SIEM چیست

در این مقاله تصمیم داریم در رابطه با اینکه SIEM چیست و نحوه عملکرد و کاربرد آن در شناسایی تهدیدات پیشرفته چگونه می باشد توضیحاتی را ارائه نماییم.

SIEM چیست؟

راهکارهای امنیت اطلاعات و مدیریت رویدادها یا به اختصار SIEM با استفاده از قوانین و همبستگی‌های موجود در رخدادها، گزارش‌ها و رویدادهای سیستم‌های امنیتی را به اطلاعات کاربردی تبدیل می‌کنند. این اطلاعات در شناسایی تهدیدها به‌صورت Real-Time، مدیریت واکنش به حوادث، تحقیقات جرم‏شناسی درباره‌ی حوادث امنیتی گذشته و آماده‌سازی Auditها برای اهداف تطبیق‌پذیری، به تیم‌های امنیتی کمک می‌کند.
مارک نیکولت و امریت ویلیامز در سال 2005 اصطلاح SIEM را در گزارش شرکت تحقیقاتی گارتنر، به نام Improve IT Security with Vulnerability Management ساختند و بر مبنای دو نسل قبل‌تر یک سیستم اطلاعات امنیتی عرضه کردند.

مدیریت اطلاعات امنیتی یا به اختصار SIM

نسل اول است که بر مبنای مجموعه‌ی قدیمی جمع‌آوری گزارش‌ها و سیستم‌های مدیریتی ساخته شده بود و امکاناتی از این قبیل را ارائه می‌کرد: حافظه‌ی بلند مدت، تجزیه و تحلیل و گزارش درباره‌ی دیتای Log و ترکیب Logها با هوش تهدیدات.
 

SIEM چیست؟ مزایای استفاده از Splunk Enterprise Security در سازمان ها
مشاهده ویدیوهای بیشتر

مدیریت رویدادهای امنیتی یا به اختصار SEM

نسل دوم است که به مواردی از قبیل جمع آوری رویدادهای‌ امنیتی، برقراری ارتباط و انتشار اطلاعیه درباره‌ی رویدادهای سیستم‌های امنیتی از جمله آنتی‌ویروس‌ها، فایروال‌ها و IDSها می‌پردازد. همچنین به رویدادهایی توجه می‌کند که مستقیما از طریق Authentication، SNMP Trapها، سرورها و دیتابیس‌ها گزارش می‌شوند.

  • در سال‌های بعد، Vendorها برای ایجاد راهکارهای SIEM، سیستم‌هایی عرضه کردند که امکان مدیریت و آنالیز گزارش‌های امنیتی (SIM) و همچنین مدیریت رویدادها (SEM) را فراهم می‌کرد.
  • پلتفرم‌های SIEM Security می‌توانند هم دیتای گزارش‌های قدیمی و رویدادهای Real-Time را گردآوری کنند و هم می‌توانند با ایجاد روابط و پیوندهایی به مدیران امنیتی کمک کند نابهنجاری‌ها، آسیب‌پذیری‌ها و رویدادها را شناسایی نمایند.
  • تمرکز اصلی بر رویدادها و حوادث مرتبط با امنیت است که از جمله‌ی ‌آن‌ها می‌توان به Loginهای موفق یا ناموفق، فعالیت‌های بدافزارها و افزایش امکانات اشاره کرد.
  • این اطلاعات ممکن است به‌صورت اعلان و هشدار ارسال شوند یا ممکن است تحلیلگران امنیتی که از ابزارهای Visualization و Dashboarding پلتفرمِ SIEM استفاده می‌کنند، متوجه آن‌ها شوند.