FortiSIEM

معرفی FortiSIEM

(SIEM Security Information and Event Management) :

راه‌حل‌های جامع مدیریت اطلاعات و رخدادهای امنیتی

SIEM تکنولوژی امنیتی سطح بالا و گران‌قیمتی محسوب می‌شود که همبسته‌سنجی (Correlation) کارکرد اساسی این فناوری است. از SIEM به‌عنوان یک راه حل در شبکه‌هایی با ابعاد کوچک به صورت تکی و به‌حالت چند تجهیز در معماری‌های توزیع‌شده در شبکه‌های بزرگ بهره‌گرفته می‌شود. لاگ‌ها و همین‌طور هشدارهای دریافتی از منابع گوناگون، توسط SIEM پردازش شده و آنالیز آن به صورت خروجی‌های گوناگون قابل ارائه است. SIEM از ماژول‌های مختلفی بهره می‌برد که عبارتند از:

• مدیریت لاگ : مجهز به Collector که وظیفه جمع‌آوری، فیلترینگ ویکسان‌سازی فرمت لاگ را برعهده دارد و نیز پشتیبانی از نگهداری و آرشیو لاگ
• مجهز به موتور همبسته‌سنجی : قابلیت کشف همبستگی رخدادهای شناسایی‌شده میان منابع مختلف مانند firewall، routerو سیستم عامل سرور. در صورتی که تعدادی از تجهیزات در فرایند لاگین به سرور ناموفق عمل‌کنند می‌تواند Brute Force رخ دهد حال آنکه دلیل این رخداد هیچ‌کدام از لاگ‌ها ممکن است نباشند. این مثالی ساده از همبستگی مبتنی بر بررسی تکرار یک رخداد است. موتور همبسته‌سنجی دارای چند ماژول اصلی است که با اعمال توابع روی آلارم‌ها و لاگ‌ها منجر به تشخیص نفوذ می‌شود. این ماژول‌ها عبارتند از:

• نرمال‌سازی: وظیفه یکسان‌سازی فرمت هشدارها
• پیش‌پردازی: اضافه‌کردن گزینه‌های لازم به هشدار نرمال‌شده
• پیوند هشدار: در صورت بروز یک حمله مشابه، هشدارهای تکراری و دوباره را حذف می‌کند.
• درست‌یابی هشدار: شناسایی هشدارهای مربوط به حملات ناموفق و به دنبال آن کاهش تأثیر هشدارها بر فرایند همبسته‌سنجی
• بازسازی Thread: ترکیب هشدارهای چندین حمله با مبدا و مقصد یکسان که منجر به شناسایی هدف و تعداد حملات نفوذگر می‌شود.
• بازسازی نشست حمله: ایجاد ارتباط بین هشدارهای شبکه و هشدارهای میزبان‌های متناظر
• شناسایی اهداف تحت تمرکز: شناسایی اهداف اساسی که نفوذگر روی آن متمرکز شده است.

• همبسته‌سنجی چندمرحله‌ای: شناسایی حملات چندمرحله‌ای روی دستگاه‌های گوناگون با اهداف مختلف
• تحلیل اثر: آنالیز تأثیر مخرب حملات شناسایی‌شده
• اولویت‌بندی: ارائه گزارش‌نهایی برطبق حملات اولویت‌بندی‌شده براساس تأثیر حملات
• پایگاه دانش امنیتی: استفاده از اطلاعات امنیتی دریافت شده از منابع مختلف در آنالیز رخدادها توسط SIEM انجام می‌شود. پایگاه دانش ماژول دریافت و پردازش اطلاعات است که این اطلاعات را در اختیار SIEM قرار می‌دهد. هم‌چنین نگهداری قواعد همبسته‌سنجی، امضاهای حملات، توصیه‌های برندهای معتبر امنیتی برعهده پایگاه دانش است.

• کنسول مدیریت و داشبورد: SIEM برای ارائه راهکار مانند تمامی تجهیزات شبکه به رابط مناسب نیاز دارد داشبوردهای امنیتی ، اطلاعات شخصی‌سازی شده را به صورت Real-Time ارائه می‌دهد و به تحلیل‌گران SOC کمک‌می‌کند.
• ارزیابی آسیب‌پذیری: از طریق این ماژول وضعیت امنیت شبکه به طور مداوم رصد می‌شود و در بهینه‌سازی خروجی‌ها ، از اطلاعات آسیب‌پذیری دریافتی بهره‌گرفته می‌شود.
• مدیریت پیکربندی: در SIEM اطلاعات مربوط به دارایی‌های شبکه سیو می‌شود این اطلاعات دربرگیرنده آدرس تا نوع سیستم‌عامل، ورژن سرویس و … است . به‌عنوان مثال درصورتی که هشدار False Positive مرتبط با ورژن سیستم عامل که در شبکه نیست، دریافت شود،وظیفه حذف آن بر عهده SIEM است.

در شرایطی که امنیت اطلاعات بسیار اهمیت دارد تولیدکنندکان بسیاری برای راهکار  SIEM وجود دارد یکی از این شرکت‌ها، شرکت معتبر Fortinet‌است که راهکار جامع SIEM‌را تحت عنوان FortiSIEM ارائه می‌دهد. FortiSIEM به صنایع خاص کمک می‌کند تا اطلاعات خصوصی خود را از حملات در امان نگه دارند، اما FortiSIEM فقط یک صنعت را پوشش نمی‌دهد بلکه چندین کشور را نیز تحت پوشش خود قرار می‌دهد. بهداشت و درمان، پیمانکاران دولتی، مؤسسات مالی، آموزش عالی، MSP و MSSP، ارائه‌دهندگان خدمات حقوقی، ارتباطات از راه دور و شرکت‌های بزرگ خرده‌فروشی همه می‌توانند به FortiSIEM اعتمادکنند. افزون بر دامنه گسترده‌ای که FortiSIEM در اختیار شما قرار می‌دهد ، شرکت Fortinet‌یکی از معتبرترین رهبران در صنعت امنیت سایبر است. به مدت ۱۹ سال، فورتی‌نت به توسعه تخصص خود در زمینه امنیت آنلاین پرداخته است و تاکنون با وجود چیزهای مختلفی که برای نظارت برآنها نیاز دارید – نقاط پایانی، ابزارهای امنیتی، برنامه‌های کاربردی، VM و Cloud – راه‌حل امنیتی و مدیریت رخدادها را ساده می‌کند.