محمد نصیری
بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

تفاوت SOC و SIEM در چیست؟ به زبان بسیار ساده

خیلی اوقات پیش میاد که برخی از دوستان به من میگن تو سازمانمون SOC داریم ! بعد از کمی صحبت کردن متوجه میشیم که خیر این دوستان SOC ندارند بلکه SIEM در سازمان دارند و تصورشون از مبحثی به نام SOC صرفا ابزار آلات هست و بس ... اما امروز در توسینسو میخایم در خصوص ماهیت و تفاوت بین دو مفهوم SOC و SIEM در حوزه امنیت اطلاعات صحبت کنیم و به صورت خلاصه و البته بسیار ساده در مورد ماهیت هر کدوم و جایی که استفاده میشن صحبت کنیم پس با ما باشید .

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

SOC چیست ؟ معرفی مفهوم Security Operations Center

SOC در واقع یک سیستم هست اما نه به مفهوم سیستمی که کامپیوتری ها میشناسن ، سیستم به معنی سیستماتیکش ... یعنی مجموعه ای از اجزای مستقل که برای رسیدن به یک هدف مشترک در کنار هم جمع شده اند . بله درست متوجه شدید وقتی صحبت از مفهومی به نام Security Operations Center صحبت می کنیم که به فارسی مرکز عملیات امنیت ترجمه میشه ، در واقع ما داریم راجع به مجموعه ای از افراد ( مهندسین کامپیوتر و کارشناس های امنیت و ... ) ، مجموعه ای از فرآیند های سازمانی و ... ، مجموعه ای از تکنولوژی ها از جمله تکنولوژی های مانیتورینگ و نظارت و ... صحبت می کنیم که بصورت ویژه برای رسیدن به یک هدف مشترک یعنی تشخیص حملات یا تهدیدات شناخته شده و بعضا ناشناس در ساختار سازمانی شما طراحی شدند ، این سیستم شامل فرآیند های تحقیقاتی و پژوهش در حوزه امنیت هم میشه و صرفا یک سیستم فنی صرف نیست .

SIEM چیست؟ معرفی Security Information and Event Management

وقتی در مورد مفهومی به نام SIEM صحبت می کنیم داریم در مورد ابزار صحبت می کنیم . یعنی به زبان خیلی ساده هر SOC یک نرم افزار فوق تخصصی امنیت نیاز داره که بتونه خیلی از فرآیند های امنیتی رو براش انجام بده ، این ابزار که شامل تکنولوژی های مختلف امنیتی هست و مثل فایروال ( به زبان خیلی ساده ) یا سیستم های هوشمند امنیتی دیگه ( آنتی ویروس ها ، IDS ها و IPS ها و WAF ها و ... ) قابلیت نوشتن Rule یا قوانین مختلف و متنوع رو داره و این امکان رو به کارشناس امنیت یک سازمان میده که بتونه تهدیدات و خطراتی که سازمان رو تحت تاثیر ممکنه قرار بدند شناسایی کنن . پس تا اینجای کار واضح هست که وقتی میگیم SIEM در واقع ما داریم راجع به ابزاری که در SOC استفاده میشه که کارهای بیشتر فنی قضیه رو انجام بده صحبت می کنیم .

این SIEM هست که برای ما Log های سیستم رو جمع آوری و تحلیل می کنه ، این SIEM هست که رویدادهای سیستم ها رو به گزارش مدیر امنیت میرسونه تا بتونه تحلیلش کنه و ... برای مثال HP Arcsight یا OSSIM یا Splunk هر سه ابزار یا همون SIEM هستند . بنابراین به زبان ساده ساده ! هر موقع صحبت از ابزار شد SIEM داریم صحبت می کنیم و هر موقع صحبت از سیستم و فرآیند شد از SOC داریم صحبت می کنیم . امیدوارم مورد توجه شما قرار گرفته باشه ، اگر سوالی هست خوشحال میشم در ادامه همین مطلب عنوان کنید 


محمد نصیری
محمد نصیری

بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

محمد نصیری هستم ، هکر قانونمند و کارشناس امنیت سایبری ، سابقه همکاری با بیش از 50 سازمان دولتی ، خصوصی ، نظامی و انتظامی در قالب مشاور ، مدرس و مدیر پروژه ، مدرس دوره های تخصص شبکه ، امنیت ، هک و نفوذ ، در حال حاضر در ایران دیگه رسما فعالیتی غیر از مشاوره انجام نمیدم و مقیم کشور ترکیه هستم ، عاشق آموزش و تدریس هستم و به همین دلیل دوره های آموزشی که ضبط می کنم در دنیا بی نظیر هستند.

نظرات