SIEM چیست؟ و این چطوری کار میکند؟
SIEM مخفف امنیت (security)، اطلاعات (information) و مدیریت رویداد(event management) است. ابزارهای SIEM دادههای لاگ، هشدارهای امنیتی و رویدادها را در یک پلتفرم متمرکز جمعآوری میکنند تا تجزیه و تحلیل real-time را برای نظارت بر امنیت ارائه دهند.
مراکز عملیات امنیتی (SOC) روی نرمافزار SIEM سرمایهگذاری میکنند تا دید دادههای لاگ را در محیطهای سازمان سادهسازی، گردشهای کاری امنیتی را خودکار ، تهدیدات سایبری را شناسایی کرده و به آنها پاسخ دهند و به دستورات انطباق پایبند باشند.
SIEM چگونه کار میکند؟
امنیت سایبری یک شغل چالش برانگیز است و بسیاری از سازمانها فاقد پرسنل یا منابع کافی برای مدیریت مناسب چشم انداز تهدید هستند. ابزارهای SIEM به کاهش چالشهای رایج تیم امنیتی در مورد مدیریت لاگ، مدیریت تهدید، ظرفیت لود کاری، انطباق و موارد دیگر کمک میکنند. بیایید عمیقتر به نحوه عملکرد نرم افزار SIEM بپردازیم.
مدیریت لاگ (Log Management)
نرم افزار SIEM با مدیریت و ادغام دادههای لاگ برای دید کامل در محیط شروع میشود.
- جمعآوری و تجمیع لاگها: نرمافزار SIEM دادههای لاگ و رویداد تولید شده از برنامهها، دستگاهها، شبکهها، زیرساختها و سیستمها را جمعآوری میکند تا تجزیه و تحلیل کند و دیدی جامع از فناوری اطلاعات سازمان (IT) ارائه دهد. دادههای لاگ از منابع مختلف جمعآوری و برای تجزیه و تحلیل آسانتر به یک فرمت نرمالایز میشوند. این منابع می توانند لاگها را در فرمتهای مختلف مانند syslog، JSON و XML تولید کنند.
- تجزیه و تحلیل لاگ: جستجو و درک لاگهای خام دشوار است، که شکار تهدید را برای تحلیلگران امنیتی چالش برانگیز میکند. ابزارهای SIEM ورودیهای خام را با اطلاعات متنی تجزیه و غنیسازی میکنند تا برای انسان قابل خواندن باشد. به عنوان مثال، SIEM ها داده ها را به اطلاعات قابل هضم مانند تایماستمپ، انواع رویداد، آدرسIP منبع، نامهای کاربری، دادههای موقعیت جغرافیایی، کانتکس کاربر و غیره تجزیه میکنند.
- ذخیره و نگهداری لاگ: ابزارهای SIEM دادههای لاگ را در یک مخزن متمرکز برای دورههای طولانی ذخیره میکنند که به تحقیقات قانونی، تجزیه و تحلیل تاریخی و الزامات انطباق کمک میکند.
همبستگی رویداد و تجزیه و تحلیل امنیتی
با تجزیه و تحلیل دادههای لاگ در زمان واقعی، یک SIEM از قوانین و همبستگیهای آماری برای ایجاد بینش عملی در طول تحقیقات پزشکی قانونی استفاده میکند. فناوری SIEM تمام دادهها را بررسی میکند، فعالیتهای تهدید را مرتب میکند و آنها را با سطح ریسک تخصیص میدهد تا به تیمهای امنیتی کمک کند عوامل مخرب را شناسایی کرده و حملات سایبری را به سرعت کاهش دهند. SIEM میتواند از تجزیه و تحلیل بلادرنگ، تجزیه و تحلیل دستهای، الگوریتمهای علم داده و تجزیه و تحلیل مبتنی بر کاربر و موجودیت برای ترسیم تجزیه و تحلیل استفاده کند.
شناسایی، بررسی و پاسخ به تهدید
هنگام مدیریت حوادث و پاسخ به تهدیدات، ابزارهای SIEM به سادهسازی این فرآیند با موارد زیر کمک میکنند:
SOAR: ابزارهای SIEM اغلب SOAR را در جریان کار امنیتی ادغام میکنند تا به طور خودکار به تهدیدات سایبری پاسخ دهند و حملات را در زمان واقعی خاموش کنند. قابلیتهای SOAR به تیمهای SOC کمک میکند تا وظایف اضافی را کاهش دهند و زمان متوسط پاسخ (MTTR) به تهدیدات سایبری را بهبود بخشند.
Case Management: هنگام بررسی یا پاسخ به یک تهدید سایبری، SOCها میتوانند از مدیریت پرونده به عنوان یک مخزن مرکزی برای حاشیه نویسی و ردیابی شواهد پزشکی قانونی و همچنین همکاری بین اعضای تیم استفاده کنند. موارد را میتوان با دیگران به اشتراک گذاشت یا بر اساس محرمانه بودن محدود کرد. با استفاده از مدیریت پرونده، تیمهای SOC میتوانند یک گزارش وضعیت بلادرنگ از یک تحقیق در حال انجام یا یک دنباله حسابرسی از تمام فعالیتهای مرتبط ارائه کنند. مدیریت پرونده سازمانها را قادر میسازد تا کارایی واکنش به حادثه را به شدت بهبود بخشند.
Playbooks: تحلیلگران امنیتی از playbookها برای سادهسازی تشخیص و پاسخ استفاده میکنند. playbookهای راهنماها یا داکیومنتهای از پیش تعریف شدهای هستند که دستورالعملهای گام به گام را برای پاسخ به تهدیدات یا حملات خاص ارائه میدهند. برای مثال، سازمانها میتوانند از playbookهای برای شکار تهدید، باجافزار و backdoor بدافزار استفاده کنند. مانند LogRhythm، فروشندگان SIEM میتوانند playbookهای را خارج از جعبه ارائه دهند، اما هر سازمانی نیز تشویق میشود playbookهای را بر اساس نیازهای منحصر به فرد خود سفارشی کند.
اگر علاقهمند به دیدن نمونههایی از این ویژگیها هستید، این نسخه دمویSIEM را تماشا کنید تا نگاهی درونی به نحوه واکنش سریع یک تحلیلگر SOC به حمله فیشینگ با استفاده از SOAR، مدیریت case و قابلیت playbookهای داشته باشید.
داشبورد و گزارش
SIEM از داشبوردهای ساخته شده(built) با گرافیک و ویجتهای سفارشی شده استفاده میکند که به تحلیلگران امنیتی کمک میکند تا اطلاعات امنیتی را تفسیر و درک کنند. داشبوردها بخش مهمی از ابزارهای SIEM هستند که وضعیت تمام فعالیتهای تهدید را در زمان واقعی(real-time) نمایش میدهند تا تحلیلگران بتوانند به راحتی متن را تفسیر کرده و برای بررسیهای بیشتر بررسی کنند.
تیمهای امنیتی میتوانند به راحتی گزارشها را از پلتفرم SIEM دریافت و دانلود کنند. ادغام با نرم افزارهای دیگر مانند Kibana همچنین میتواند بینشهای (insights) پیشرفتهای را برای اندازه گیری و گزارش معیارهای SOC ارائه دهد.
مدیریت انطباق، حسابرسی و گزارش
یک مورد مهم برای اینکه چرا سازمانها در فناوری SIEM سرمایهگذاری میکنند، این است که آنها باید از دستورات انطباق دولت پیروی کنند - بهویژه آنهایی که در صنایع highly regulated فعالیت میکنند. نرم افزار SIEM به سازمانها با الزامات مانیتورینگ مستمر، تجزیه و تحلیل تخلفات احتمالی کنترل، ذخیره رکوردهای طولانی مدت و ارائه گزارش به تحلیلگران، مدیریت یا حسابرسان کمک میکند.
SIEM vendors میتوانند با استقرار گزارشهای از پیش ساخته شده برای ممیزی و بررسی مدیریت و شناسایی خودکار نقضهای انطباق، بار تضمین انطباق با مقررات را کاهش دهند. به عنوان مثال، LogRhythm's Consolidated Compliance Framework ماژول های اتوماسیون سازگاری از پیش ساخته شده را برای مجموعه ای از مقررات و چارچوبها، از جمله:
- کنترل های امنیتی حیاتی CIS
- CMMC
- GDPR
- HIPAA
- NIST (800-53، 800-171، CSF)
- PCI DSS
- و خیلی بیشتر!
مزایای فناوری SIEM
بسته به راهحل و فروشنده، اجزای SIEM میتوانند طیف گستردهای از مزایای را ارائه دهند که به افزایش وضعیت امنیتی کلی کمک میکند، از جمله:
- مدیریت امنیت را متمرکز کنید و شکاف دید را کاهش دهید: ابزارهای SIEM با یکپارچهسازی دادههای لاگ از سیستمهای متفاوت، گردش کار متمرکزی را فراهم میکنند که امکان مشاهده real-time در سراسر محیط را فراهم میکند که به کاهش شکافهای دید کمک میکند تا اطمینان حاصل شود که تهدیدات سایبری نادیده گرفته نمیشوند. SIEM راه آسانتری را برای جمعآوری و مدیریت مجموعههای بزرگ داده، همه در یک مکان، فراهم میکند.
- کاهش وظایف دستی با اتوماسیون: متخصصان امنیتی میتوانند با استفاده از اتوماسیون برای کارهای روزمره، حجم کار دستی را کاهش دهند تا تحلیلگران بتوانند روی کارهای استراتژیکتر تمرکز کنند.
- شناسایی انواع تهدیدها: انسانها به سادگی نمیتوانند این کار را به تنهایی انجام دهند. SIEM به سازمانها کمک میکند تا خطر حملات مختلف از باجافزار، فیشینگ، تهدیدات داخلی، تهدیدات پایدار پیشرفته (APTS) و غیره را کاهش دهند. فروشندگان SIEM همچنین میتوانند با تراز کردن با چارچوبهایی مانند MITER ATT&CK، توانایی نقشه برداری از عملیات با تاکتیکهای رایج حمله را فراهم کنند.
- بهبود تشخیص و پاسخ: تیمهای SOC میتوانند معیارهایی مانند میانگین زمان شناسایی (MTTD) و MTTR را کاهش دهند. اولویت بندی هشدارها به تیم های امنیتی کمک می کند تا به راحتی به تهدیدات پرخطر پاسخ دهند و پاسخ به حادثه را در اولویت قرار دهند.
- سهولت در حسابرسی و گزارش انطباق: کسب و کارهایی که در صنایع بسیار تحت نظارت فعالیت میکنند، میتوانند از رعایت مقررات اطمینان حاصل کنند و احتمال جریمههای پرهزینه را کاهش دهند.
- بهبود تجربه تحلیلگر: اگر ابزارهای SIEM به درستی پیکربندی و نگهداری شوند، به تحلیلگران امنیتی کمک میکند تا داستان بهتری را با دادهها بیان کنند، انواع حملات را شناسایی کنند و گردش کار عملیاتی خود را ساده کنند. SIEM تجسمها و زمینههای real-time را به تهدیدات سایبری ارائه میکنند و دادههای گزارش قطعشده را به بینشهای معنادار تبدیل میکنند.
تکامل نرم افزار SIEM
ابزارهای SIEM بیش از 15 سال است که وجود دارند، اما SIEMهای مدرن امروزی از همتایان اصلی خود تکامل یافتهاند. مارک نیکولت و آمریت ویلیامز اصطلاح SIEM را در گزارش تحقیقاتی گارتنر در سال 2005 با عنوان بهبود امنیت فناوری اطلاعات با مدیریت آسیب پذیری ایجاد کردند. SIEMهای قدیمی ترکیبی از روشهای امنیتی یکپارچه در یک راه حل مدیریتی بودند، از جمله:
- سیستمهای مدیریت لاگ (LMS): فرآیندهایی برای جمع آوری ساده و ذخیره سازی متمرکز لاگها
- مدیریت اطلاعات امنیتی (SIM): ابزارهایی برای جمعآوری خودکار فایلهای لاگ برای ذخیرهسازی طولانیمدت، تجزیه و تحلیل و لاگ
- مدیریت رویدادهای امنیتی (SEM): فناوری برای نظارت در زمان واقعی و ارتباط سیستمها و رویدادها با اعلانها و نمایشهای کنسول
همانطور که نرم افزار SIEM در طول زمان تغییر کرد، کامپوننتها همچنان به ارائه ارزش ادامه میدهند، اما فناوری نوآورانه در چشم انداز رقابتی راه را برای رویکردهای جامع تر و پیشرفته تر برای کاهش ریسک در یک سازمان هموار کرد. این باعث شد تا ارائه دهندگان SIEM در نهایت ویژگیهای جدیدی را ارائه دهند که این محصولات پیشرفته را به عنوان راه حل های next-generation SIEM نامیده اند.
مقایسه next-generation SIEM و SIEM
تفاوت عمده بین ابزارهای سنتی SIEM و next-generation SIEM چیست؟ در اصل، هر دو راه حل عملکرد مشابهی دارند، اما SIEMهای قدیمی نمیتوانند با افزایش حجم و پیچیدگی دادهها در چشم انداز تهدید امروزی مقابله کنند. با افزایش پذیرش ابر، فناوریهای تلفن همراه، مراکز داده ترکیبی و نیروی کار راه دور، نسل بعدی SIEM برای پاسخگویی به تقاضای رو به رشد برای تشخیص تهدید و پاسخگویی در سیستمهای متفاوت بسیار مناسبتر هستند.
نسل بعدی SIEM قابلیتهای جدیدی را برای بهبود دید امنیتی و تشخیص تهدید ارائه میکند، در حالی که فرآیند مدیریت بار کاری را برای تیمهای امنیتی ساده میکند. برخی از اجزای اصلی یک نرم افزار نسل بعدی SIEM عبارتند از:
- معماری باز و مقیاسپذیر: توانایی سادهسازی دادهها از سیستمهای متفاوت در سراسر فناوری on-prem، ابری و تلفن همراه، در یک موجودیت واحد.
- ابزارهای تجسم در زمان واقعی: ویژگیهایی که به تیمهای امنیتی کمک میکند تا رویدادهای امنیتی مرتبط را برای ترسیم دقیق حوادث تهدید به تصویر بکشند.
- معماری کلان داده: توانایی جمع آوری و مدیریت مجموعه دادههای بزرگ و پیچیده برای نمایه سازی و جستجوی ساختاریافته و بدون ساختار.
- UEBA: راه حلی برای نظارت بر تغییرات رفتاری در دادههای کاربر برای تشخیص موارد غیرعادی زمانی که انحرافات از الگوهای normal وجود دارد.
- SOAR: فناوری که اقدامات روتین و دستی تحلیلگر را برای افزایش کارایی عملیاتی در سراسر گردش کار واکنش به حادثه خودکار میکند.
در نهایت، با افزایش پذیرش ابر، فنآوریهای تلفن همراه، مراکز داده ترکیبی و نیروی کار از راه دور، SIEMهای مدرن امروزی برای امنیت دادهها و برنامههای کاربردی SaaS در فضای ابری مناسبتر هستند. در بخش بعدی، عمیقتر به رویکردهای استقرار SIEM خواهیم پرداخت.
استقرار فناوری SIEM: Cloud، On-Prem و Hybrid
ابزارهای SIEM می توانند به عنوان یک سرویس مبتنی بر ابر مستقر شوند یا از استقرار اولیه پشتیبانی کنند. این استراتژی تا حد زیادی به نیازهای تجاری و امنیتی بستگی دارد.
استقرار On-Prem SIEM
در اینجا دلایلی وجود دارد که چرا سازمانها امروزه راهحلهای SIEM اولیه را به کار میگیرند.
- کنترل داده ها: الزامات انطباق یک مورد رایج تجاری برای انتخاب استقرار SIEM (یا خود میزبانی) است. ما همیشه آن را با مشتریان LogRhythm می بینیم. برای برخی از سازمان ها، داشتن کنترل و مالکیت کامل بر داده ها و زیرساخت های خود برای فعالیت در صنایع تحت نظارت مانند مراقبت های بهداشتی یا مالی ضروری است.
- سیستمهای قدیمی: بسیاری از سازمانها دارای سیستمهای قدیمی هستند که ادغام با سرویسهای ابری دشوار است و بنابراین برای جلوگیری از اختلال، استقرار خود میزبانی را حفظ میکنند.
- کنترل هزینه: برخی از سازمانها این مدل را ترجیح میدهند، زیرا کنترل بیشتری بر هزینههای عملیاتی جاری مربوط به نگهداری یا ارتقاء سختافزار دارند.
استقرار SIEM مبتنی بر ابر
در دنیای دیجیتال امروزی، بسیاری از مدلهای کسبوکار به SOCها برای ایمن کردن برنامههای SaaS در فضای ابری نیاز دارند. این یکی از نمونههایی است که نشان میدهد چرا بسیاری از سازمانها از یک مدل میزبان مشتری به یک مدل استقرار بومی یا ابر تحویل داده شدهاند. امروزه Cloud SIEM برجسته ترین معماری استقرار است به دلایل بسیاری مانند:
- استقرار سریع: راهحلهای Cloud SIEM را میتوان سریعتر از جایگزینهای داخلی راهاندازی کرد و به سازمانها اجازه میدهد تا زودتر نظارت و محافظت از محیط خود را آغاز کنند.
- مقیاسپذیری: راهحلهای SIEM مبتنی بر ابر میتوانند آسانتر مقیاس شوند تا حجم دادهها، حجم کاری و کاربران در حال رشد را تطبیق دهند.
- سهولت مدیریت: مشتریان Cloud SIEM نیازی به مدیریت زیرساخت های عملیاتی ندارند و می توانند بیشتر بر روی شناسایی و پاسخ به تهدیدات تمرکز کنند، در حالی که ارائه دهنده Cloud SIEM تامین سخت افزار، به روز رسانی نرم افزار و وصله امنیتی را مدیریت می کند.
- انعطافپذیری: راهحلهای Cloud SIEM را میتوان از هر کجا با اتصال به اینترنت در دسترس قرار داد، و آنها را برای سازمانهایی با تیمهای توزیعشده یا نیروی کار از راه دور مناسب میکند.
- کارایی هزینه: در حالی که راهحلهای SIEM ابری شامل هزینههای اشتراک مکرر هستند، اما میتوانند برای سازمانهایی که مدل OpEx (هزینه عملیاتی) را به مدل CapEx (هزینههای سرمایهای) ترجیح میدهند مقرونبهصرفه باشند.
- بازیابی فاجعه: راهحلهای Cloud SIEM ممکن است با قابلیتهای داخلی بازیابی فاجعه و پشتیبانگیری برای کمک به سازمانها در بازیابی سریع از دست دادن داده یا خرابی سیستم ارائه شوند.
استقرار هیبریدی SIEM
برخی از سازمانها از یک رویکرد ترکیبی استفاده میکنند که در آن یک SIEM on-prem را برای دادههای حساس خاص یا سیستمهای قدیمی استفاده میکنند، در حالی که از SIEM مبتنی بر ابر برای سایر بخشهای زیرساخت خود استفاده میکنند.
انتخاب بین استقرار on-prem و cloud SIEM باید بر اساس نیازهای منحصر به فرد سازمان، ملاحظات امنیتی، محدودیت های بودجه و برنامه های رشد آتی باشد.
سرمایه گذاری در راه حل SIEM
قبل از سرمایه گذاری در ابزار SIEM، الزامات کسب و کار خود را جمع آوری کنید و اهداف و اولویت های امنیتی خود را ارزیابی کنید. این میتواند یک سرمایهگذاری پیشاپیش باشد، اما نرمافزار SIEM به تیمهای امنیتی کمک میکند تا به انطباق دست یابند و خطرات را به سرعت کاهش دهند - در صورت وقوع تخلف، کسبوکار را از پیامدهای مالی مهم یا مسائل قانونی نجات میدهد.
هنگام انتخاب یک SIEM، درک کنید که چگونه مدلهای صدور مجوز، هزینه کل واقعی مالکیت (TCO) را تعیین میکنند و رشد آینده را در نظر بگیرید زیرا ممکن است سازمان شما در طول سالها توسعه یابد. بسیار مهم است که یک ارائه دهنده قابل اعتماد پیدا کنید که با نیازهای کسب و کار شما برای مقیاس پذیری بلندمدت مطابقت داشته باشد، در حالی که به تیم شما کمک می کند تا راه حلی را به سرعت اجرا کند تا بالاترین بازده سرمایه را داشته باشد.
پس از استقرار یک SIEM، هنوز کارهای زیادی برای انجام دادن وجود دارد. این ابزاری نیست که بتوانید آن را تنظیم کنید و آن را فراموش کنید. شما باید دائماً فرآیندها و جریانهای کاری امنیتی بالغ را اصلاح کنید. اگرچه ابزارهای SIEM می توانند تجربه تحلیلگر SOC را تا حد زیادی بهبود بخشند، اما نیاز به تنظیمات، تنظیم و آزمایش مناسب دارند. بسیاری از فروشندگان امنیتی محتوای خارج از جعبه یا تخصص تعبیه شده را برای ارائه ارزش فوری ارائه می دهند، اما اولویت بندی موارد استفاده سفارشی شما به همان اندازه مهم است.
پیشاپیش، اطمینان حاصل کنید که شریک امنیتی شما آموزش با کیفیت یا خدمات SOC را برای کمک به ارزیابی و بلوغ امنیتی شما در طول مسیر ارائه می دهد. در صورت نیاز، برخی از سازمان ها به دلیل کمبود منابع از ارائه دهندگان امنیت سرویس مدیریت شده (MSSP) کمک می گیرند.