ماژول Agent
این ابزار برروی سیستمهای کاربران و سرورها نصب شده و دارای قابلیتهای زیر میباشد:
- نشانهگذاری رویدادهای خاص بهمنظور اهداف معین
- حذف رویدادهای بیمورد
- تطبیق ترافیک ورودی سیستم با الگوی حمله
- ارسال رویدادهای سیستمی به Collector
- بررسی دورهای فایلهای حیاتی و خاص در مسیر معرفی شده به Agent به منظور گزارش به کاربران SIEM پس از مشاهده هر تغییر
- تشخیص اتصال USB های غیرمجاز پس از مطابقت با USB های مجاز سیستم (ویژه)
- بررسی فایلهای رجیستری ویندوز
- واکنش به حملات از طریق Agent (ویژه)
- ارسال گزارش از وضعیت منابع سیستمی
- تطبیق آسیبپذیریهای سیستمی با قوانین نوشته شده با سیستم همبستهسازی
ماژول Collector (سیستم تحلیل کننده رفتار شبکه)
این ماژول وظیفه جمعآوری رویدادهای تولید شده در شبکه توسط کاربران، سرورها، تجهیزات شبکه و سنسورهای امنیتی و ارسال آن به سرور مدیریت رویدادها را بر عهده دارد که شامل فرایند زیر میباشد:
- استخراج رویدادها از مولد مواقع با استفاده از Agent
- دریافت و نرمالسازی انواع لاگ ورودی
- فشردهسازی با هدف صرفهجویی پهنای باند مورد استفاده در ارسال رویدادها به سیستم مدیریت رویدادها
- بهکارگیری روشهای رمزنگاری جهت حفظ محرمانگی اطلاعات هنگام انتقال از بسترهای عمومی برای انتقال به تجهیزات پردازش و ذخیرهسازی
- دریافت رویدادهای انواع تجهیزات و سرویسها
- افزودن هر نوع تجهیزات خاص به سامانه
- پشتیبانی از پروتکلهای SYSLOG، SNMP و ...
- دریافت نمایش بلادرنگ رویدادها
- جستوجوی پیشرفته برروی رویدادهای لحظه به لحظهای و گذشته
- قابلیت ایجاد پنجرههای فعال بهمنظور دستهبندی، جستجو و دریافت منظم رویدادها
- تعریف فیلتر مختلف به منظور حذف دادههای نامرتبط
- نمایش گراف رویدادهای موردنظر با قدرت مانور فراوان
ماژول آنالایزر Collector
- دریافت ترافیک NETFLOW از تجهیزات شبکه و امنیت شبکه
- توزیعپذیری در نقاط و نواحی مختلف شبکه
- تطابق الگوهای از قبل تعریف شده با ترافیک عبوری
- ایجاد الگوهای حمله مطابق با نیاز سازمان
- الویتبندی داراییها بر اساس اهمیت و سطح ریسک
ماژول LCME (موتور همبستگی رویدادها)
این بخش بهعنوان مغز متفکر DSIEM با بررسی ارتباطات وقایع مختلف و با استفاده از اطلاعاتی نظیر آسیبپذیری و یا عدم آسیبپذیری یک سیستم به یک تهدید، اقدام به تشخیص، ارزشگذاری و رتبهبندی رویدادهای امنیتی در شبکه می نماید.
- تحلیل و شناسایی برخط عملیات
- تشخیص حملات چند مرحلهای با قابلیت زمانبندی مشخص
- برقراری ارتباط بین حسگرهای امنیتی با رویدادهای امنیتی از حسگرهای شبکه
- مشخص نمودن هشدارهای اشتباه بهمنظور حذف آنها در آینده
- تعیین معیارهای تطابق و صدور هشدار در صورت نقض تطابقهای امنیتی
- قوانین همبستهسازی مشخص شده توسط تیم امنیتی دوران و منابع معتبر
- ایجاد قوانین همبستهسازی منطبق با نیازهای سازمان و مشتری
- تنظیم خودکار حساسیت تحلیل حملات برای داراییهای سازمان با ارزشهای متفاوت
- تشخیص و شناسایی حملات، از طریق رویدادها و آسیبپذیری دارایی
- استثنا نمودن تشخیصهای اشتباه گزارشگیری به ازای هر سرویس و هر سیستم
- نمایش دیاگرامها و نمودارهای گرافیکی انواع حملات بر روی داراییها در بازههای زمانی مشخص
- شناسایی IP های مخرب کشورها با بیشترین حجم حملات
- تشخیص و ایجاد حساسیت برروی آدرسهای مشکوک و مخرب داخل سازمان
- امکان مدیریت دانش و سفارشیسازی برای سازمانها
- امکان بروزرسانی آنلاین و آفلاین
ماژولهای مکمل مقابله با حوادث LCME
- سیستم Ticketing
- اعلان حوادث بهصورت ایمیل، پیامک و هشدار صوتی
- رسیدگی خودکار به حوادث ویژه
- هشدار بلادرنگ و الویتبندی شده
- تعریف قالبهای هشدار توسط راهبر سیستم
- نگهداری و مدیریت پایگاه دانش شامل مستندات مربوط به اقدام مقابله با حوادث
- دریافت و آنالیز ترافیک NETFLOW جهت شناسایی حملات DDOS و DOS
رابط گرافیکی LCME
- پشتیبانی از داشبوردهای متنوع
- سفارشیسازی داشبوردها برای کاربردهای خاص
- نمایش متمرکز وضعیتهای منابع سختافزاری
- واسط کاربری مبتنی بر وب و امکان دسترسی از راهدور
- مدیریت متمرکز از تمامی حسگرها
- پشتیبانی از قالبهای گزارش گیری پیشفرض متنوع و امکان سفارشیسازی آن
- ایجاد کاربران با سطوح دسترسی مختلف
- سیستم پشتیبانگیری خودکار
سیستم مدیریت رویدادها / LCME
سیاستهای امنیت یک سازمان به عهده دارد.
قابلیتها
- ذخیرهسازی بلندمدت رویدادهای دریافتی از سرور
- فشردهسازی کلیه رویدادهای امنیتی به نسبت 10:01
- امکان تهیه گزارش از رویدادهای ذخیره شده به صورت لحظهای و دورهای
- جستجوی پیشرفته بر روی رویدادهای فشرده بهمنظور FORENSIC INVESTIGATION
- قابلیت ذخیرهسازی رویدادها بر روی REMOTE STORAGE
- حفظ محرمانگی در ارسال و دریافت رویدادها