تعریف مدیریت رویداد و اطلاعات امنیت (SIEM)
مدیریت رویداد و اطلاعات امنیتی (SIEM) ، رویکردی برای مدیریت امنیت است که عملکردهای مدیریت اطلاعات امنیتی (SIM) و مدیریت رویدادهای امنیتی (SEM) را در یک سیستم جامع مدیریتی به نام “SIEM ” که ترکیبی از هر دو نام است ارائه می دهد.
اصول اساسی هر سیستم SIEM جمع آوری داده های مرتبط از منابع متعدد، شناسایی انحرافات از هنجارها و انجام اقدامات لازم می باشد. به عنوان مثال، هنگامی که یک مشکل بالقوه شناسایی می شود، یک سیستم SIEM ممکن است اطلاعات اضافی را ثبت کند، یک هشدار ایجاد کند و به سایر کنترل های امنیتی دستور دهد تا پیشرفت یک فعالیت را متوقف کنند.
در ابتدایی ترین سطح، یک سیستم SIEM می تواند مبتنی بر قوانین باشد و یا با استفاده از داده های آماری برای ایجاد روابط بین ورودی های یک رویداد گزارش رویداد بدهد. سیستم های پیشرفته SIEM تکامل یافته اند تا شامل تجزیه و تحلیل رفتار کاربر (UEBA) و هماهنگی امنیتی، اتوماسیون و پاسخ (SOAR) شوند.
در ابتدا اتخاذ “استاندارد امنیت اطلاعات صنعت کارت پرداخت (PCI DSS) ” ، در شرکت های بزرگ باعث پذیرش SIEM شد، اما نگرانی ها در مورد تهدیدات دائمی پیشرفته (APTs) سازمان های کوچکتر را بر آن داشت تا به مزایای ارائه دهندگان خدمات امنیتی مدیریت شده SIEM توجه کنند. امکان مشاهده تمام داده های مرتبط با امنیت از یک دیدگاه واحد، تشخیص الگوهای غیرعادی را برای سازمان ها در هر اندازه و مقیاسی که باشند را آسان تر می کند.
سیستمهای SIEM با استقرار چندین عامل جمعآوری به شیوهای سلسله مراتبی برای جمعآوری رویدادهای مرتبط با امنیت از دستگاههای کاربر نهایی ، سرورها و تجهیزات شبکه و همچنین تجهیزات امنیتی تخصصی مانند فایروالها، آنتیویروسها و یا سیستمهای پیشگیری از نفوذ (IPS) کار میکنند. گردآورنده ها رویدادها را به یک کنسول متمرکز مدیریت ارسال می کنند، جایی که تحلیلگران امنیتی نویز را غربال و نقاط را به هم متصل و حوادث امنیتی را اولویت بندی می کنند.
در برخی از سیستم ها، ممکن است در جمع کننده های لبه پیش پردازش اتفاق بیفتد و فقط رویدادهای خاصی به مدیریت مرکزی منتقل شوند. در این صورت حجم اطلاعات در حال انتقال و ذخیره سازی کاسته می شود. اگرچه پیشرفتها در علم یادگیری ماشین به سیستمها کمک میکند تا ناهنجاریها را با دقت بیشتری مشخص کنند، تحلیلگران همچنان باید نظارت کنند و بازخورد ارائه دهند .
برخی از مهم ترین ویژگی هایی که باید هنگام ارزیابی محصولات SIEM بررسی شوند:
ادغام با سایر کنترل ها : آیا سیستم می تواند دستوراتی را به سایر کنترل های امنیتی سازمانی برای جلوگیری یا توقف حملات در حال انجام بدهد؟
هوش مصنوعی (AI) : آیا سیستم می تواند دقت خود را از طریق یادگیری ماشینی و یادگیری عمیق بهبود بخشد؟
استفاده از اطلاعات تهدید : آیا این سیستم فیدهای اطلاعاتی تهدید را پشتیبانی کند یا اینکه موظف است از یک خوراک خاص استفاده کند؟
گزارش انطباق گسترده : آیا این سیستم شامل گزارشهای داخلی برای نیازهای متداول انطباق است و به سازمان امکان سفارشیسازی یا ایجاد گزارشهای انطباق جدید را میدهد؟
قابلیت های جرم شناسی : آیا سیستم قابلیت می تواند با ثبت اطلاعات بیشتر در مورد رویدادهای امنیتی ، جرم یابی کند
چرا SIEM مهم است؟
SIEM مهم است زیرا مدیریت امنیت را برای شرکت ها با فیلتر کردن مقادیر انبوه داده های امنیتی و اولویت بندی هشدارهای امنیتی که نرم افزار تولید می کند آسان تر می کند.
نرمافزار SIEM سازمانها را قادر به شناسایی حوادثی می کند که در غیر این صورت ممکن است شناسایی نشوند. این نرم افزار لاگ های ورودی را تجزیه و تحلیل می کند تا هر گونه نشانه ای از فعالیت های مخرب را شناسایی کند. علاوه بر این، از آنجایی که سیستم رویدادها را از منابع مختلف در سراسر شبکه جمعآوری میکند، میتواند جدول زمانی یک حمله سایبری را بازسازی کند و شرکت را قادر میسازد تا ماهیت تهدیدات و تأثیر آنها بر تجارت خود را ارزیابی نمایند.
یک سیستم SIEM همچنین میتواند با تولید خودکار گزارشهایی که شامل تمام رویدادهای امنیتی ثبتشده از منابع موجود ، به سازمان کمک کند تا الزامات انطباق را برآورده کند. بدون نرم افزار SIEM، شرکت باید داده های گزارش و گزارش ها را به صورت دستی جمع آوری و تهیه و تحلیل کند.
یک سیستم SIEM همچنین مدیریت وقایع را با تواناسازیی تیم امنیتی شرکت برای کشف مسیری که یک حمله در سراسر شبکه طی میکند، شناسایی منابعی که به خطر افتادهاند و ابزارهای خودکار برای جلوگیری از حملات در حال انجام ، بهبود میبخشد.