هم قرار دادن همه‌ی داده‌ها و ایجاد همبستگی میان گزارش‌ها و رویدادهای تمام سیستم‌های سازمانی است. ممکن است خطایی که روی یک سرور ظاهر می‌شود به Block شدن ارتباط روی یک فایروال و وارد کردن یک Password اشتباه در پرتال یک سازمان مربوط باشد. چندین Data Point  ترکیب می‌شوند و رویدادهای امنیتی معناداری می‌سازند و با اعلان‌ها و داشبوردها به دست تحلیلگرها می‌رسند. SIEMهای نسل بعد روز به روز در تشخیص رویداد امنیتی «واقعی» که توجه می‌طلبد، پیشرفته‌تر می‌شوند.

نرم افزار SIEM چیست

موارد استفاده SIEM چیست

اگر بخواهیم به طور کلی در رابطه با موارد استفاده از SIEM چیست ، توضیح دهیم ، می توان گفت موارد استفاده SIEM به شرح زیر می باشد :

  • مانیتورینگ امنیت
  • جرم‌شناسی و پاسخگویی‌ به حوادث
  • گزارش تطبیق‌پذیری و Auditing

مانیتورینگ امنیت :

SIEM چیست – SIEMها به مانیتورینگ Real-Time سیستم‌های سازمانی برای حوادث امنیتی کمک می‌کنند. از آنجایی که SIEM  به چندین منبع داده دسترسی دارد، دیدگاه منحصر به‌فردی نسبت به حوادث امنیتی دارد، برای مثال می‌تواند هشدار IDS را با اطلاعات یک محصول آنتی ویروس ترکیب کند. به این ترتیب تیم‌های امنیتی می‌توانند حوادث امنیتی را که هیچ ابزار امنیتی‌ای به تنهایی قادر به دیدن آن نیست، شناسایی کنند و به هشدارهای ابزارهای امنیتی که اهمیت ویژه‌ای دارند توجه نمایند.

شناسایی تهدید پیشرفته :

SIEMها می‌توانند به شناسایی، کاهش و جلوگیری از تهدیدهای پیشرفته‌ی زیر کمک کنند:

  • تهدیدها داخلی: SIEM می‌تواند از جرم‌شناسی مرورگر، داده‌ی شبکه، احراز هویت و داده‌های دیگر برای شناسایی تهدیدهای داخلی و برنامه‌ریزی و اجرای حمله استفاده کند.
  • Date Exfiltration (انتقال غیرقانونی داده‌های حساس به خارج از سازمان): SIEM می‌تواند داده‌هایی را که سایز، فرکانس و Payload غیرعادی دارند شناسایی نماید.
  • حملات خارجی، از جمله APTها: SIEM قابلیت شناسایی سیگنال‌هایی را که هشدار حمله‌ای متمرکز از سوی یک تهدید خارجی یا یک حمله دراز مدت علیه سازمان را بدهد، دارد.

جرم‌شناسی و پاسخگویی‌ به حوادث

SIEMها می‌توانند به تحلیگرها کمک کنند که متوجه وقوع یک حادثه‌ی امنیتی بشوند، رویدادها را رده‌بندی کنند و اقدامات فوری برای بهبودبخشی تعریف کنند. حتی در صورتی که پرسنل امنیتی حادثه را بشناسند، جمع‌اوری داده برای این که کاملا حمله را درک کنند و آن را متوقف نمایند، زمان می‌برد. SIEM می‌تواند به‌صورت خودکار این داده‌ها را جمع‌اوری کند و زمان پاسخگویی را به میزان چشمگیری کاهش دهد. وقتی پرسنل امنیتی متوجه یک نفوذ و حادثه‌ی امنیتی مهم می‌شوند که نیاز به بررسی دارد، SIEMها داده‌های جرم‌شناسی قابل توجهی را فراهم می‌کنند تا Kill Chain، عوامل تهدید کننده و روش‌های کاهنده‌ی خطر شناسایی شوند.

گزارش تطبیق‌پذیری و Auditing

SIEMها به سازمان‌ها کمک می‌کنند که به حسابرس‌ها و مسئولین انتظامات ثابت کنند که تدابیر امنیتی مناسبی دارند و حوادث امنیتی شناخته شده و تحت کنترل هستند. بسیاری از کابران اولیه‌ی SIEM با هدفِ جمع‌آوری داده از سرتاسر سازمان و ارائه‌ی آن در فرمت Audit-ready از آن استفاده می‌کردند. SIEMهای مدرن به‌صورت خودکار نظارت و گزارش لازم را برای رعایت استانداردهایی مثل HIPAA، PCI/DSS، SOX، FERPA و HITECH فراهم می‌کنند.



محمد شروین جعفرزاده