در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

SIEM چیست و چگونه در SOC استفاده می شود ؟

(Security information and event management systems (SIEM به عنوان بخشی از SOC و در قسمت Technology قرار می گیرد و امکان متمرکز کردن قابلیت logging برای رخ دادهای امنیتی را برای محیط های enterprise فراهم می کند و همچنین براساس log های دریافتی آنالیز و گزارش گیری را انجام میدهد. قابلیت آنالیز سیستم SIEM حملاتی را که توسط سایر روش ها شناسایی نشده است را شناسایی می کند.

برخی از محصولات رده بالای SIEM می توانند حملاتی که هنوز در مرحله شروع است و در حال شناسایی نقص های امنیتی هستند را متوقف کنند و می توانند تنظیم شوند که جلو حملاتی را که تشخیص می دهند را بگیرند.از دلایل اصلی راه اندازی سیستم SIEM مدیریت متمرکز log ها و تهیه گزارشات براساس نیاز و به صورت ساده می باشد. بسیاری از سازمان ها از سرویس SIEM خود برای بررسی های امنیتی ، تشخیص حوادث و کنترل آنها استفاده می کنند.

اما پیکربندی و مدیریت آن پیچیده است. امروزه سرویس ها و محصولات SIEM وجود دارد که نیازهای گسترده سازمان ها را برآورده می کنند.سرویس ها و محصولات SIEM دو هدف اصلی دارند : متمرکز کردن log ها و گزارشگیری برای کمک به سازمان جهت شناسایی ، آنالیز و کاهش مشکلات امنیتی.


معرفی (Security information and event management systems (SIEM به عنوان ابزاری برای پیاده سازی SOC


معماری SIEM چگونه است ؟

سرویس های و محصولات SIEM براساس معماری های مختلف مانند server ، hardware appliance ، virtual appliance و public cloud-based وجود دارند. هر یک از این معماری ها مزایا و معایب خود را دارد و هیچکدام از این معماری ها به طور عمومی نسبت به بقیه برتری ندارد. یکی دیگر از نکات مهم در رابطه با معماری SIEM ها این است که چگونه log از مبدا به SIEM ارسال می شود. که دو روش اصلی agent-based و agentless وجود دارد.

منظور از Agent-based این است که نرم افزار agent روی هر هاست که log تولید می کند نصب می شود و وظیفه استخراج ، پردازش و ارسال اطلاعات از هاست به سرور SIEM را دارد. منظور از Agentless این است که ارسال اطلاعات log ها بدون Agent انجام می گیرد و هاست به صورت مستقیم log ها را به SIEM ارسال می کند یا از طریق یک سرور logging واسط مانند syslog server اینکار را انجام می دهد. بسیاری از محصولات امکان استفاده از دو روش agent-based و agentless را فراهم کرده اند تا بتوانند log ها را از منابع مختلف جمع آوری کنند.


محیط های مناسب برای استفاده از SIEM

SIEM به خاطر قابلیت های امنیت که داشت شهرت یافت و در سازمان بزرگ مورد استفاده قرار گرفت متمرکز کردن log ها در یک مکان این امکان را برای مدیر امنیت و آنالیزوها فراهم می کرد که log ها را از طریق یک کنسول ببینند و رابطه بین حوادث اتفاق اتفاده را از روی log های دریافتی از سرتاسر شبکه مورد بررسی قرار دهند. در آن زمان SIEM تبدیل به یک جزء مهم از هسته امنیتی هر سازمان شد. با افزایش log های امنیتی نیاز به بررسی و آنالیز و گزارشگیری از این log ها نیز بیشتر شد. امروزه در سازمان های کوچک و متوسط می توان از SIEM برای کنترل های امنیتی استفاده کرد.

هزینه های SIEM

هزینه های SIEM به دو عامل اصلی برمی گردد : قابلیت ها و نحوی پیاده سازی SIEM ، منظور از قابلیت ها به امکانات SIEM مرتبط می شود برخی از SIEM ها سولوشن هایی تحت عنوان light دارند که مدیریت و گزارشگیری log ها را به صورت basic ارائه می دهند و تکنیک های پیشرفته آنالیز و دیگر قابلیت هایی که SIEM پشتیبانی می کند را شامل نمی شود. سولوشن های light به صورت قابل ملاحظه ای نبست سایر SIEM ها ارزان تر و حتی رایگان هستند.

نحوی پیاده سازی و معماری نیز در تعیین هزینه ها نقش بسزایی دارد برخی از SIEM ها نیاز به خریداری سخت افزار و نرم افزار را دارند. علاوه بر هزینه تهیه SIEM هزینه های جانبی نیز می تواند وجود داشته باشد. به طور مثال SIEM ها می توانند از threat intelligence feeds استفاده کنند و باعث می شود اطلاعات بروز تهدیدات امنیتی را در اختیار داشته باشد. استفاده از این سرویس ها نیاز به پرداخت هزینه دارد.

همینطور مباحث customization کردن SIEM برای تغییر فرمت log هایی که SIEM نمی تواند آنها درک کند می تواند هزینه هایی را به سازمان تحمیل کند. هزینه دیگری که برای SIEM می توان در نظر گرفت بحث مدیریت آن است SIEM ها نیاز دارند که به صورت مرتب تنظیم و براساس نیازهای سازمان شخصی سازی شوند.


نتیجه گیری

دو هدف اصلی SIEM متمرکز کردن log ها و گزارشگیری از آنها می باشد تا به این وسیله به شناسایی ، آنالیز و کاهش حوادث امنیتی کمک کنیم. سرویس ها و محصولات SIEM در معماری مختلف وجود دارد. امروزه استفاده از SIEM ها بدون در نظر گرفتن اندازه سازمان ارزشمند است و پیشنهاد می شود از آن استفاده شود. سازمان ها بعد اینکه تصمیم به استفاده از SIEM را گرفتن باید در نحوی پیاده سازی و هزینه های مدیریتی دقت لازم را داشته باشند.

نویسنده :جعفر قنبری شوهانی
منبع : انجمن تخصصی فناوری اطلاعات ایران
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد.

#پیاده_سازی_soc #security_operration_center_چیست #siem_چیست #متمرکز_کردن_Log_ها_در_شبکه #soc_چیست #هزینه_خرید_siem #چگونه_یک_soc_راه_اندازی_کنیم #ابزار_soc #siem_چگونه_کار_می_کند #معماری_یک_siem
عنوان
1 SIEM چیست و چگونه در SOC استفاده می شود ؟ رایگان
2 آیا ما نیاز به SIEM داریم؟ رایگان
3 در انتخاب SIEM برای سازمان چه نکاتی باید بررسی شود؟ رایگان
زمان و قیمت کل 0″ 0
3 نظر
mohamadshahbazi

سلام خسته نباشید میشه بگید چطوری استتفاده کنیم آموزش هم دارد؟؟

جعفر قنبری شوهانی

شما اول باید SIEM مورد نظرتون رو انتخاب کنید و ببنید که از چه نرم افزاری می خواین استفاده کنید مطمئنا هر نرم افزار هم منابع آموزشی خودش رو داره

ابراهیم چنگیزیان

با سلام

یک سوال اساس داشتم آیا امروزه Siem های معروق دنیا مثل IBM Qradar وsplunk و HP arcsight صرفا نمایشگر وضعیت امنیتی

و متمرکز کننده لالگ ها هستند یا با مشاهده لاگ های امنیتی حیاتی برای جلوگیری از نفوذ عکس العمل هم به صورت هوشمند انجام خواهند داد ؟ به عبارتی دیگه ایا siem امروزه از نوع پسیو هست یا اکتیو ؟

سوال دیگر اینکه ایا siem همانند NOC ساختار کلی شبکه رو به صورت گرافیکی نمایش می دهد ؟

با تشکر

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره پاییزه می تونی امروز ارزونتر از فردا خرید کنی ....