SIEM چیست؟ و این چطوری کار می‌کند؟

SIEM مخفف امنیت (security)، اطلاعات (information) و مدیریت رویداد(event management) است. ابزارهای SIEM داده‌های لاگ، هشدارهای امنیتی و رویدادها را در یک پلتفرم متمرکز جمع‌آوری می‌کنند تا تجزیه و تحلیل real-time را برای نظارت بر امنیت ارائه دهند.

مراکز عملیات امنیتی (SOC) روی نرم‌افزار SIEM سرمایه‌گذاری می‌کنند تا دید داده‌های لاگ را در محیط‌های سازمان ساده‌سازی، گردش‌های کاری امنیتی را خودکار ، تهدیدات سایبری را شناسایی کرده و به آنها پاسخ دهند و به دستورات انطباق پایبند باشند.
 

SIEM چگونه کار می‌کند؟

امنیت سایبری یک شغل چالش برانگیز است و بسیاری از سازمان‌ها فاقد پرسنل یا منابع کافی برای مدیریت مناسب چشم انداز تهدید هستند. ابزارهای SIEM به کاهش چالش‌های رایج تیم امنیتی در مورد مدیریت لاگ، مدیریت تهدید، ظرفیت لود کاری، انطباق و موارد دیگر کمک می‌کنند. بیایید عمیق‌تر به نحوه عملکرد نرم افزار SIEM بپردازیم.

مدیریت لاگ (Log Management)

نرم افزار SIEM با مدیریت و ادغام داده‌های لاگ برای دید کامل در محیط شروع می‌شود.

• جمع‌آوری و تجمیع لاگ‌ها: نرم‌افزار SIEM داده‌های لاگ و رویداد تولید شده از برنامه‌ها، دستگاه‌ها، شبکه‌ها، زیرساخت‌ها و سیستم‌ها را جمع‌آوری می‌کند تا تجزیه و تحلیل کند و دیدی جامع از فناوری اطلاعات سازمان (IT) ارائه دهد. داده‌های لاگ از منابع مختلف جمع‌آوری و برای تجزیه و تحلیل آسان‌تر به یک فرمت نرمالایز می‌شوند. این منابع می توانند لاگ‌ها را در فرمت‌های مختلف مانند  syslog، JSON و XML تولید کنند.
• تجزیه و تحلیل لاگ: جستجو و درک لاگ‌های خام دشوار است، که شکار تهدید را برای تحلیلگران امنیتی چالش برانگیز می‌کند. ابزارهای SIEM ورودی‌های خام را با اطلاعات متنی تجزیه و غنی‌سازی می‌کنند تا برای انسان قابل خواندن باشد. به عنوان مثال، SIEM ها داده ها را به اطلاعات قابل هضم مانند تایم‌استمپ، انواع رویداد، آدرسIP  منبع، نام‌های کاربری، داده‌های موقعیت جغرافیایی، کانتکس کاربر و غیره تجزیه می‌کنند.
• ذخیره و نگهداری لاگ: ابزارهای SIEM داده‌های لاگ را در یک مخزن متمرکز برای دوره‌های طولانی ذخیره می‌کنند که به تحقیقات قانونی، تجزیه و تحلیل تاریخی و الزامات انطباق کمک می‌کند.

همبستگی رویداد و تجزیه و تحلیل امنیتی

با تجزیه و تحلیل داده‌های لاگ در زمان واقعی، یک SIEM از قوانین و همبستگی‌های آماری برای ایجاد بینش عملی در طول تحقیقات پزشکی قانونی استفاده می‌کند. فناوری SIEM تمام داده‌ها را بررسی می‌کند، فعالیت‌های تهدید را مرتب می‌کند و آن‌ها را با سطح ریسک تخصیص می‌دهد تا به تیم‌های امنیتی کمک کند عوامل مخرب را شناسایی کرده و حملات سایبری را به سرعت کاهش دهند. SIEM می‌تواند از تجزیه و تحلیل بلادرنگ، تجزیه و تحلیل دسته‌ای، الگوریتم‌های علم داده و تجزیه و تحلیل مبتنی بر کاربر و موجودیت برای ترسیم تجزیه و تحلیل استفاده کند.

شناسایی، بررسی و پاسخ به تهدید

هنگام مدیریت حوادث و پاسخ به تهدیدات، ابزارهای SIEM به ساده‌سازی این فرآیند با موارد زیر کمک می‌کنند:

SOAR: ابزارهای SIEM اغلب SOAR را در جریان کار امنیتی ادغام می‌کنند تا به طور خودکار به تهدیدات سایبری پاسخ دهند و حملات را در زمان واقعی خاموش کنند. قابلیت‌های SOAR به تیم‌های SOC کمک می‌کند تا وظایف اضافی را کاهش دهند و زمان متوسط پاسخ (MTTR) به تهدیدات سایبری را بهبود بخشند.

Case Management: هنگام بررسی یا پاسخ به یک تهدید سایبری، SOCها می‌توانند از مدیریت پرونده به عنوان یک مخزن مرکزی برای حاشیه نویسی و ردیابی شواهد پزشکی قانونی و همچنین همکاری بین اعضای تیم استفاده کنند. موارد را می‌توان با دیگران به اشتراک گذاشت یا بر اساس محرمانه بودن محدود کرد. با استفاده از مدیریت پرونده، تیم‌های SOC می‌توانند یک گزارش وضعیت بلادرنگ از یک تحقیق در حال انجام یا یک دنباله حسابرسی از تمام فعالیت‌های مرتبط ارائه کنند. مدیریت پرونده سازمان‌ها را قادر می‌سازد تا کارایی واکنش به حادثه را به شدت بهبود بخشند.

Playbooks: تحلیلگران امنیتی از playbookها برای ساده‌سازی تشخیص و پاسخ استفاده می‌کنند. playbookهای راهنماها یا داکیومنت‌های از پیش تعریف شده‌ای هستند که دستورالعمل‌های گام به گام را برای پاسخ به تهدیدات یا حملات خاص ارائه می‌دهند. برای مثال، سازمان‌ها می‌توانند از playbookهای برای شکار تهدید، باج‌افزار و backdoor بدافزار استفاده کنند. مانند LogRhythm، فروشندگان SIEM می‌توانند playbookهای را خارج از جعبه ارائه دهند، اما هر سازمانی نیز تشویق می‌شود playbookهای را بر اساس نیازهای منحصر به فرد خود سفارشی کند.

اگر علاقه‌مند به دیدن نمونه‌هایی از این ویژگی‌ها هستید، این نسخه دمویSIEM را تماشا کنید تا نگاهی درونی به نحوه واکنش سریع یک تحلیلگر SOC به حمله فیشینگ با استفاده از SOAR، مدیریت case و قابلیت playbookهای داشته باشید.

داشبورد و گزارش

SIEM از داشبوردهای ساخته شده(built) با گرافیک و ویجت‌های سفارشی شده استفاده می‌کند که به تحلیلگران امنیتی کمک می‌کند تا اطلاعات امنیتی را تفسیر و درک کنند. داشبوردها بخش مهمی از ابزارهای SIEM هستند که وضعیت تمام فعالیت‌های تهدید را در زمان واقعی(real-time) نمایش می‌دهند تا تحلیلگران بتوانند به راحتی متن را تفسیر کرده و برای بررسی‌های بیشتر بررسی کنند.

تیم‌های امنیتی می‌توانند به راحتی گزارش‌ها را از پلتفرم SIEM دریافت و دانلود کنند. ادغام با نرم افزارهای دیگر مانند Kibana همچنین می‌تواند بینش‌های (insights) پیشرفته‌ای را برای اندازه گیری و گزارش معیارهای SOC ارائه دهد.

مدیریت انطباق، حسابرسی و گزارش

یک مورد مهم برای اینکه چرا سازمان‌ها در فناوری SIEM سرمایه‌گذاری می‌کنند، این است که آنها باید از دستورات انطباق دولت پیروی کنند - به‌ویژه آنهایی که در صنایع highly regulated فعالیت می‌کنند. نرم افزار SIEM به سازمان‌ها با الزامات مانیتورینگ مستمر، تجزیه و تحلیل تخلفات احتمالی کنترل، ذخیره رکوردهای طولانی مدت و ارائه گزارش به تحلیلگران، مدیریت یا حسابرسان کمک می‌کند.

SIEM vendors می‌توانند با استقرار گزارش‌های از پیش ساخته شده برای ممیزی و بررسی مدیریت و شناسایی خودکار نقض‌های انطباق، بار تضمین انطباق با مقررات را کاهش دهند. به عنوان مثال، LogRhythm's Consolidated Compliance Framework ماژول های اتوماسیون سازگاری از پیش ساخته شده را برای مجموعه ای از مقررات و چارچوب‌ها، از جمله:

• کنترل های امنیتی حیاتی CIS
• CMMC
• GDPR
• HIPAA
• NIST (800-53، 800-171، CSF)
• PCI DSS
• و خیلی بیشتر!

مزایای فناوری SIEM

بسته به راه‌حل و فروشنده، اجزای SIEM می‌توانند طیف گسترده‌ای از مزایای را ارائه دهند که به افزایش وضعیت امنیتی کلی کمک می‌کند، از جمله:

• مدیریت امنیت را متمرکز کنید و شکاف دید را کاهش دهید: ابزارهای SIEM با یکپارچه‌سازی داده‌های لاگ از سیستم‌های متفاوت، گردش کار متمرکزی را فراهم می‌کنند که امکان مشاهده real-time در سراسر محیط را فراهم می‌کند که به کاهش شکاف‌های دید کمک می‌کند تا اطمینان حاصل شود که تهدیدات سایبری نادیده گرفته نمی‌شوند. SIEM راه آسان‌تری را برای جمع‌آوری و مدیریت مجموعه‌های بزرگ داده، همه در یک مکان، فراهم می‌کند.
• کاهش وظایف دستی با اتوماسیون: متخصصان امنیتی می‌توانند با استفاده از اتوماسیون برای کارهای روزمره، حجم کار دستی را کاهش دهند تا تحلیلگران بتوانند روی کارهای استراتژیک‌تر تمرکز کنند.
• شناسایی انواع تهدیدها: انسان‌ها به سادگی نمی‌توانند این کار را به تنهایی انجام دهند. SIEM به سازمان‌ها کمک می‌کند تا خطر حملات مختلف از باج‌افزار، فیشینگ، تهدیدات داخلی، تهدیدات پایدار پیشرفته (APTS) و غیره را کاهش دهند. فروشندگان SIEM همچنین می‌توانند با تراز کردن با چارچوب‌هایی مانند MITER ATT&CK، توانایی نقشه برداری از عملیات با تاکتیک‌های رایج حمله را فراهم کنند.
• بهبود تشخیص و پاسخ: تیم‌های SOC می‌توانند معیارهایی مانند میانگین زمان شناسایی (MTTD) و MTTR را کاهش دهند. اولویت بندی هشدارها به تیم های امنیتی کمک می کند تا به راحتی به تهدیدات پرخطر پاسخ دهند و پاسخ به حادثه را در اولویت قرار دهند.
• سهولت در حسابرسی و گزارش انطباق: کسب و کارهایی که در صنایع بسیار تحت نظارت فعالیت می‌کنند، می‌توانند از رعایت مقررات اطمینان حاصل کنند و احتمال جریمه‌های پرهزینه را کاهش دهند.
•      بهبود تجربه تحلیلگر: اگر ابزارهای SIEM به درستی پیکربندی و نگهداری شوند، به تحلیلگران امنیتی کمک می‌کند تا داستان بهتری را با داده‌ها بیان کنند، انواع حملات را شناسایی کنند و گردش کار عملیاتی خود را ساده کنند. SIEM تجسم‌ها و زمینه‌های real-time را به تهدیدات سایبری ارائه می‌کنند و داده‌های گزارش قطع‌شده را به بینش‌های معنادار تبدیل می‌کنند.

تکامل نرم افزار SIEM

ابزارهای SIEM بیش از 15 سال است که وجود دارند، اما SIEM‌های مدرن امروزی از همتایان اصلی خود تکامل یافته‌اند. مارک نیکولت و آمریت ویلیامز اصطلاح SIEM را در گزارش تحقیقاتی گارتنر در سال 2005 با عنوان بهبود امنیت فناوری اطلاعات با مدیریت آسیب پذیری ایجاد کردند. SIEM‌های قدیمی ترکیبی از روش‌های امنیتی یکپارچه در یک راه حل مدیریتی بودند، از جمله:

• سیستم‌های مدیریت لاگ (LMS): فرآیندهایی برای جمع آوری ساده و ذخیره سازی متمرکز لاگ‌ها
• مدیریت اطلاعات امنیتی (SIM): ابزارهایی برای جمع‌آوری خودکار فایل‌های لاگ برای ذخیره‌سازی طولانی‌مدت، تجزیه و تحلیل و لاگ
• مدیریت رویدادهای امنیتی (SEM): فناوری برای نظارت در زمان واقعی و ارتباط سیستم‌ها و رویدادها با اعلان‌ها و نمایش‌های کنسول

همانطور که نرم افزار SIEM در طول زمان تغییر کرد، کامپوننت‌ها همچنان به ارائه ارزش ادامه می‌دهند، اما فناوری نوآورانه در چشم انداز رقابتی راه را برای رویکردهای جامع تر و پیشرفته تر برای کاهش ریسک در یک سازمان هموار کرد. این باعث شد تا ارائه دهندگان SIEM در نهایت ویژگی‌های جدیدی را ارائه دهند که این محصولات پیشرفته را به عنوان راه حل های next-generation SIEM نامیده اند.

مقایسه next-generation SIEM و SIEM

تفاوت عمده بین ابزارهای سنتی SIEM و next-generation SIEM چیست؟ در اصل، هر دو راه حل عملکرد مشابهی دارند، اما SIEM‌های قدیمی نمی‌توانند با افزایش حجم و پیچیدگی داده‌ها در چشم انداز تهدید امروزی مقابله کنند. با افزایش پذیرش ابر، فناوری‌های تلفن همراه، مراکز داده ترکیبی و نیروی کار راه دور، نسل بعدی SIEM برای پاسخگویی به تقاضای رو به رشد برای تشخیص تهدید و پاسخگویی در سیستم‌های متفاوت بسیار مناسب‌تر هستند.

نسل بعدی SIEM قابلیت‌های جدیدی را برای بهبود دید امنیتی و تشخیص تهدید ارائه می‌کند، در حالی که فرآیند مدیریت بار کاری را برای تیم‌های امنیتی ساده می‌کند. برخی از اجزای اصلی یک نرم افزار نسل بعدی SIEM عبارتند از:

• معماری باز و مقیاس‌پذیر: توانایی ساده‌سازی داده‌ها از سیستم‌های متفاوت در سراسر فناوری on-prem، ابری و تلفن همراه، در یک موجودیت واحد.
• ابزارهای تجسم در زمان واقعی: ویژگی‌هایی که به تیم‌های امنیتی کمک می‌کند تا رویدادهای امنیتی مرتبط را برای ترسیم دقیق حوادث تهدید به تصویر بکشند.
• معماری کلان داده: توانایی جمع آوری و مدیریت مجموعه داده‌های بزرگ و پیچیده برای نمایه سازی و جستجوی ساختاریافته و بدون ساختار.
• UEBA: راه حلی برای نظارت بر تغییرات رفتاری در داده‌های کاربر برای تشخیص موارد غیرعادی زمانی که انحرافات از الگوهای normal وجود دارد.
• SOAR: فناوری که اقدامات روتین و دستی تحلیلگر را برای افزایش کارایی عملیاتی در سراسر گردش کار واکنش به حادثه خودکار می‌کند.

در نهایت، با افزایش پذیرش ابر، فن‌آوری‌های تلفن همراه، مراکز داده ترکیبی و نیروی کار از راه دور، SIEM‌های مدرن امروزی برای امنیت داده‌ها و برنامه‌های کاربردی SaaS در فضای ابری مناسب‌تر هستند. در بخش بعدی، عمیق‌تر به رویکردهای استقرار SIEM خواهیم پرداخت.

استقرار فناوری SIEM: Cloud، On-Prem و Hybrid

ابزارهای SIEM می توانند به عنوان یک سرویس مبتنی بر ابر مستقر شوند یا از استقرار اولیه پشتیبانی کنند. این استراتژی تا حد زیادی به نیازهای تجاری و امنیتی بستگی دارد.

استقرار On-Prem SIEM

  در اینجا دلایلی وجود دارد که چرا سازمان‌ها امروزه راه‌حل‌های SIEM اولیه را به کار می‌گیرند.

• کنترل داده ها: الزامات انطباق یک مورد رایج تجاری برای انتخاب استقرار SIEM (یا خود میزبانی) است. ما همیشه آن را با مشتریان LogRhythm می بینیم. برای برخی از سازمان ها، داشتن کنترل و مالکیت کامل بر داده ها و زیرساخت های خود برای فعالیت در صنایع تحت نظارت مانند مراقبت های بهداشتی یا مالی ضروری است.
• سیستم‌های قدیمی: بسیاری از سازمان‌ها دارای سیستم‌های قدیمی هستند که ادغام با سرویس‌های ابری دشوار است و بنابراین برای جلوگیری از اختلال، استقرار خود میزبانی را حفظ می‌کنند.
• کنترل هزینه: برخی از سازمان‌ها این مدل را ترجیح می‌دهند، زیرا کنترل بیشتری بر هزینه‌های عملیاتی جاری مربوط به نگهداری یا ارتقاء سخت‌افزار دارند.

استقرار SIEM مبتنی بر ابر

در دنیای دیجیتال امروزی، بسیاری از مدل‌های کسب‌وکار به SOCها برای ایمن کردن برنامه‌های SaaS در فضای ابری نیاز دارند. این یکی از نمونه‌هایی است که نشان می‌دهد چرا بسیاری از سازمان‌ها از یک مدل میزبان مشتری به یک مدل استقرار بومی یا ابر تحویل داده شده‌اند. امروزه Cloud SIEM برجسته ترین معماری استقرار است به دلایل بسیاری مانند:

• استقرار سریع: راه‌حل‌های Cloud SIEM را می‌توان سریع‌تر از جایگزین‌های داخلی راه‌اندازی کرد و به سازمان‌ها اجازه می‌دهد تا زودتر نظارت و محافظت از محیط خود را آغاز کنند.
• مقیاس‌پذیری: راه‌حل‌های SIEM مبتنی بر ابر می‌توانند آسان‌تر مقیاس شوند تا حجم داده‌ها، حجم کاری و کاربران در حال رشد را تطبیق دهند.
• سهولت مدیریت: مشتریان Cloud SIEM نیازی به مدیریت زیرساخت های عملیاتی ندارند و می توانند بیشتر بر روی شناسایی و پاسخ به تهدیدات تمرکز کنند، در حالی که ارائه دهنده Cloud SIEM تامین سخت افزار، به روز رسانی نرم افزار و وصله امنیتی را مدیریت می کند.
• انعطاف‌پذیری: راه‌حل‌های Cloud SIEM را می‌توان از هر کجا با اتصال به اینترنت در دسترس قرار داد، و آنها را برای سازمان‌هایی با تیم‌های توزیع‌شده یا نیروی کار از راه دور مناسب می‌کند.
• کارایی هزینه: در حالی که راه‌حل‌های SIEM ابری شامل هزینه‌های اشتراک مکرر هستند، اما می‌توانند برای سازمان‌هایی که مدل OpEx (هزینه عملیاتی) را به مدل CapEx (هزینه‌های سرمایه‌ای) ترجیح می‌دهند مقرون‌به‌صرفه باشند.
• بازیابی فاجعه: راه‌حل‌های Cloud SIEM ممکن است با قابلیت‌های داخلی بازیابی فاجعه و پشتیبان‌گیری برای کمک به سازمان‌ها در بازیابی سریع از دست دادن داده یا خرابی سیستم ارائه شوند.

استقرار هیبریدی SIEM

برخی از سازمان‌ها از یک رویکرد ترکیبی استفاده می‌کنند که در آن یک SIEM on-prem را برای داده‌های حساس خاص یا سیستم‌های قدیمی استفاده می‌کنند، در حالی که از SIEM مبتنی بر ابر برای سایر بخش‌های زیرساخت خود استفاده می‌کنند.

انتخاب بین استقرار on-prem و cloud SIEM باید بر اساس نیازهای منحصر به فرد سازمان، ملاحظات امنیتی، محدودیت های بودجه و برنامه های رشد آتی باشد.

سرمایه گذاری در راه حل SIEM

قبل از سرمایه گذاری در ابزار SIEM، الزامات کسب و کار خود را جمع آوری کنید و اهداف و اولویت های امنیتی خود را ارزیابی کنید. این می‌تواند یک سرمایه‌گذاری پیشاپیش باشد، اما نرم‌افزار SIEM به تیم‌های امنیتی کمک می‌کند تا به انطباق دست یابند و خطرات را به سرعت کاهش دهند - در صورت وقوع تخلف، کسب‌وکار را از پیامدهای مالی مهم یا مسائل قانونی نجات می‌دهد.

هنگام انتخاب یک SIEM، درک کنید که چگونه مدل‌های صدور مجوز، هزینه کل واقعی مالکیت (TCO) را تعیین می‌کنند و رشد آینده را در نظر بگیرید زیرا ممکن است سازمان شما در طول سال‌ها توسعه یابد. بسیار مهم است که یک ارائه دهنده قابل اعتماد پیدا کنید که با نیازهای کسب و کار شما برای مقیاس پذیری بلندمدت مطابقت داشته باشد، در حالی که به تیم شما کمک می کند تا راه حلی را به سرعت اجرا کند تا بالاترین بازده سرمایه را داشته باشد.

پس از استقرار یک SIEM، هنوز کارهای زیادی برای انجام دادن وجود دارد. این ابزاری نیست که بتوانید آن را تنظیم کنید و آن را فراموش کنید. شما باید دائماً فرآیندها و جریان‌های کاری امنیتی بالغ را اصلاح کنید. اگرچه ابزارهای SIEM می توانند تجربه تحلیلگر SOC را تا حد زیادی بهبود بخشند، اما نیاز به تنظیمات، تنظیم و آزمایش مناسب دارند. بسیاری از فروشندگان امنیتی محتوای خارج از جعبه یا تخصص تعبیه شده را برای ارائه ارزش فوری ارائه می دهند، اما اولویت بندی موارد استفاده سفارشی شما به همان اندازه مهم است.

پیشاپیش، اطمینان حاصل کنید که شریک امنیتی شما آموزش با کیفیت یا خدمات SOC را برای کمک به ارزیابی و بلوغ امنیتی شما در طول مسیر ارائه می دهد. در صورت نیاز، برخی از سازمان ها به دلیل کمبود منابع از ارائه دهندگان امنیت سرویس مدیریت شده (MSSP) کمک می گیرند.