مدیریت اطلاعات و رویدادهای امنیتی (SIEM) (Security Information and Event Management)، مجموعهای از ابزارها و خدمات مختلف است که اطلاعات جامعی در خصوص امنیت اطلاعات سازمان را در اختیار شما قرار میدهد.
ابزارهای SIEM قابلیتهای زیر را برای شما فراهم میکنند:
یک دید لحظهای از سیستمهای امنیت اطلاعات سازمان.
مدیریت لاگ رویدادها (Event log management) که دادههای به دستآمده از منابع متعدد را با هم یکی میکند.
رابطهی رویدادهای جمعآوریشده از لاگها یا منابع امنیتی مختلف، بر اساس قواعد اگر-آنگاه که هوشمندی بیشتری را در دادههای خام ایجاد میکند.
اعلان خودکار رویدادهای امنیتی. بیشتر سیستمهای SIEM دارای داشبوردهای مختلفی برای مسائل امنیتی بوده و روشهای دیگری هم برای اعلان مستقیم دارند.
SIEM با ترکیب دو فناوری کار میکند: الف) مدیریت اطلاعات امنیت (Security information management) (SIM) که دادههای خود را از فایلهای لاگ جمعآوری کرده و از آنها برای تحلیل و گزارش تهدیدات و رویدادهای امنیتی استفاده میکند و ب) مدیریت رویدادهای امنیتی (security event management) که سیستم را به صورت لحظهای پایش کرده و مسائل مهم را به ادمینهای شبکه اطلاع میدهد. این سیستم، رابطهی بین رویدادهای امنیتی را نیز مشخص میکند.
فرآیند مدیریت اطلاعات و رویدادهای امنیتی را میتوان به موارد زیر تقسیمبندی کرد:
جمعآوری دادهها: تمامی منابع مربوط به اطلاعات امنیت شبکه مانند سرورها، سیستم عاملها، فایروالها، نرمافزارهای آنتیویروس و سیستمهای پیشگیری از نفوذ به گونهای پیکربندی و تنظیم میشوند که دادههای مربوط به رویدادها را به سیستم SIEM وارد کنند. در ابزارهای جدیدتر SIEM از عاملهایی برای جمعآوری لاگ رویدادها از سیستمهای مختلف سازمان استفاده میشود. سپس، این دادهها پردازش شده، فیلتر شده و به سیستم SIEM فرستاده میشود. در بعضی از سیستمهای SIEM، امکان جمعآوری دادهها بدون استفاده از عامل هم وجود دارد. مثلاً با استفاده از اسپلانک (Splunk) میتوانید بدون نیاز به عامل و با استفاده از WIM، دادهها را در ویندوز جمعآوری کنید.
پالیسیها: ادمین سیستم SIEM یک پروفایل درست میکند و در آن، رفتار سیستمهای سازمان را هم در شرایط عادی و هم در شرایطی که رخدادهای امنیتی از پیشتعریفشده رخ میدهند، مشخص مینماید. سیستمهای SIEM یک سری قواعد، هشدارها، گزارشات و داشبوردهای پیشفرض دارند که شما میتوانید آنها را بر اساس نیازمندیهای خاص شرکت خود سفارشیسازی کنید.
تلفیق دادهها و ایجاد رابطه: راهکارهای SIEM فایلهای لاگ را تلفیق، تفسیر و تحلیل میکنند. سپس، رویدادها را بر اساس دادههای خام دستهبندی کرده و قواعد روابط را بر روی آنها اعمال میکنند. به این ترتیب، هر یک از رویدادهای داده به مسائل امنیتی معنادار تبدیل میشوند.
اعلانها: در صورتی که یک رویداد یا مجموعهای از رویدادها یکی از قواعد SIEM را برآورده کنند، این سیستم به کارکنان امنیتی هشدار میدهد.
چند راهکار مختلف برای مدیریت اطلاعات و رویدادهای امنیتی در بازار وجود دارد. Arcsight ESM، IBM QRadar و Splink از جمله مشهورترین این راهکارها هستند.
ArcSight
ArcSight دادههای لاگ را از فناوریهای امنیتی، سیستمهای عامل و اپلیکیشنهای سطح سازمان جمعآوری کرده و آنها را تجزیه و تحلیل میکند. در صورتی که این سیستم یک تهدید مخرب را شناسایی کند، آن را به کارکنان امنیتی اطلاع میدهد.
ArcSight میتواند یک واکنش خودکار را آغاز کرده و فعالیت مخرب مورد نظر را متوقف سازد. یکی دیگر از قابلیتهای این سیستم، آن است که میتوان هوش تهدید شخص ثالث را در آن وارد کرد تا تهدیدات به شکل دقیقتر تشخیص داده شوند.
IBM QRadar
IBM QRadar دادههای لاگ را از منابع موجود در یکی از سیستمهای اطلاعاتی سازمان از جمله دستگاههای شبکه، سیستمهای عامل، اپلیکیشنها و فعالیتهای کاربر جمعآوری میکند.
سیستم QRadar SIEM دادههای لاگ را به صورت لحظهای تجزیه و تحلیل کرده و به کاربران کمک میکند تا بتوانند حملات را به سرعت تشخیص داده و آنها را متوقف سازند. همچنین، QRadar میتواند رویدادهای لاگ و دادههای جاری در شبکه را از اپلیکیشنهای ابری نیز جمعآوری کند. علاوه بر این، میتوان هوش تهدید را نیز در این سیستم SIEM وارد کرد.
Splunk
امنیت سازمانی اسپلانک (Splunk Enterprise Security)، امکان پایش لحظهای، بررسی سریع با استفاده از روابط نموداری و بررسی تحلیلها را فراهم میسازد. به این ترتیب، با استفاده از این سیستم میتوان فعالیتهای پویای مرتبط با تهدیدات امنیتی پیشرفته را ردیابی کرد.
سیستم Splunk SIEM را میتوان به صورت یک نرمافزار در محل نصب کرد یا به شکل یک سرویس ابری دریافت کرد. هوش تهدید اشخاص ثالث را نیز میتوان در این سیستم وارد کرد.
سازمانها میتوانند با استفاده از ابزارهای SIEM، الزامات PCI DSS را برآورده ساخته و خود را با آنها منطبق سازند. این استاندارد امنیتی به مشتریان شرکت اطمینان میدهد که اطلاعات کارت اعتباری و پرداخت آنها امن بوده و امکان سرقت یا سوء استفاده از این اطلاعات وجود نخواهد داشت.
با استفاده از سیستم SIEM میتوان الزامات PCI DSS به شرح زیر را برآورده نمود:
تشخیص اتصال غیرمجاز به شبکه: سازمانهایی که قصد دارند تا الزامات PCI DSS را برآورده سازند، باید سیستمی در اختیار داشته باشند که بتواند اتصالات غیرمجاز در شبکه به داراییهای IT سازمان و از این داراییها را تشخیص دهد. برای این کار میتوان از یک سیستم SIEM استفاده نمود
جستجوی پروتکلهای غیرامن: با استفاده از سیستم SIEM میتوانید استفاده از سرویسها، پروتکلها و پورتها را مستند ساخته و توجیه نمایید. همچنین، میتوانید قابلیتهای امنیتی که برای پروتکلهای غیرامن پیاده کردهاید را نیز مستندسازی کنید.
بازرسی مشکلات ترافیکی در ناحیهی غیرنظامی (DMZ): سازمانهایی که منطبق با الزامات PCI هستند، باید یک ناحیهی غیرنظامی (DMZ) تشکیل دهند تا اتصالات بین شبکههای غیر قابل اعتماد (مانند اینترنت) و یک وبسرور را در این ناحیه مدیریت کنند. علاوه بر این، ترافیک اینترنت داخلی به IPهای موجود در ناحیهی DMZ نیز باید محدود شده و کار با اطلاعات صاحب کارت نیز باید مورد بررسی و ارزیابی قرار گیرد.
راهکارهای SIEM، ترافیکی که از ناحیهی DMZ به سمت سیستمهای داخلی رفته یا از این سیستمها به ناحیهی DMZ میرسند را بررسی کرده و مسائل امنیتی را گزارش میدهند تا الزامات یادشده رعایت شوند.