جعفر قنبری شوهانی
مهندس و مدرس زیرساخت و امنیت و مدیر ارشد وب سایت توسینسو

7 نکته در انتخاب SIEM برای سازمان ها که باید بدانید

محصولات SIEM جمع آوری ، آنالیز و گزارشگیری اطلاعات log های تجهیزات امنیتی ، هاست ها ، سرور ها ، نرم افزارها و ... را انجام می دهند. همچنین برخی از SIEM ها امکان متوقف کردن حملات شناسایی شده را دارند که به صورت چشم گیری باعث کاهش صدمات و مصرف منابع می شود. امروزه محصولات SIEM زیادی در بازار وجود دارد که شامل محصولات light نیز می باشد که برای سازمان هایی طراحی شده اند که از عهده هزینه SIEM ها برنمی آیند یا نیاز به تمام قابلیت های SIEM ندارند. ارزیابی این محصولات و انتخاب بهترین برای سازمان یک چالش محسوب می شود. بخشی از ارزیابی به تهیه لیستی از معیار مهم سازمان بر می گردد.در اینجا چندین معیار را در قالب سوال قرار داده ایم که می توان در ارزیابی SIEM از آنها استفاده کرد. چون محصولات light قابلیت های زیادی ندارند و ارزیابی آنها ساده تر است در نتیجه در این بحث به آنها پرداخته نمی شود.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

1- چه میزان پشتیبانی در رابطه با log ها انجام می شود؟

اگر SIEM نتواند اطلاعات log ها را از همه تجهیزات شبکه دریافت و آنالیز کند ارزش آن پایین می آید. بارزترین تجهیزات امنیتی سازمان ها را فایروال ها ، IPS ها ، email and Web security و antimalwareتشکیل می دهند. انتظار می رود که SIEM بتواند اطلاعات log های این تجهیزات را متوجه شود. همچنین SIEM باید بتواند اطلاعات log های سیستم عامل های مورد استفاده سازمان را متوجه شود. یک استثنا سیستم عامل های موبایل می باشد که هیچ گونه قابلیت log برداری امنیتی ندارد. امکان دسترسی به دیتابیس نرم افزار و اطلاعات حساس معیار دیگری می باشد. پشتیبانی و تعامل با سایر نرم افزار های مورد استفاده سازمان یک امتیاز محسوب می شود. اگر SIEM از برخی log ها پشتیبانی نکند باید بتوان برای آن کدنویسی لازم را انجام داد.

2- SIEM می تواند به عنوان مکمل قابلیت logging عمل کند؟

برخی از نرم افزار ها و برنامه ها که در سازمان مورد استفاده قرار می گیرند ممکن است قدرت مناسبی در تولید log نداشته باشند. برخی از SIEM ها می تواند به عنوان مکمل این نقص را برطرف کنند. در واقع در این حالت SIEM ها در تولید log شرکت می کنند و تنها به جمع آوری ، آنالیز و گزارشگیری log ها نمی پردازد.

3- آیا SIEM به صورت موثر از threat intelligence استفاده می کند؟

بسیاری از SIEM ها می توانند از threat intelligence feeds بهره ببرند. که به این وسیله اطلاعات مربوط به فعالیت های مخرب و تهدیدات را که از سرتاسر دنیا جمع آوری می شود را می تواند دریافت کند که شامل نحوی حملات ، شرایط حمله ، مقاصد حمله و ... می باشد در کل مشخصات حملات مشخص شده است. استفاده از این روش باعث می شود که شناسایی حملات به درستی انجام گیرد و بتوان تصمیمات درستی در رابطه با نحوی جلوگیری از آن گرفت. البته کیفیت اطلاعات ارائه شده در برندهای مختلف متفاوت است. درنتیجه نحوی دریافت update ها ، زمان انتشار و ... مهم است.

4- SIEM چه قابلیتهایی برای کمک به بهبود آنالیز دیتا می کند؟

محصولات SIEM برای شناسایی حوادث و کنترل آنها استفاده می شوند و باید قابلیت هایی ارائه کنند تا به آنالیز و بررسی اطلاعات log ها کمک کنند. هرچقدر هم SIEM دقیق باشد باز هم ممکن است اشتباه کند در نتیجه باید راهی برای بررسی نتایج بدست آمده از SIEM وجود داشته باشد. همچنین افرادی که وظیفه بررسی حوادث را دارند باید به یک اینترفیس مفید برای اینکه بتوانند راحت تر بررسی خود را انجام دهند دسترسی داشته باشند. به طور مثال اینترفیس برای جستجوهای پیچیده ارائه کند.

5- پاسخگویی SIEM به لحاظ زمانی ، امنیت و موثر بودن چگونه است؟

قابلیت خودکار سازی برای سازمان ها مورد نیاز است و باید SIEM بتواند با تجهیزات امنیتی مانند فایروال ارتباط برقرار کند و از آنها بخواهد که جلوی یک ارتباط را بگیرند. همچنین عوامل زیر در این بحث تاثیرگذار هستند:

  • چقدر طول می کشد تا SIEM یک حمله را شناسایی کند و از یک دستگاه امنیتی بخواهد جلوی حمله را بگیرد.
  • امنیت ارتباط بین SIEM و دستگاه امنیتی به چه صورت است.
  • جلوگیری از حمله توسط SIEM چقدر اثربخش است و قبل از ایجاد خسارت می تواند جلوی آنرا بگیرد.

6- کدام SIEM طرح های تطابق امنیت برای گزارشگیری دارند؟

بسیاری از SIEM ها قابلیت شخصی سازی گزارشات را دارند. برخی از این محصولات همچنین به صورت پیش فرض دارای طرح های تطابق امنیتی برای تهیه گزارش هستند. هر سازمان باید تشخیص دهد که چه طرح هایی در آن قابل پیاده سازی است و مطمئن شود که SIEM در حد امکان از آن پشتیبانی می کند و در صورت نداشتن آن طرح قابلیت شخصی سازی براساس آن وجود داشته باشد.

وب سایت توسینسو

7- ارزیابی خود را انجام دهید

SIEM ها تکنولوژی پیچیده ای هستند که نیازمند یکپارچگی با تجهیزات امنیتی و هاست های شبکه سازمان را دارد. برای اینکه ارزیابی کنید کدام SIEM بهترین گزینه برای سازمان شما است مشخص کردن معیارهای ارزیابی بسیار مفید است. یک محصول SIEM برای تمام سازمان ها بهترین انتخاب نیست و هر سازمان شرایط ، ویژگی ها و نیازهای امنیتی خاص خود را دارد. حتی با درنظر گرفتن اهداف اصلی SIEM ها باز هم انتخاب به شرایط سازمان باز می گردد.

بنابراین هر سازمان باید قبل از خرید محصول بررسی و ارزیابی را انجام دهد. در این قسمت به برخی از معیارهای مهم که در ارزیابی مورد استفاده قرار می گیرد پرداختم اما به این معنی نیست که سایر معیارها برای ارزیابی مورد نیاز نیست. به تمام معیارها از ابتدا راه اندازی ، شخصی سازی ، گسترش و تا انتهای پیاده سازی و استفاده و کاربری باید توجه کرد. در این صورت است که می توانید بهترین انتخاب را داشته باشید.


جعفر قنبری شوهانی
جعفر قنبری شوهانی

مهندس و مدرس زیرساخت و امنیت و مدیر ارشد وب سایت توسینسو

جعفر قنبری شوهانی ، مهندس و مدرس شبکه ، آشنایی من با شبکه برمی گرده به سال 1382 که دوره NT و Novel رو گذروندم و الان بیشتر از 10 ساله سابقه اجرایی در سطح Enterprise (بانک ها ، موسسه مالی ، ادارات دولتی ، سرویس پروایدر) را دارم و در حال حاضر به عنوان مهندس شبکه در شرکت توزیع برق مشهد و به عنوان مدیر ارشد و مدرس شبکه در سایت ToSinSo مشغول به کار هستم. در اکثرا حوزه های شبکه کار کردم و تجربه دارم اما تخصص اصلیم رو در حوزه زیرساخت و امنیت اون میدونم

نظرات