معرفی اجزای مختلف SIEM در SOC

یکی از مهم ترین اجزا و یا پایه و اساس پیاده سازی یک SIEM موفق، مدیریت وقایع آن می باشد. شاید این تصور وجود داشته باشد که این موضوع ساده است، ولی باید این اطمینان را داد که اینطور نیست و در واقع این Log management است که مجرای اصلی شبکه برای بدست اوردن view کلی از شبکه می باشد. اگر اینکار به درستی انجام نشود و نقصی در آن وجود داشته باشد، منجر به عدم دستیابی به اطلاعات log های سازمان و نمای کلی از شبکه می شود. چند گام برای رسیدن به یک برنامه درست و دقیق مدیریت وقایع وجود دارد که شامل موارد ذیل می باشد:

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

تعریف دارایی های موجود در محدوده تحت پوشش

زیرساخت های فناوری موضوع اصلی ای می باشد که باید در محدوده تحت پوشش تعریف و شناسایی شود. راه واقع بینانه و عملی برای اینکار، شروع از برجسته ترین دارایی ها (مانند سرور های برنامه های کاربردی، پایگاه داده ها و ...) و سپس نقاط ورودی و خروجی شبکه (Network Deviceها) می باشد. این مسیر شما را به تهیه لیستی از دارایی های سازمان خود هدایت می کند.

تعریف و پیاده سازی خط مشی سازمان

هائز اهمیت می باشد که سطوح دسترسی دارایی های شناسایی شده، در سطح گستره ی سازمان تعریف شود. به طور معمول این سیاست ها به صورتی که قابلیت اعمال و نیز پیاده سازی داشته باشند، تعریف می شوند. این امر بمنظور ایجاد تعادل بین سطوح دسترسی و عملکرد سیستم و همچنین عملکرد ذخیره سازی امن و مناسب صورت می پذیرد. همواره جهت فراهم اوردن شرایط امن بمنظور حفظ بهره وری سازمان، ممانعت از بروز ضربه به سودآوری و کسب و کار سازمان و نیز تضمین در دسترس بودن دارایی ها، ممارست های فراوان به خرج داده می شود.

متمرکز یا غیر متمرکز بودن مخزن وقایع

تهیه یک معماری مناسب و کارا جهت ذخیره log ها، نیازمند پیش بینی سیر تکاملی سازمان در بازه های زمانی متفاوت می باشد. لزوم تهیه یک مخزن مرکزی دریافت وقایع (Centralized Repository)، ممکن است برای بسیاری از سازمان ها احساس شود، ولی تهیه یک مخزن غیرمتمرکز (De- Centralized Repository) تنها برای برخی از سازمانها با شرایط متفاوت لازم است. انتخاب هریک از این گزینه ها، به سایر بلاک های تشکیل دهنده متدولوژی پیاده سازی شده در سامانه مدیریت اطلاعات و رخدادهای امنیتی ، بستگی خواهد داشت.

هنگامیکه مدیریت وقایع دارای ساختار قوی و دارای پشتیبان مناسب باشد، همبستگی سنجی درست و معنادار خواهد بود. همانطور که میدانیم SIEM نظارت و همبستگی سنجی بر روی اطلاعات جمع آوری شده توسط مدیریت وقایع را انجام می دهد. همبستگی سنجی یک بخش حیاتی در SIEM می باشد. قبل از انتخاب SIEM، مطمئن شوید که درک کافی و همینطور فهرستی از مسیر حملات مختلف و سناریوهای متفاوت تهدید که حائز اهمیت بوده و شما بایستی در ارتباطات سازمان به آنها توجه کنید، داشته باشید. این موضوع مسیر درستی برای تهیه و تدوین قوانین پایه ای که شما باید در ابتدای کار آنها را درنظر بگیرید، در اختیار شما قرار می دهد.براساس تجارب مفید کارشناسان SIEM، برای شروع به ساخت قوانین ، ابتدا نیاز به داشتن درک صحیح از قوانین موردنیاز، بررسی آنها، سپس تنظیم جزئیات مربوط به هر یک از آنها خواهید داشت؛ و در نهایت پس از تهیه آنها، شروع به راه اندازی و بهره برداری نمایید.

سناریوی تشخیص تهدید

این سناریوی کاربردی وقتی ساخته و اجرایی می شود که تمامی وقایع در SIEM جمع آوری شده باشند. در این حالت که "قانون محور" (Rule Base) نامیده می شود، تهدیداتی که مستقیما از سوی دارایی های زیرساخت شبکه وارد می شوند را شناسایی نموده و سپس همبستگی سنجی براساس مجموعه داده های داخلی انجام می شود. برای مثال هشدارهای تشخیص نفوذ با لاگ های Web server، هشدارهای بدافزارها با لاگ های دیواره آتش و همچنین هشدارهای SPAM با لاگ های end userها، همبستگی سنجی می شود.

سناریوهای پیشرفته

در مرحله ی بعد، از سناریوی دیگری با استفاده از اطلاعات تهدیدات هوشمند و قابلیت آنالیز در تشخیص تهدیدات امنیتی و حوادث استفاده می شود. ک این سناریوها در دسته بندی سطح بالای SIEMها قرار دارند و بطور بالقوه در محدوده ی "تحقیق برای شناسایی " قرار میگیرد؛ جاییکه نیاز به ایجاد و بکارگرفتن تکنیک های نوین تشخیص تهدیدات در SIEM می باشد.در این حالت همبستگی سنجی بین اطلاعات داخلی و خارجی همراه با یادگیری ماشین (Machine Learning) و trend intelligence و... صورت می پذیرد.


نظرات