کلمه SIEM مخفف عبارت (Security Information and Event Management) می باشد.
SIEM به معنای مدیریت رویدادها و راه کارهای امنیت اطلاعات می باشد و از دو بخش، مدیریت وقایع (SEM) و مدیریت امنیت اطلاعات (SIM) تشیکل شده است. این اصطلاح نخستین بار توسط امریت ویلیامز و مارک نیکولت در سال ۲۰۰۵ با تکمیل یک گزارش تحقیقاتی برای شرکت گارتر ابداع شد.
کاربرد SIEM
ابتدایی ترین و اولین کاربرد هر SIEM متمرکز ساختن تمام اعلان های امنیتی (Notification) از تکنولوژی های مختلف امنیتی به کار رفته در سازمان ها مثل سیستم های IDS/IPS، آنتی ویرس ها، فایروال ها و.. میباشد.
نقاط دستیابی سرور های Active Directory و همینطور Access Pointها که همگی روزانه هشدارهای امنیتی زیادی را ایجاد می کنند که به کمک SIEM می توانید تمامی این موارد را با یک مجموعه از گزارشات و یک سیستم متمرکز شده برای ایجاد Notification ها در یک مکان جمع آوری شده را به کار بگیرید که معمولا به این راه حل، راهکار تجمیع Log ها می گویند.
دومین کاربرد اصلی SIEM فراهم کردن گزارش گیری و loging برای اهداف تطبیق پذیر می باشد. تقریبا به ازای هر یک از مقررات الزاماتی برای Log کردن دسترسی کاربر، تطبیق پذیری، ردیابی تغییرات سیستم و مانیتور کردن پایبندی بهPolicy های سازمانی وجود دارد.
یک راهکار SIEM مناسب می تواند این task ها را بسیار آسان تر کند و این کار را با جمع آوری داده از تمامی سیستم های شما انجام می دهد. وقتی زمان ممیزی یا امتحان برسد شما می توانید به سادگی گزارشات تطبیق پذیری مناسبی را ایجاد کنید و آنها را به افراد مناسب ارسال کنید. البته برای اینکه SIEM شما کارآمد شود، باید به صورت Built-in دارای گزارشات مورد نیاز و یک عملکرد تطبیق پذیر باشد. البته همه SIEM ها اینگونه نیستند.
سومین کاربرد SIEM که از مهمترین کاربرد آن می باشد تجزیه و تحلیل خودکارسازی شده از تمامی Log های رخداد خام از سرتاسر شبکه شما و همبستگی متقابل (Cross-Correlation) است.
عملکرد SIEM
فرض کنید SIEM شما یک هشدار از IDS دریافت می کند و به شما می گوید که یک حمله SQL Injection را در یکی از سرورهای شما شناسایی نموده است. خوب این یک اعلان نگران کننده است این ها هشدارهایی هستند که ممکن است نیمه شب شما را از خواب بیدار کنند البته با فرض اینکه SQL Server داشته باشید. بسیاری از SIEM ها نوع سروری که اجرا می کنید را مدنظر قرار نمی دهند که همین کار باعث بروز خطاهای زیادی در اعلام هشدار می شود و این خطاها عملا SIEM شما را بی فایده می کنند.
یک راهکار SIEM کامل درک می کند که چه برنامه های کاربردی را اجرا می کند؟ سرور چیست؟ چه نوع پیکربندی دارد؟ داشتن این اطلاعات از خطا در اعلام هشدار پیشگیری می کند. یعنی فقط وقتی از خواب بیدار می شوید که لازم است کاری را انجام دهید.
در مقابل یک راهکار SIEM حقیقی، پیکربندی کامل، برنامه های کاربردی در حال اجرا و اطلاعات دیگر را از تمام دستگاه های دیگر دریافت می کند تا زمینه حیاتی را به رخدادها و Notification ها بیفزاید. این امر به SIEM این توانایی را می دهد که متوجه تغییرات دستگاه های حیاتی، مانند روترها، و فایروال ها شود و در صورت رخ دادن تغییرات غیر مجاز Notification ایجاد کند.
یک راهکار کامل همچنین Feed های هوش تهدیدات، لیست های سیاه و داده های معین شده موقعیت فیزیکی را با هم ترکیب می کند تا دقت عمل را بیش از پیش افزایش دهد و اطمینان حاصل گردد که Notification ها عملی هستند و خطاها در اعلام هشدار به طور چشمگیری کاهش می یابد.
ضرورت SIEM
جدا از اینکه اکثر بدافزارها و دیگر ابزارهای متداول هکرها دارای رمزگذاری Built-in هستند تا از این سیستم ها عبور کنند.
پس با وجود اینکه، این ها راهکارهایی عالی برای نیازهای خاص هستند. قطعا نیاز به SIEM را از بین نبرده و حتی آن را کاهش هم نمی دهند. دلایل بسیار زیادی برای داشتن یک SIEM وجود دارد. اول از همه برای از بین بردن نقاط کور باید تمامی اطلاعات امنیتی و رخدادهای خود را در یک مکان واحد جمع آوری کرد. و باید بتوانید بدون اینکه توسط اعلام هشدار درگیر خطا شوید، رفتارهای مشکوک را شناسایی کنید.
همبستگی و تجزیه و تحلیل دقیق، به شما این توانایی را می دهد که پیش از اینکه این مشکلات تبدیل به نقض امینتی شوند، آن ها را شناسایی کنید. قابلیت دید جامع از طریق یک SIEM به شما این توانایی را می دهد که Policyهای سازمانی را مانتیور و اعمال نمایید. و در نهایت، الزامات مبتنی بر مقررات، از جمله HIPAA و PCI و FFIEC عملا از شما می خواهند که SIEM را در سازمان و یا اداره خود داشته باشید.
منبع: وب سایت کالی بویز
بیشتر بخوانید:
