جعفر قنبری شوهانی
مهندس و مدرس زیرساخت و امنیت و مدیر ارشد وب سایت توسینسو

4 دلیل که ما به SIEM و SOC نیاز داریم

سیستم های SIEM طراحی شده اند تا log های امنیتی را از دستگاه مختلف جمع آوری کنند و به صورت متمرکز نگه داری کنند. با قرار دادن تمام این اطلاعات در کنار هم ، SIEM می تواند به صورت متمرکز به آنالیز و گزارشگیری رخدادهای امنیتی سازمان بپردازد. نتیجه آنالیز می تواند منجر به شناسایی حملاتی شود که توسط سایر روش ها شناسایی نشده باشد و همینطور برخی از SIEM ها این قابلیت را دارند که جلوی حمله را بگیرند.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

محصولات SIEM سال هاست که وجود دارند اما SIEM اولیه با هدف استفاده در سازمان های بزرگ با قابلیت های امنیتی پیشرفته و نیروهای تحلیل گر ارائه شده بودند. اما در حاضر SIEM ها نیاز های سازمان های کوچک و متوسط را نیز در نظر گرفته اند. معماری های مانند سرور لوکال ، سخت افزاری ، مجازی ، کلود همه نشان دهنده این موضوع است.سازمان ها از سیستم های SIEM به دلایل مختلف استفاده می کنند درنتیجه مزایای SIEM ها در سازمان های مختلف متفاوت است. در اینجا سه مزیت عمده SIEM ها را داریم :

  • ساده سازی گزارشات و گزارشگیری
  • شناسایی حوادثی که از روش های دیگر قابل شناسایی نیستند.
  • بهبود بهره وری برای اداره حوادث
وب سایت توسینسو

1- ساده سازی گزارشات و گزارشگیری

بسیاری از سازمان ها SIEM را فقط به این خاطر راه اندازی می کنند. ساده سازی گزارشات از طریق متمرکز کردن log ها. تمام هاست ها اطلاعات log های خود را به سرور SIEM ارسال می کنند و از طریق سرور SIEM با یک گزارش می تواند تمام log های مربوط به یک رخداد امنیتی تمام هاست ها را دید. بدون داشتن SIEM باید روی تمام هاست به صورت جداگانه گزارشگیری کرد و سپس این گزارش ها را در کنار هم قرار داد و سپس به تجزیه و تحلیل آنها پرداخت یا اینکه تمام log ها را به صورت دستی به یک نقطه منتقل کنیم تا گزارش های مورد نظر را بدست آورد.

غیر از بحث آوری log ها ، فرمت آنها را نیز در نظر بگیرید که در اشکال مختلف هستند و تبدیل آنها به یک فرمت واحد برای گزارشگیری نیاز به کلی کار و تغییرات دارد. همینطور نسبت به تعداد دستگاه ها حجم کار نیز به همان اندازه بیشتر می شود. همینطور که میبینید در صورت عدم استفاده از SIEM تهیه گزارش کار بسیاری سختی و پیچیده ای خواهد بود.

2- شناسایی حوادثی که از روش های دیگر قابل شناسایی نیستند

دو دلیل اصلی وجود دارد که نشان می دهد چرا SIEM ها قادر به شناسایی حوادثی هستند که از راه های دیگر قابل تشخیص نیست. دلیل اول و ساده آن این است که بسیاری از هاست ها به صورت پیش فرض قابلیت شناسایی حوادث را ندارند. همچنین این هاست ها قابلیت دیدن رخدادها و تولید log را دارند اما قادر به تجزیه و تحلیل آنها نیستند. در بهترین حالت ، این هاست ها مانند لپ تاپ ها و PC می توانند یک هشدار دهند که اتفاقی رخ داده است.

دلیل دوم این است که با جمع آوری اطلاعات رخدادهای سراسر شبکه و در کنار هم قرار دادن آنها می توان به اطلاعات کامل تری دست پیدا کرد. برخی از حملات متشکل از چند مرحله و بخش می باشد به طور مثال بخشی از حمله توسط یک کلاینت بخشی توسط فایروال و ... گزارش شده است. SIEM با دیدن این چند رخداد متوجه می شود که حمله ای رخ داده است. درنتیجه برخی از حملات متشکل از چند رخداد می باشد.

بسیار مهم است که درک کرده باشید که SIEM قرار نیست جای یک سیستم کنترل امنیتی شبکه مانند IPS ، فایروال ، آنتی ویروس و ... را بگیرید. SIEM به تنهایی بلااستفاده است چون توانایی مانیتورینگ شبکه را برای تهدیدات امنیتی ندارد و عملکرد آن براساس اطلاعاتی است که توسط سایر تجهیزات مثل IPS ، فایروال ، آنتی ویروس و ... ارائه می دهند می باشد.

برخی از محصولات SIEM این قابلیت را دارند که جلوی حملاتی که شناسایی کرده اند را بگیرند. SIEM به صورت مستقیم این امکان را ندارد که جلوی حمله را بگیرد و در واقع از سایر دستگاه های امنیتی مانند فایروال می خواهد که اینکار را انجام دهد و به این شکل جلوی حمله گرفته می شود.برای اینکه این قابلیت را گسترش دهیم سازمان می تواند اطلاعات خود را از یک دیتابیس خارجی دریافت و بروز کند. با دریافت اطلاعات جدید می تواند حملات جدید را شناسایی کند.

3- بهبود بهره وری برای اداره حوادث

یکی دیگر از مزایای محصولات SIEM بهبود بهره وری برای اداره حوادث است که باعث می شود در زمان کوتاه تر و با منابع کمتر حوادث را اداره کنیم. کوتاه تر شدن زمان برای مهار و اداره کردن حوادث باعث می شود که آسیب کمتری به سازمان وارد شود. SIEM با ارائه یک خروجی برای دیدن log های امنیتی از هاست های مختلف باعث افزایش بهره وری می شود.مثال هایی از نحوی تسریع اداره حوادث :

  • باعث می شود که در شبکه های بزرگ سریع تر حمله شناسایی شود.
  • می توانید سریع تمام هاست هایی که توسط یک حمله مشخص آلوده شده اند را شناسایی کنید.
  • می توانید مکانیزم خودکار برای جلوگیری از حملات شناسایی شده تعریف کنید.

4- مزایای محصولات SIEM ضرورت استفاده از آنها را مشخص می کند

مزایای محصولات SIEM سازمان را قادر می سازد یک تصویر بزرگ از رخدادهای امنیتی شبکه داشته باشد. با کنارهم قرار دادن اطلاعات log های امنیتی از تجهیزات امنیتی ، هاست ها ، سرورها ، نرم افزارها و ... SIEM می تواند حجم وسیعی از اطلاعات log های امنیتی را آنالیز کند و حملات را شناسایی کند. همچنین SIEM ها می توانند فعالیت های مخرب را شناسایی کنند که سایر تجهیزات قادر به اینکار نیستند چون SIEM تنها ابزار امنیتی است که یک دید جامع نسبت به شبکه دارد.

SIEM ها با اهداف مختلف مورد استفاده قرار می گیرند که یکی از مهمترین آنها ساده سازی گزارشات و گزارشگیری با متمرکز کردن log می باشد و همچنین SIEM می توانند حملاتی را شناسایی کنند که سایر روش ها قادر به شناسایی آن نیستند. همچنین قادر است به صورت خودکار جلوی حملات را بگیرد و همچنین بهره وری را افزایش می دهد که باعث می شود اداره حوادث را بتوانیم سریع تر انجام دهیم و از منابع کمتری استفاده کنیم.امروزه SIEM در معماری های مختلف و با قابلیت های گوناگون برای سازمان ها با اندازه مختلف در دسترس هستند و استفاده از آن برای سازمان ها به امری ضروری تبدیل شده است.


جعفر قنبری شوهانی
جعفر قنبری شوهانی

مهندس و مدرس زیرساخت و امنیت و مدیر ارشد وب سایت توسینسو

جعفر قنبری شوهانی ، مهندس و مدرس شبکه ، آشنایی من با شبکه برمی گرده به سال 1382 که دوره NT و Novel رو گذروندم و الان بیشتر از 10 ساله سابقه اجرایی در سطح Enterprise (بانک ها ، موسسه مالی ، ادارات دولتی ، سرویس پروایدر) را دارم و در حال حاضر به عنوان مهندس شبکه در شرکت توزیع برق مشهد و به عنوان مدیر ارشد و مدرس شبکه در سایت ToSinSo مشغول به کار هستم. در اکثرا حوزه های شبکه کار کردم و تجربه دارم اما تخصص اصلیم رو در حوزه زیرساخت و امنیت اون میدونم

نظرات