تعریف مدیریت رویداد و اطلاعات امنیت (SIEM)

مدیریت رویداد و اطلاعات امنیتی  (SIEM) ، رویکردی برای مدیریت امنیت است که عملکردهای مدیریت اطلاعات امنیتی (SIM) و مدیریت رویدادهای امنیتی (SEM) را در یک سیستم جامع مدیریتی به نام “SIEM ” که ترکیبی از هر دو نام است ارائه می دهد.

اصول اساسی هر سیستم SIEM جمع آوری داده های مرتبط از منابع متعدد، شناسایی انحرافات از هنجارها و انجام اقدامات لازم می باشد. به عنوان مثال، هنگامی که یک مشکل بالقوه شناسایی می شود، یک سیستم SIEM ممکن است اطلاعات اضافی را ثبت کند، یک هشدار ایجاد کند و به سایر کنترل های امنیتی دستور دهد تا پیشرفت یک فعالیت را متوقف کنند.

در ابتدایی ترین سطح، یک سیستم SIEM می تواند مبتنی بر قوانین باشد و یا با استفاده از داده های آماری برای ایجاد روابط بین ورودی های یک رویداد گزارش رویداد بدهد. سیستم های پیشرفته SIEM تکامل یافته اند تا شامل تجزیه و تحلیل رفتار کاربر  (UEBA) و هماهنگی امنیتی، اتوماسیون و پاسخ (SOAR) شوند.

در ابتدا اتخاذ “استاندارد امنیت اطلاعات صنعت کارت پرداخت (PCI DSS) ” ، در شرکت های بزرگ باعث پذیرش SIEM  شد، اما نگرانی ها در مورد تهدیدات دائمی پیشرفته (APTs) سازمان های کوچکتر را بر آن داشت تا به مزایای ارائه دهندگان خدمات امنیتی مدیریت شده SIEM توجه کنند. امکان مشاهده تمام داده های مرتبط با امنیت از یک دیدگاه واحد، تشخیص الگوهای غیرعادی را برای سازمان ها در هر اندازه و مقیاسی که باشند را آسان تر می کند.

سیستم‌های SIEM با استقرار چندین عامل جمع‌آوری به شیوه‌ای سلسله مراتبی برای جمع‌آوری رویدادهای مرتبط با امنیت از دستگاه‌های کاربر نهایی ، سرورها و تجهیزات شبکه و همچنین تجهیزات امنیتی تخصصی مانند فایروال‌ها، آنتی‌ویروس‌ها و یا سیستم‌های پیشگیری از نفوذ (IPS) کار می‌کنند. گردآورنده ها رویدادها را به یک کنسول متمرکز مدیریت ارسال می کنند، جایی که تحلیلگران امنیتی نویز را غربال و نقاط را به هم متصل و حوادث امنیتی را اولویت بندی می کنند.

در برخی از سیستم ها، ممکن است در جمع کننده های لبه پیش پردازش اتفاق بیفتد و فقط رویدادهای خاصی به مدیریت مرکزی منتقل شوند. در این صورت حجم اطلاعات در حال انتقال و ذخیره سازی کاسته می شود. اگرچه پیشرفت‌ها در علم یادگیری ماشین به سیستم‌ها کمک می‌کند تا ناهنجاری‌ها را با دقت بیشتری مشخص کنند، تحلیلگران همچنان باید نظارت کنند و بازخورد ارائه دهند .

برخی از مهم ترین ویژگی هایی که باید هنگام ارزیابی محصولات SIEM بررسی شوند:

ادغام با سایر کنترل ها : آیا سیستم می تواند دستوراتی را به سایر کنترل های امنیتی سازمانی برای جلوگیری یا توقف حملات در حال انجام بدهد؟

هوش مصنوعی (AI) : آیا سیستم می تواند دقت خود را از طریق یادگیری ماشینی و یادگیری عمیق بهبود بخشد؟
استفاده از اطلاعات تهدید : آیا این سیستم فیدهای اطلاعاتی تهدید را پشتیبانی کند یا اینکه موظف است از یک خوراک خاص استفاده کند؟
گزارش انطباق گسترده : آیا این سیستم شامل گزارش‌های داخلی برای نیازهای متداول انطباق است و به سازمان امکان سفارشی‌سازی یا ایجاد گزارش‌های انطباق جدید را می‌دهد؟
قابلیت های جرم شناسی : آیا سیستم قابلیت می تواند با ثبت اطلاعات بیشتر در مورد رویدادهای امنیتی ، جرم یابی کند

چرا SIEM مهم است؟

SIEM مهم است زیرا مدیریت امنیت را برای شرکت ها با فیلتر کردن مقادیر انبوه داده های امنیتی و اولویت بندی هشدارهای امنیتی که نرم افزار تولید می کند آسان تر می کند.

نرم‌افزار SIEM سازمان‌ها را قادر به شناسایی حوادثی می کند که در غیر این صورت ممکن است شناسایی نشوند. این نرم افزار لاگ های ورودی را تجزیه و تحلیل می کند تا هر گونه نشانه ای از فعالیت های مخرب را شناسایی کند. علاوه بر این، از آنجایی که سیستم رویدادها را از منابع مختلف در سراسر شبکه جمع‌آوری می‌کند، می‌تواند جدول زمانی یک حمله سایبری را بازسازی کند و شرکت را قادر می‌سازد تا ماهیت تهدیدات و تأثیر آنها بر تجارت خود را ارزیابی نمایند.

یک سیستم SIEM همچنین می‌تواند با تولید خودکار گزارش‌هایی که شامل تمام رویدادهای امنیتی ثبت‌شده از منابع موجود ، به سازمان کمک کند تا الزامات انطباق را برآورده کند. بدون نرم افزار SIEM، شرکت باید داده های گزارش و گزارش ها را به صورت دستی جمع آوری و تهیه و تحلیل کند.

یک سیستم SIEM همچنین مدیریت وقایع را با تواناسازیی تیم امنیتی شرکت برای کشف مسیری که یک حمله در سراسر شبکه طی می‌کند، شناسایی منابعی که به خطر افتاده‌اند و ابزارهای خودکار برای جلوگیری از حملات در حال انجام ، بهبود می‌بخشد.