سیستم امنیت اطلاعات و مدیریت رویداد (SIEM)
سیستم امنیت اطلاعات و مدیریت رویداد (SIEM) یک رویکرد برای مدیریت امنیت سازمان است که ترکیبی از SIM (مدیریت امنیت اطلاعات) و SEM (مدیریت رویداد امنیتی) است. اصول اساسی هر سیستم SIEM جمع آوری داده های مربوطه از منابع مختلف، شناسایی انحراف از قانون و اقدام مناسب است. برای مثال، هنگامی که یک مسئله بالقوه شناسایی می شود، SIEM ممکن است اطلاعات اضافی را وارد کند، یک هشدار را ایجاد کند و سایر کنترل های امنیتی را برای توقف پیشرفت فعالیت ها راه اندازی کرده و در بانک دانش خود ذخیره نماید.
در ابتدای ترین سطح، یک سیستم SIEM برای ایجاد رابطه و معنی بین Event ها و Log ها می تواند براساس قوانین (rules-based) عمل کند و یا با استفاده از یک موتور همبستگی آماری ( correlation engine) کار کند. SIEM های پیشرفته به منظور تجزیه و تحلیل رفتار کاربر، تنظیم، سازماندهی کردن امنیت و پاسخ خودکار (SOAR) تکامل یافته اند.
امروزه اکثر سیستم های SIEM از روش های سلسله مراتبی برای جمع آوری عوامل متعددی مانند جمع آوری وقایع مربوط به امنیت دستگاه های End Point، سرور ها، تجهیزات شبکه، و همچنین تجهیزات امنیتی تخصصی مانند فایروال ها، سیستم های ضد ویروس یا سیستم های نفوذ، استفاده و کار می کنند. کالکتورها یا سنسورها رویدادها را به یک کنسول مدیریت متمرکز منتقل می کنند که در آن تحلیلگران امنیتی وقایع امنیتی را مدیریت می کنند. در اینجا برخی از مهمترین ویژگی هایی که هنگام ارزیابی محصولات SIEM مورد بررسی قرار می گیرند، وجود دارد:
• ادغام با کنترل های دیگر - آیا سیستم می تواند دستورات دیگر کنترل های امنیتی سازمانی را برای جلوگیری یا متوقف کردن پیشرفت حملات به کار گیرد؟
هوش مصنوعی - آیا می توان سیستم از طریق دستگاه و یادگیری عمیق دقت خود را بهبود بخشد؟
گزارش سازگاری کامل - آیا سیستم شامل گزارش های ساخته شده برای نیازهای انطباق مشترک است و سازمان را قادر به سفارشی کردن یا ایجاد گزارش های مربوط به انطباق می کند؟
• تهدید اطلاعات هوشمند - آیا سیستم میتواند از اطلاعات تهدید کننده به انتخاب سازمان پشتیبانی کند و یا اینکه مجوز استفاده از یک خوراک خاص را داشته باشد؟
• گزارش پیروی از اطمینان - آیا سیستم شامل گزارش های داخلی برای نیازهای انطباق مشترک (common compliance) است و سازمان را قادر به سفارشی کردن یا ایجاد گزارش compliance جدید می کند؟
قابلیت های قانونی - آیا سیستم اطلاعات ضبط شده در مورد رویدادهای امنیتی با ضبط هدرها و محتویات بسته هایی که مورد توجه هستند، را می تواند بگیرد؟
سیستم امنیت اطلاعات و مدیریت رویداد دوران که dSIEM نامیده می شود نیز از ساختار سلسه مراتبی استفاده می کند. به این صورت که سنسور یا سنسور های تعریف شده در سیستم تمامی لاگ های مختلف شبکه را جمع آوری کرده و پس از نرمال سازی و فشرده سازی به سمت سرور خود ارسال نموده تا در آن تحلیلگر امنیتی سیتسم با بررسی لاگ های متعدد از تمامی دستگاه های شبکه به مدیران ارشد شبکه کمک کند که از حملات متعدد در شبکه جلوگیری کنند.
سیستم امنیت اطلاعات و مدیریت رویداد دوران (dSIEM) از چهار ماژول تشکیل شده است :
· Agent
· Collector
· LCME
· OnlineDashboard
Agent
این ابزار یر روی سیستم های کاربران و سرور ها نصب شده و دارای قابلیت های زیر می باشد :
· نشانه گذاری رویداد های خاص به منظور اهداف معین
· حذف رویدادهای بی مورد
· تطبیق ترافیک ورودی سیستم با الگوی حمله
· ارسال رویدادهای سیستمی به Collector
· بررسی دوره ای فایل های حیاتی و خاص در مسیر معرفی شده به Agent به منظور گزارش به کاربران SIEM پس از مشاهده هر تغییر
· تشخیص اتصال USB های غیر مجاز پس از مطابقت با USB های مجاز سیستم (ویژه)
· بررسی فایل های رجیستری ویندوز
· واکنش به حملات از طریق Agent (ویژه)
· ارسال گزارش از وضعیت منابع سیستمی
· تطبیق اسیب پذیری های سیستمی با قوانین نوشته شده با سیستم همبسته سازی
سیستم تحلیل کننده رفتار شبکه / Collector
این ماژول وظیفه جمع آوری رویداد های تولید شده در شبکه توسط کاربران، سرورها، تجهیزات شبکه و سنسورهای امنیتی و ارسال آن به سرور مدیریت رویدادها را بر عهده دارد که شامل فرآیند زیر می باشد:
· استخراج رویداد ها از مولد مواقع با استفاده از Agent
· دریافت و نرمال سازی انواع لاگ ورودی
· فشرده سازی با هدف صرفه جویی پهنای باند مورد استفاده در ارسال رویدادها به سیستم مدیریت رویدادها
· به کارگیری روش های رمزنکاری جهت حفظ محرمانگی اطلاعات هنگام انتقال از بستر های عمومی برای انتقال به تجهیزات پردازش و ذخیره سازی
· دریافت رویدادهای انواع تجهیزات و سرویس ها
· افزودن هرنوع تجهیزات خاص به سامانه
· پشتیبانی از پروتکل های SNMP , SYSLOG و...
· دریافت نمایش بلادرنگ رویدادها
· جست و جوی پیشرفته برروی رویدادهای لحظه به لحظه ای و گذشته
· قابلیت ایجاد پنجره های فعال به منظور دسته بندی، جست و جو و دریافت منظم رویدادها
· تعریف فیلتر مختلف به منظور حذف داده های نامرتبط
· نمایش گراف رویدادهای مورد نظر با قدرت مانور فراوان
ماژول آنالایزر Collector
· دریافت ترافیک NETFLOW از تجهیزات شبکه و امنیت شبکه
· توزیع پذیری در نقاط و نواحی مختلف شبکه
· تطابق الگوهای از قبل تعریف شده با ترافیک عبوری
· ایجاد الگوهای حمله مطابق با نیاز سازمان
· اولویت بندی دارایی ها براساس اهمیت و سطح ریسک
موتور همبستگی رویدادها / LCME
این بخش به عنوان مغز متفکر DSIEM با بررسی ارتباطات وقایع مختلف و با استفاده از اطلاعاتی نظیر آسیب پذیری و یا عدم آسیب پذیری یک سیستم به یک تهدید، اقدام به تشخیص، ارزش گذاری و رتبه بندی رویدادهای امنیتی در شبکه می نماید.
· تحلیل و شناسایی برخط عملیات
· تشخص حملات چند مرحله ای با قابلیت زمانبندی مشخص
· برقراری ارتباط بین حسگرهای امنیتی با رویدادهای امنیتی از حسگرهای شبکه
· مشخص نمودن هشدارهای اشتباه به منظور حذف آنها در آینده
· تعیین معیار های تطابق و صدور هشدار در صورت نقص تطابق های امنیتی
· قوانین همبسته سازی مشخص شده توسط تیم امنیتی دوران و منابع معتبر
· ایجاد قوانین همبسته سازی منطبق با نیازهای سازمان و مشتری
· تنظیم خودکار حساسیت تحلیل حملات برای داریی های سازمان با ارزش های متفاوت
· تشخیص و شناسایی حملات، از طریق رویدادها و آسیب پذیری دارایی
· استثنا نمودن تشخیص های اشتباه گزارشگیری به ازای هر سرویس و هر سیستم
· نمایش دیاگرام ها و نمودار های گرافیکی انواع حملات بر روی دارایی ها در بازه های زمانی مشخص
· شناسایی IP های مخرب کشورها با بیشترین حجم حملات
· تشخیص و ایجاد حساسیت بر روی آدرس های مشکوک و مخرب داخل سازمان
· امکان مدیریت دانش و سفارشی سازی برای سازمان ها
· امکان بروز رسانی آنلاین و آفلاین
ماژول مکمل مقابله با حوادث LCME
· سیستم Ticketing
· اعلان حوادث ب صورت ایمیل، پیامک و هشدار صوتی
· رسیدگی خودکار به حوادث ویژه
· هشدار بلادرنگ و اولویت بندی شده
· تعریف قالب های هشدار توسط راهبر سیستم
· نگهداری و مدیریت پایگاه دانش شامل مستندات مربوط به اقدام مقابله با حوادث
· دریافت و آنالیز ترافیک NETFLOW جهت شناسایی حملات DDOS و DOS
رابط گرافیکی LCME
· پشتیبانی از داشبوردها متنوع
· سفارشی سازی داشبوردها برای گاربرد های خاص
· نمایش متمرکز وضعیت های منابع سخت افزاری
· واسط کاربری مبتنی بر وب و امکان دسترسی از راه دور
· مدیریت متمرکز از تمامی حسگر ها
· پشتیبانی از قالب های گزارش گیری پیش فرص متنوع و امکان سفارشی سازی آن
· ایجاد کاربران با سطوح دسترسی مختلف
· سیستم پشتیبان گیری خودکار
ماژول TRM
یکی از مهمترین قسمت های پروژه های امنیتی، اعمال تنظیمات امنیتی بر روی تجهیزات شبکه به منظور جلوگیری از نفوذ بسته های مخرب شناسایی شده پس از تحلیل در سیستم DSIEM می باشد . انجام این تنظیمات با توجه به تعداد زیاد و متنوع بالای رویداد ها در شبکه باید پی در پی انجام شود.
ماژول TRM بخشی از LCME می باشد که بنا به درخواشت مشتری فعال می گردد. این ماژول بتنا به خروجی های LCME به صورت کاملا هوشمند و خودکار تنظیمات امنیتی را با توجه به سیاست ها و تجهیزات سازمان بر روی تجهیزات امنیتی شبکه انجام می شود.
سیستم مدیریت رویدادها / LCME
این ابزار وظیفه ذخیره سازی رویدادهای جمع آوری شده جهت تحلیل و یا گزارش ها را در بازه های زمانی متفاوت بنا به سیاست های امنیت یک سازمان به عهده دارد.
قابلیت ها:
· ذخیره سازی بلند مدت رویدادهای دریافتی از سرور
· فشرده سازی کلیه رویدادهای امنیتی به نسبت 10:1
· امکان تهیه گزارش از رویدادهای ذخیره شده به صورت لحظه ای و دوره ای
· جست و جوی پیشرفته بر روی رویدادهای فشرده به منظور FORENSIC INVESTIGATION
· قابلیت ذخیره سازی رویدادها بر روی REMOTE STORAGE
· حفظ محرمانگی در ارسال و دریافت رویدادها
