SIEM۱۳۹۸-۳-۲۵ ۱۱:۱۰:۱۳ +۰۰:۰۰

در سازمان‌هایی که از بستر فناوری اطلاعات استفاده می‌کنند، روزانه حجم عظیمی از رخدادنماها و هشدارها توسط تجهیزات و حسگرهای مختلف شبکه‌ای و امنیتی تولید می‌شود که بررسی دقیق، ارزیابی و اهمیت‌دهی به موارد مهم، به صورت انسانی کاری بسیار پرزحمت، پرهزینه و همراه با اشتباه و چه بسا غیرممکن خواهد بود. در یک شبکه سازمانی با اندازه متوسط روزانه بیش از چند میلیون رخدادنما تولید می‌شود که تا اندازه‌ای می‌تواند مشخص کننده مشکلات پردازش انسانی رخدادنماها باشد. همچنین تنوع رخدادنماها و قالب‌ها و زبان‌های مختلف به کار گرفته شده در آن‌ها برای بیان یک اتفاق یکسان، مشکلات پردازش انسانی رخدادنماها را آشکارتر می‌سازد. به منظور حل این مشکل، راه‌کارهای مختلفی ارائه شده است. این راه‌کارها با نام‌هایی همچون مدیریت رخدادنما (Log Management)، مدیریت رویدادها و اطلاعات امنیتی (SIEM: Security Information & Event Management) و مرکز عملیات امنیت (SOC: Security Operations Center) ارائه می‌شوند.
مرکز عملیات امنیت، به عنوان کامل‌ترین راه‌کار برای موضوع یاد شده، ارائه شده است. همان طور که از نام آن مشخص است به صورت یک مرکز راه‌اندازی شده و بنابراین از سه جزء تکنولوژی، تیم‌های انسانی و فرآیندها تشکیل شده است. این مرکز با پایش ۲۴ × ۳۶۵ شبکه سازمان، نمایی بلادرنگ از وضعیت امنیتی شبکه و رخدادهای جاری فراهم می‌کند و در صورت بروز حادثه، در سریع‌ترین زمان ممکن حادثه را تشخیص داده و سازمان را در رفع حادثه یاری نماید.
مرکز عملیات امنیت، با بهره‌گیری از تکنولوژی‌های مختلف، در سریع‌ترین زمان ممکن، تغییرات وضعیت امنیتی سازمان را مورد ارزیابی قرار داده و حوادث مهم را مشخص می‌کند. انجام این کار با استفاده از تکنولوژی‌های به کار رفته و نیروهای متخصص که آموزش داده می‌شوند، باعث کاهش هزینه‌های بسیاری خواهد شد که در زیر به برخی از آن‌ها اشاره شده است:
کاهش هزینه‌ زمانی لازم برای جمع‌آوری رخدادنماها و هشدارها در مواقع ضروری
کاهش هزینه نگهداری رخدادنماها و هشدارها، با استفاده از مکانیزم‌های فشرده‌سازی، حذف تکرار و پالایش رخدادنماهای غیر مفید
کاهش هزینه‌ انسانی پردازش رخدادنماها و هشدارهای اولیه با دسته‌بندی و سابقه‌گیری خودکار از حوادث
کاهش هزینه‌های وارسی و ارزیابی رویدادها و حوادث سابقه‌دار و شناخته شده با استفاده از مکانیزم‌های یادگیری
کاهش هزینه‌های تحلیل و کشف ارتباط بین حوادث و رویدادهای مختلف
کاهش هزینه‌های انسانی رسیدگی به حادثه، با استفاده از تیم متخصص آموزش دیده و اجتناب از انجام اعمال اضافی و دوری از روش‌های آزمون و خطا در شناسایی علل وقوع حوادث
کاهش هزینه‌‍‌های ناشی از تداوم خسارت منتج از حوادث مخرب با جلوگیری از اتلاف زمان و پیشروی حادثه
کاهش هزینه‌های ناشی از قطع سرویس با فراهم نمودن پیوستگی ارائه‌ خدمات
کاهش هزینه‌های هماهنگی مکانیزم‌های تشخیص حوادث با تغییرات سیستم اطلاعاتی سازمان
مرکز عملیات امنیت، با ارائه‌ خدمات ویژه به تشخیص حوادث مهم امنیتی از میان حجم عظیم گزارش‌ها، هشدارها و رخدادنماها می‌پردازد و به آنها رسیدگی می‌کند. شرکت فنی مهندسی نواوران افراتک هوشمند مفتخر به راه‌اندازی مرکز عملیات امنیت، به عنوان ابزاری جهت تشخیص، تحلیل و رسیدگی به حوادث در این مرکز مورد استفاده قرار می‌گیرد.
مرکز عملیات امنیت علاوه بر قابلیت‌های یک SIEM مرسوم، امکانات لازم جهت رسیدگی به حوادث امنیتی و همچنین ابزارهای لازم جهت به‌روزرسانی دانش متناسب با شرایط سازمان را نیز فراهم می‌نماید. با راه‌اندازی مرکز عملیات امنیت، خدمات زیر به سازمان موردنظر ارائه می‌شود:

جمع‌آوری رخدادنماها و هشدارها از کاربردها، تجهیزات مختلف شبکه‌ای و حسگرهای امنیتی

یکنواخت نمودن قالب تمامی گزارش‌ها، رخدادنماها و هشدارها و نرمال‌سازی معنایی

نگهداری بلند مدت هشدارها و رخدادنماها با قابلیت بازیابی بلادرنگ آنها

پالایش هشدارها، رخدادنماها و گزارش‌های بی‌مصرف

تشخیص هشدارها و گزارش‌های غیر مفید و ناصحیح با قابلیت هماهنگی با محیط عملیاتی

تحلیل و همبسته‌سازی بلادرنگ رویدادهای مربوط به حملات مختلف

کشف علت ریشه‌ وقوع حوادث جهت برخورد اصولی با آنها

تطبیق رویدادها با سیاست‌های امنیتی سازمان

تطبیق حوادث با آسیب‌پذیری‌های سازمان

تشخیص و اولویت‌بندی حوادث امنیتی از میان حملات اینترنتی و رویدادهای شبکه‌ای

ارائه‌ داشبورد پایش بلادرنگ حوادث و رویدادهای امنیتی

تعیین و پیگیری گردش کار رسیدگی به حادثه از طریق سیستم

تولید گزارش‌های آماری مختلف از رویدادها و حوادث جهت آگاهی از وضعیت امنیتی

کاوش الگوهای رویدادها و حملات جدید با استفاده از ابزارهای خودکار

به‌روزرسانی قوانین و روال‌های تشخیص، تحلیل و رسیدگی به حادثه به طور پیوسته

تحلیل و پایش ۲۴ ساعته رویدادها و حوادث امنیتی

امکانات لازم برای استفاده از دانش نیروهای متخصص در راهبری و عملکرد سیستم با آگاهی از شرایط سازمان

تشخیص زودهنگام حوادث امنیتی با تحلیل رفتاری شبکه

ارائه‌ راهبرد رسیدگی به حادثه

تشخیص تغییرات وضعیت امنیتی سازمان

پیگیری روال تشخیص، تحلیل و رسیدگی به حادثه

تخصیص صحیح منابع انسانی در رسیدگی به حوادث بر اساس میزان اهمیت حوادث و حساسیت دارایی‌های سازمان