منو محصولات امنیت دوران / dSIEM

Information Security and Event Management System (SIEM)

Information Security and Event Management System (SIEM) is an approach in managing an organization's security which is a combination of SIM (Information Security Management) and SEM (Security Event Management).

The basic principle of any SIEM system is to collect relevant data from various sources, identify deviations from the rules and take appropriate action. For example, when a potential issue is identified, SIEM may enter additional information, create an alert, and launch other security controls to halt the progress of activities and store them in its knowledge bank.

At the earliest level, in order to create meaning and relationships between events and logs,   SIEM system can be rules-based or run using a correlation engine. Advanced SIEMs have evolved to analyze user behavior, regulate, organize security, and automated response (SOAR).


ماژول Agent

این ابزار بر‌روی سیستم‌های کاربران و سرورها نصب شده و دارای قابلیت‌های زیر می‌باشد:

  • نشانه‌گذاری رویدادهای خاص به‌منظور اهداف معین
  • حذف رویدادهای بی‌مورد
  • تطبیق ترافیک ورودی سیستم با الگوی حمله
  • ارسال رویدادهای سیستمی به Collector
  • بررسی دوره‌ای فایل‌های حیاتی و خاص در مسیر معرفی شده به Agent به منظور گزارش به کاربران SIEM پس از مشاهده هر تغییر
  • تشخیص اتصال USB های غیرمجاز پس از مطابقت با USB های مجاز سیستم (ویژه)
  • بررسی فایل‌های رجیستری ویندوز
  • واکنش به حملات از طریق Agent (ویژه)
  • ارسال گزارش از وضعیت منابع سیستمی
  • تطبیق آسیب‌پذیری‌های سیستمی با قوانین نوشته شده با سیستم همبسته‌سازی

ماژول Collector (سیستم تحلیل کننده رفتار شبکه)

این ماژول وظیفه جمع‌آوری رویدادهای تولید شده در شبکه توسط کاربران، سرورها، تجهیزات شبکه و سنسورهای امنیتی و ارسال آن به سرور مدیریت رویدادها را بر عهده دارد که شامل فرایند زیر می‌باشد:

  • استخراج رویدادها از مولد مواقع با استفاده از Agent
  • دریافت و نرمال‌سازی انواع لاگ ورودی
  • فشرده‌سازی با هدف صرفه‌جویی پهنای باند مورد استفاده در ارسال رویدادها به سیستم مدیریت رویدادها
  • به‌کارگیری روش‌های رمزنگاری جهت حفظ محرمانگی اطلاعات هنگام انتقال از بسترهای عمومی برای انتقال به تجهیزات پردازش و ذخیره‌سازی
  • دریافت رویدادهای انواع تجهیزات و سرویس‌ها
  • افزودن هر نوع تجهیزات خاص به سامانه
  • پشتیبانی از پروتکل‌های SYSLOG، SNMP و ...
  • دریافت نمایش بلادرنگ رویدادها
  • جست‌و‌جوی پیشرفته بر‌روی رویدادهای لحظه به لحظه‌ای و گذشته
  • قابلیت ایجاد پنجره‌های فعال به‌منظور دسته‌بندی، جستجو و دریافت منظم رویدادها
  • تعریف فیلتر مختلف به منظور حذف داده‌های نامرتبط
  • نمایش گراف رویدادهای مورد‌نظر با قدرت مانور فراوان

ماژول آنالایزر Collector

  • دریافت ترافیک NETFLOW از تجهیزات شبکه و امنیت شبکه
  • توزیع‌پذیری در نقاط و نواحی مختلف شبکه
  • تطابق الگوهای از قبل تعریف شده با ترافیک عبوری
  • ایجاد الگوهای حمله مطابق با نیاز سازمان
  • الویت‌بندی دارایی‌ها بر اساس اهمیت و سطح ریسک

ماژول LCME (موتور همبستگی رویدادها)

این بخش به‌عنوان مغز متفکر DSIEM با بررسی ارتباطات وقایع مختلف و با استفاده از اطلاعاتی نظیر آسیب‌پذیری و یا عدم آسیب‌پذیری یک سیستم به یک تهدید، اقدام به تشخیص، ارزش‌گذاری و رتبه‌بندی رویدادهای امنیتی در شبکه می نماید.

  • تحلیل و شناسایی برخط عملیات
  • تشخیص حملات چند مرحله‌ای با قابلیت زمان‌بندی مشخص
  • برقراری ارتباط بین حسگرهای امنیتی با رویدادهای امنیتی از حسگرهای شبکه
  • مشخص نمودن هشدارهای اشتباه به‌منظور حذف آنها در آینده
  • تعیین معیارهای تطابق و صدور هشدار در صورت نقض تطابق‌های امنیتی
  • قوانین همبسته‌سازی مشخص شده توسط تیم امنیتی دوران و منابع معتبر
  • ایجاد قوانین همبسته‌سازی منطبق با نیازهای سازمان و مشتری
  • تنظیم خودکار حساسیت تحلیل حملات برای دارایی‌های سازمان با ارزش‌های متفاوت
  • تشخیص و شناسایی حملات، از طریق رویدادها و آسیب‌پذیری دارایی
  • استثنا نمودن تشخیص‌های اشتباه گزارش‌گیری به ازای هر سرویس و هر سیستم
  • نمایش دیاگرام‌ها و نمودارهای گرافیکی انواع حملات بر روی دارایی‌ها در بازه‌های زمانی مشخص
  • شناسایی IP های مخرب کشورها با بیشترین حجم حملات
  • تشخیص و ایجاد حساسیت بر‌روی آدرس‌های مشکوک و مخرب داخل سازمان
  • امکان مدیریت دانش و سفارشی‌سازی برای سازمان‌ها
  • امکان بروز‌رسانی آنلاین و آفلاین

ماژول‌های مکمل مقابله با حوادث LCME

  • سیستم Ticketing
  • اعلان حوادث به‌صورت ایمیل، پیامک و هشدار صوتی
  • رسیدگی خودکار به حوادث ویژه
  • هشدار بلادرنگ و الویت‌بندی شده
  • تعریف قالب‌های هشدار توسط راهبر سیستم
  • نگهداری و مدیریت پایگاه دانش شامل مستندات مربوط به اقدام مقابله با حوادث
  • دریافت و آنالیز ترافیک NETFLOW جهت شناسایی حملات DDOS و DOS

رابط گرافیکی LCME

  • پشتیبانی از داشبوردهای متنوع
  • سفارشی‌سازی داشبوردها برای کاربردهای خاص
  • نمایش متمرکز وضعیت‌های منابع سخت‌افزاری
  • واسط کاربری مبتنی بر وب و امکان دسترسی از راه‌دور
  • مدیریت متمرکز از تمامی حسگرها
  • پشتیبانی از قالب‌های گزارش گیری پیش‌فرض متنوع و امکان سفارشی‌سازی آن
  • ایجاد کاربران با سطوح دسترسی مختلف
  • سیستم پشتیبان‌گیری خودکار

سیستم مدیریت رویدادها / LCME

سیاست‌های امنیت یک سازمان به عهده دارد.

قابلیت‌ها

  • ذخیره‌سازی بلند‌مدت رویدادهای دریافتی از سرور
  • فشرده‌سازی کلیه رویدادهای امنیتی به نسبت 10:01
  • امکان تهیه گزارش از رویدادهای ذخیره شده به صورت لحظه‌ای و دوره‌ای
  • جستجوی پیشرفته بر روی رویدادهای فشرده به‌منظور FORENSIC INVESTIGATION
  • قابلیت ذخیره‌سازی رویدادها بر روی REMOTE STORAGE
  • حفظ محرمانگی در ارسال و دریافت رویدادها
6.1.7.0
گروه دورانV6.1.7.0