جعفر قنبری شوهانی
مهندس و مدرس زیرساخت و امنیت و مدیر ارشد وب سایت توسینسو

SIEM چیست و چگونه در SOC استفاده می شود؟

(Security information and event management systems (SIEM به عنوان بخشی از SOC و در قسمت Technology قرار می گیرد و امکان متمرکز کردن قابلیت logging برای رخ دادهای امنیتی را برای محیط های enterprise فراهم می کند و همچنین براساس log های دریافتی آنالیز و گزارش گیری را انجام میدهد. قابلیت آنالیز سیستم SIEM حملاتی را که توسط سایر روش ها شناسایی نشده است را شناسایی می کند.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

برخی از محصولات رده بالای SIEM می توانند حملاتی که هنوز در مرحله شروع است و در حال شناسایی نقص های امنیتی هستند را متوقف کنند و می توانند تنظیم شوند که جلو حملاتی را که تشخیص می دهند را بگیرند.از دلایل اصلی راه اندازی سیستم SIEM مدیریت متمرکز log ها و تهیه گزارشات براساس نیاز و به صورت ساده می باشد. بسیاری از سازمان ها از سرویس SIEM خود برای بررسی های امنیتی ، تشخیص حوادث و کنترل آنها استفاده می کنند.اما پیکربندی و مدیریت آن پیچیده است. امروزه سرویس ها و محصولات SIEM وجود دارد که نیازهای گسترده سازمان ها را برآورده می کنند.سرویس ها و محصولات SIEM دو هدف اصلی دارند : متمرکز کردن log ها و گزارشگیری برای کمک به سازمان جهت شناسایی ، آنالیز و کاهش مشکلات امنیتی.


معرفی (Security information and event management systems (SIEM به عنوان ابزاری برای پیاده سازی SOC

معماری SIEM چگونه است ؟

سرویس های و محصولات SIEM براساس معماری های مختلف مانند server ، hardware appliance ، virtual appliance و public cloud-based وجود دارند. هر یک از این معماری ها مزایا و معایب خود را دارد و هیچکدام از این معماری ها به طور عمومی نسبت به بقیه برتری ندارد. یکی دیگر از نکات مهم در رابطه با معماری SIEM ها این است که چگونه log از مبدا به SIEM ارسال می شود. که دو روش اصلی agent-based و agentless وجود دارد.

منظور از Agent-based این است که نرم افزار agent روی هر هاست که log تولید می کند نصب می شود و وظیفه استخراج ، پردازش و ارسال اطلاعات از هاست به سرور SIEM را دارد. منظور از Agentless این است که ارسال اطلاعات log ها بدون Agent انجام می گیرد و هاست به صورت مستقیم log ها را به SIEM ارسال می کند یا از طریق یک سرور logging واسط مانند syslog server اینکار را انجام می دهد. بسیاری از محصولات امکان استفاده از دو روش agent-based و agentless را فراهم کرده اند تا بتوانند log ها را از منابع مختلف جمع آوری کنند.

محیط های مناسب برای استفاده از SIEM

SIEM به خاطر قابلیت های امنیت که داشت شهرت یافت و در سازمان بزرگ مورد استفاده قرار گرفت متمرکز کردن log ها در یک مکان این امکان را برای مدیر امنیت و آنالیزوها فراهم می کرد که log ها را از طریق یک کنسول ببینند و رابطه بین حوادث اتفاق اتفاده را از روی log های دریافتی از سرتاسر شبکه مورد بررسی قرار دهند. در آن زمان SIEM تبدیل به یک جزء مهم از هسته امنیتی هر سازمان شد. با افزایش log های امنیتی نیاز به بررسی و آنالیز و گزارشگیری از این log ها نیز بیشتر شد. امروزه در سازمان های کوچک و متوسط می توان از SIEM برای کنترل های امنیتی استفاده کرد.

هزینه های SIEM

هزینه های SIEM به دو عامل اصلی برمی گردد : قابلیت ها و نحوی پیاده سازی SIEM ، منظور از قابلیت ها به امکانات SIEM مرتبط می شود برخی از SIEM ها سولوشن هایی تحت عنوان light دارند که مدیریت و گزارشگیری log ها را به صورت basic ارائه می دهند و تکنیک های پیشرفته آنالیز و دیگر قابلیت هایی که SIEM پشتیبانی می کند را شامل نمی شود. سولوشن های light به صورت قابل ملاحظه ای نبست سایر SIEM ها ارزان تر و حتی رایگان هستند.

نحوی پیاده سازی و معماری نیز در تعیین هزینه ها نقش بسزایی دارد برخی از SIEM ها نیاز به خریداری سخت افزار و نرم افزار را دارند. علاوه بر هزینه تهیه SIEM هزینه های جانبی نیز می تواند وجود داشته باشد. به طور مثال SIEM ها می توانند از threat intelligence feeds استفاده کنند و باعث می شود اطلاعات بروز تهدیدات امنیتی را در اختیار داشته باشد. استفاده از این سرویس ها نیاز به پرداخت هزینه دارد.

همینطور مباحث customization کردن SIEM برای تغییر فرمت log هایی که SIEM نمی تواند آنها درک کند می تواند هزینه هایی را به سازمان تحمیل کند. هزینه دیگری که برای SIEM می توان در نظر گرفت بحث مدیریت آن است SIEM ها نیاز دارند که به صورت مرتب تنظیم و براساس نیازهای سازمان شخصی سازی شوند.

نتیجه گیری

دو هدف اصلی SIEM متمرکز کردن log ها و گزارشگیری از آنها می باشد تا به این وسیله به شناسایی ، آنالیز و کاهش حوادث امنیتی کمک کنیم. سرویس ها و محصولات SIEM در معماری مختلف وجود دارد. امروزه استفاده از SIEM ها بدون در نظر گرفتن اندازه سازمان ارزشمند است و پیشنهاد می شود از آن استفاده شود. سازمان ها بعد اینکه تصمیم به استفاده از SIEM را گرفتن باید در نحوی پیاده سازی و هزینه های مدیریتی دقت لازم را داشته باشند.


جعفر قنبری شوهانی
جعفر قنبری شوهانی

مهندس و مدرس زیرساخت و امنیت و مدیر ارشد وب سایت توسینسو

جعفر قنبری شوهانی ، مهندس و مدرس شبکه ، آشنایی من با شبکه برمی گرده به سال 1382 که دوره NT و Novel رو گذروندم و الان بیشتر از 10 ساله سابقه اجرایی در سطح Enterprise (بانک ها ، موسسه مالی ، ادارات دولتی ، سرویس پروایدر) را دارم و در حال حاضر به عنوان مهندس شبکه در شرکت توزیع برق مشهد و به عنوان مدیر ارشد و مدرس شبکه در سایت ToSinSo مشغول به کار هستم. در اکثرا حوزه های شبکه کار کردم و تجربه دارم اما تخصص اصلیم رو در حوزه زیرساخت و امنیت اون میدونم

نظرات