القائمة الرئيسية

الصفحات

ما هي حلول الـ SIEM؟ الفوائد والأدوات والاستراتيجيات

ما هو الـ SIEM؟ الفوائد والأدوات والاستراتيجيات

ما هي حلول الـ SIEM؟ الفوائد والأدوات والاستراتيجيات

تواجه المنظمات اليوم تحديًا هائلاً يتمثل في تأمين بياناتها لأنها تستفيد من الإنترنت لإجراء الأعمال.


سبب التحدي؟

 يعمل المهاجمون باستمرار على تطوير تهديدات جديدة لاستغلال الأنظمة الضعيفة ، والهواتف الذكية ، وتطبيقات الهاتف المحمول ، وأجهزة إنترنت الأشياء ، ومعدات الشبكة ، وأي شيء متصل بالإنترنت بشكل أساسي.


يمكن أن يكون عدد الأحداث التي تم تسجيلها من مصادر البيانات المتعددة هذه هائلاً ويمكن أن يؤدي إلى ضعف التعرف على هجوم حقيقي قيد التشغيل أو واحد يؤدي إلى إتلاف الأنظمة بشكل فعال. من أجل الحصول على عملية فعالة لدعم إدارة الحوادث والأحداث التي تنتجها أنظمة بيانات متعددة ، نفذت العديد من المؤسسات حلاً يُعرف باسم معلومات الأمان وإدارة الأحداث ، ويشار إليه عادةً باسم SIEM.


في هذه المقالة ، سوف نلقي نظرة فاحصة على حلول SIEM.


سنقوم بتعريف SIEM ، ووصف كيفية عمله ، ومراجعة مزايا وعيوب SIEM ، ومراجعة أفضل منتجات SIEM في السوق اليوم.


بنهاية هذه المقالة ، سيكون لديك فهم أفضل عن الـ SIEM وكيفية تطوير استراتيجية نشر ناجحة لتتماشى مع أهداف أمان الشركة.


ما هي حلول الـ SIEM؟

يدعم حل إدارة المعلومات والأحداث الأمنية (SIEM) اكتشاف التهديدات والامتثال وإدارة الحوادث الأمنية من خلال جمع وتحليل الأحداث الأمنية (سواء في الوقت الفعلي أو التاريخي) ، بالإضافة إلى مجموعة متنوعة من مصادر البيانات السياقية والأحداث الأخرى .

ما هو حل سيم - PurpleSec


القدرات الأساسية هي نطاق واسع من جمع أحداث السجل وإدارتها ، والقدرة على تحليل أحداث السجل والبيانات الأخرى عبر مصادر مختلفة ، والقدرات التشغيلية (مثل إدارة الحوادث ولوحات المعلومات والإبلاغ). "


استنادًا إلى التعريف ، يمكّن SIEM موظفي تكنولوجيا المعلومات من تحديد الهجمات قبل أو عند حدوثها ، مما يؤدي إلى أوقات استجابة أسرع للاستجابة للحوادث. تقنية SIEM هي أساس إستراتيجية أمان المؤسسة ، وهو أمر بالغ الأهمية للنجاح والمراقبة المستمرة لبرنامج أمن المعلومات.


تطور تكنولوجيا SIEM

صاغ المصطلح الفعلي SIEM من قبل اثنين من محللي شركة Gartner. في تقرير Gartner لعام 2005 بعنوان تحسين أمان تكنولوجيا المعلومات باستخدام إدارة الثغرات الأمنية ، اقترح المحللون نظام معلومات أمان جديدًا يعتمد على تقنيتين من الجيل السابق تُعرفان باسم إدارة معلومات الأمان (SIM) وإدارة أحداث الأمان (SEM).

تكنولوجيا سيم


تم بناء الجيل الأول من تقنية SIM على رأس أنظمة إدارة جمع السجلات التقليدية. قدمت بطاقة SIM تحليل التخزين طويل المدى ، وإعداد التقارير عن بيانات السجل ، والسجلات المدمجة مع ذكاء المعالجة.


تناولت تقنية SEM من الجيل الثاني الأحداث الأمنية والتجميع والارتباط والإخطار للأحداث من أنظمة الأمان مثل مكافحة الفيروسات والجدران النارية وأنظمة كشف التطفل (IDS) ، بالإضافة إلى الأحداث التي تم الإبلاغ عنها مباشرةً بواسطة المصادقة وفخاخ SNMP والخوادم وقواعد البيانات.


بعد بضع سنوات ، قدم البائعون مزيجًا من SIM و SEM لإنشاء SIEM ، ومن ثم تعريف جديد لكل بحث من Gartner.


كيف تعمل تقنية الـ SIEM؟

يعمل حل SIEM من خلال جمع البيانات من مصادر مختلفة مثل أجهزة الكمبيوتر وأجهزة الشبكة والخوادم والمزيد. ثم يتم تطبيع البيانات وتجميعها. بعد ذلك ، يقوم متخصصو الأمن بتحليل البيانات لاكتشاف التهديدات واكتشافها. نتيجة لذلك ، تكون الشركات قادرة على تحديد الانتهاكات الأمنية وتمكين المؤسسات من التحقيق في التنبيهات.


لفهم كيفية عمل SIEM بشكل أفضل ، دعنا أولاً نلقي نظرة فاحصة على مفهومي أمان أساسيين: الحوادث والأحداث.


الحوادث الأمنية

الحادثة الأمنية هي واقعة تعرض للخطر فعليًا أو يحتمل أن تهدد سرية أو تكامل أو توفر (CIA) نظام معلومات أو المعلومات التي يعالجها النظام أو يخزنها أو ينقلها أو يشكل انتهاكًا أو تهديدًا وشيكًا بانتهاك السياسات الأمنية ، إجراءات الأمان ، أو سياسات الاستخدام المقبولة.


تتضمن أمثلة الحادث على سبيل المثال لا الحصر:

  • المحاولات (سواء كانت فاشلة أو ناجحة) للحصول على وصول غير مصرح به إلى نظام أو بياناته.
  • انقطاع الخدمة أو رفضها غير المرغوب فيه.
  • الاستخدام غير المصرح به لنظام معالجة البيانات أو تخزينها.
  • تغييرات في أجهزة النظام أو البرامج الثابتة أو خصائص البرنامج بدون معرفة المالك أو تعليماته أو موافقته.

 


الأحداث الأمنية

الحدث الأمني ​​هو أي حدث يمكن ملاحظته في نظام المعلومات بما في ذلك:

  • أنظمة التشغيل
  • التطبيقات
  • الأجهزة
  • قواعد البيانات

 

كيف يتم إبلاغ موظفي تكنولوجيا المعلومات أو إعلامهم بأنهم بحاجة إلى التحقيق في حدث أو حادث أمني؟ عادة ما يتم الإبلاغ عن ذلك عبر تنبيه.


التنبيه هو إشعار بأن هجومًا محددًا قد تم توجيهه إلى أنظمة معلومات المؤسسة. التنبيهات موجزة في المحتوى وعادة ما يتم توجيهها إلى فرد معين أو فريق استجابة. عادةً ما يتم إرسال الإشعار عبر بريد إلكتروني أو رسالة منبثقة لوحدة التحكم أو عن طريق رسالة نصية أو مكالمة هاتفية إلى هاتف ذكي.


 عتمادًا على عدد الأحداث التي يتم إنتاجها لكل منصة يتم مراقبتها ، يمكنك أن تتخيل أن كمية الأحداث التي تم تسجيلها يمكن أن تصل إلى مئات الآلاف في الساعة بسرعة إلى حد ما. يلزم الضبط الدقيق لنظام SIEM لاكتشاف الأحداث التي تشكل أكبر قدر من المخاطر وتنبيهها.


هذه القدرة هي التي تحدد SIEM بصرف النظر عن أدوات المراقبة والكشف الأخرى على الشبكة ، مثل IPS أو IDS. لا يستبدل SIEM في الواقع وظيفة التسجيل لهذه الأجهزة. إنه يعمل ببساطة جنبًا إلى جنب مع هذه الأدوات عن طريق استيعاب وتجميع بيانات السجل الخاصة بهم لتحديد الأحداث التي قد تؤدي إلى الاستغلال المحتمل للنظام.


فهم عملية SIEM

تتضمن عملية قيام SIEM بجمع وتنبيهات الأحداث المكتشفة ما يلي:

  • جمع البيانات من مصادر مختلفة
  • تطبيع وتجميع البيانات المجمعة
  • تحليل البيانات لاكتشاف واكتشاف التهديدات
  • تحديد الخروقات الأمنية وتمكين المؤسسات من التحقيق في التنبيهات

 

عملية SIEM وخطواتها



 

ما هي فوائد أمن SIEM؟

تفوق فوائد المنظمة التي تمتلك SIEM بكثير عواقب عدم وجود SIEM. هذا طالما أن تنفيذ التحكم الأمني ​​يحمي شيئًا ذا قيمة أكبر.


بدون SIEM ، سيفتقر موظفو تكنولوجيا المعلومات إلى رؤية مركزية لجميع السجلات والأحداث. مع الرؤية المحدودة ، من المرجح أن يفوت موظفو تكنولوجيا المعلومات الأحداث الحرجة من أنظمتهم ، مما يؤدي إلى عدد كبير من الأحداث المتراكمة التي قد تحتوي على حوادث تتطلب تحقيقًا فوريًا.


من ناحية أخرى ، فإن وجود SIEM يزيد من الكفاءات ويعزز برنامج الاستجابة للحوادث.


بالإضافة إلى لوحة القيادة المركزية الشائعة في معظم منتجات SIEM اليوم ، يمكن لـ SIEM الذي تم ضبطه جيدًا الإبلاغ عن عدد من الفئات المحددة مسبقًا وعتبات الأحداث ، كما هو مذكور في السيناريوهات التالية:

  • يسجل جدار الحماية خمس محاولات متتالية غير صحيحة لتسجيل الدخول وقام بتأمين حساب المسؤول.
  • سجل أحد برامج تصفية الويب أن الكمبيوتر يتصل بموقع ويب ضار 100 مرة في غضون ساعة واحدة.

 


كما ذكرنا ، فإن معظم نماذج SIEM الحديثة قد بنيت في ذكاء يمكنه اكتشاف حدود العتبة القابلة للتكوين والأحداث لكل فترة زمنية معينة ، إلى جانب الملخصات والتقارير القابلة للتخصيص. تدمج الآن SIEMs الأكثر تقدمًا AI (الذكاء الاصطناعي) للتنبيه بشأن تحليل السلوك والنمط.


تتيح ميزات الإبلاغ والإشعار لموظفي تكنولوجيا المعلومات الاستجابة والاستجابة بسرعة للحوادث المحتملة. يعزز هذا الذكاء قدرة SIEM على اكتشاف الهجمات الضارة قبل حدوثها ، مثل اكتشاف أنماط الأحداث التي تشبه المراحل المبكرة لهجوم برامج الفدية.


يمكن أن يؤدي وجود SIEM على الشبكة إلى تقليل تكلفة الخرق الأمني ​​الشامل ، مما يوفر للمؤسسة قدرًا لا يحصى من الإيرادات وتجنب فقدان السمعة.


اليوم ، يُطلب من العديد من المنظمات الخاضعة للتنظيم ، مثل تلك الموجودة في الأسواق المصرفية والمالية والتأمين والرعاية الصحية ، أن تشهد بأن لديها SIEM مُدار داخل المؤسسة أو في السحابة. يوفر SIEM إجابات لأسئلة ضوابط تقييم الأمان. أنها توفر أدلة على أن الأنظمة يتم مراقبتها وتسجيلها ومراجعتها ولديها سياسات الاحتفاظ بالسجلات المعمول بها لتلبية معايير الامتثال بما في ذلك ISO و HIPAA.


ما هي أفضل أداة SIEM؟

نظرًا لأن شركة Gartner مسؤولة عن اختصار SIEM ، أود أن أقول إنها ستكون موردًا جيدًا لتحديد أفضل وأعلى SIEM. يتم سرد أفضل البائعين في السوق وفقًا لأبحاث Gartner في جزء "leader" أدناه:

2018 Gartner SIEM Magic Quadrant




بائعي SIEM السبعة المدرجين في قسم Gartner LEADER مدرجون أدناه. حدد كل واحد لمعرفة المزيد عن اختلافاتهم وقدراتهم.

 


Splunk

على الرغم من أن SIEM بحكم التعريف له وظيفة أساسية ، فإن كل بائع (كما هو مدرج في قسم Garter) له ميزات فريدة تفصله عن منافسيه. Splunk ، على سبيل المثال ، قادر على قبول 100 من التطبيقات والوظائف الإضافية المصممة لتوسيع القدرات عبر مئات الأجهزة والتطبيقات المختلفة.

أمان المؤسسة Splunk - SIEM


 IBM QRadar Advisor

تم تصميم تطبيق IBM QRadar Advisor with Watson لاستكمال منصة IBM QRadar Intelligence من خلال مساعدة المحللين على فرز الحوادث والتحقيق فيها.

مستشار IBM QRadar مع Watson - SIEM


AlienVault

برنامج AlienVault هو في الواقع مفتوح المصدر وهو حل SIEM سحابي شائع وغير مكلف.

AlienVault - SIEM


Splunk Enterprise Free

بالنسبة إلى الأعمال التجارية الصغيرة ، هناك إصدارات مجانية متاحة تؤدي المهمة مثل Splunk Free ، ومع ذلك ، يتم تقليل مجموعة الميزات وتفتقر لوحة القيادة إلى عدد قليل من أجراس وصفارات الإصدار الذي تم شراؤه.

Splunk مجاني - SIEM


كم تكلفة أداة SIEM؟

تختلف تكلفة SIEM باختلاف البائعين. يستخدم كل بائع عوامل مختلفة لتحديد السعر الذي يتقاضونه مقابل خدماتهم. اعتمادًا على هذه العوامل ، يمكنك أن تتوقع دفع ما بين 1800 دولار إلى 40000 دولار سنويًا مقابل حل SIEM. ومع ذلك ، لا يشمل ذلك تكلفة متخصص الأمن لتحليل السجلات وتفسيرها. هذه الوظائف لها راتب يتراوح بين 60 ألف دولار و 100 ألف دولار في السنة.

VendorPricing SolutionStarting Annual Cost
Splunk Enterprise$150 per Gigabyte of storage$1,800
IBM QradarOn Premise – based on events per second$10,400
McAfee ESMCloud based VM$40,794
AlienVault USMUser based – $650 up to 4TB of data$5,595
SolarWindsBased on nodes starting at 30 nodes$4,585


يقدم الجدول أعلاه تقديرًا للتكلفة المتوقعة بناءً على متغيرات مثل التخزين المستخدم ، والأحداث في الثانية ، وعدد المستخدمين ، وعدد الأجهزة أو العقد.


استنادًا إلى النموذج أعلاه ، تعد Splunk Enterprise Free أو SolarWinds أو AlienVault خيارات ممكنة للشركات الصغيرة إذا كان لديها متطلبات تخزين أقل و / أو عددًا محدودًا من الأجهزة لإدارتها.


من الشائع اليوم أيضًا أن يشترك البائعون مع بائعي الطرف الثالث لبيع منتجاتهم. من أجل الحصول على أفضل الأسعار ، اتصل بالبائع مباشرة وسيوجهونك إلى قائمة بائعي التجزئة المفضلين لديهم للحصول على عروض الأسعار وتكلفة الصيانة السنوية.


ما هي عيوب SIEM؟

يمكن أن يكون الاستثمار في حل SIEM الكامل مكلفًا. إنها ليست نوع أداة "اضبطها وانساها". إنها تقنية معقدة تتطلب مهندسي تقنية معلومات ومحللين مهرة للإدارة والدعم. يجب أن يكون موظفو تكنولوجيا المعلومات الذين يدعمون SIEM قادرين على ضبط النظام للأحداث ذات الصلة ، وتفسير أنماط الهجمات الضارة ، وإظهار المعرفة بعملية الاستجابة للحوادث.


إذا لم تتم مراقبة SIEM على مدار الساعة من قبل الموظفين المناسبين ، فسيضيف القليل من القيمة التجارية أو لا قيمة على الإطلاق لبرنامج الأمان ويمكن أن يترك المؤسسة عرضة للهجوم.


يُعد مقدمو خدمات الحلول المُدارة (MSSP) أيضًا خيارًا إذا كانت الخبرة الفنية لإدارة SIEM غير موجودة داخل المنظمة. إذا تم اعتبار الخدمات المُدارة خيارًا قابلاً للتطبيق ، فاستعد للحصول على قسط شهري لهذا المستوى من الخبرة والدعم.


كما هو مذكور في جدول التكلفة ، يمكن أن يكون SIEM استثمارًا كبيرًا إذا كان لدى المنظمة مصادر بيانات متعددة تنتج عددًا كبيرًا من الأحداث المسجلة. يتقاضى العديد من بائعي SIEM رسومًا بناءً على مقدار التنبيهات التي تم تشغيلها ومقدار التخزين المطلوب للاحتفاظ بالأحداث. مطلوب بحث دقيق لتقدير التكلفة الإجمالية لملكية SIEM.


لماذا تفشل مشاريع SIEM؟

من أجل الحصول على تطبيق SIEM ناجح ، من الضروري فهم نقاط الضعف والفشل من عمليات النشر الأخرى.


هناك عدد من الأسباب لفشل عمليات نشر SIEM بما في ذلك:

  • الافتقار إلى التخطيط: عدم وجود استراتيجية لـ SIEM - تخطيط السعة ، وإثبات محدود لتمارين المفهوم مع عدة بائعين ، وفهم قابلية التوسع ، ووجود طاقم داخلي مناسب يطرح الأسئلة الصحيحة على البائع.
  • عدم وجود أهداف وأهداف لحل SIEM: القيادة العليا غير متفاعلة مع نشر SIEM ونتائجه
  • نقص التدريب: المعرفة الصحيحة مطلوبة لضبط SIEM وتكوينه. قد تتطلب بعض المعرفة النصية لمنتجات SIEM المتقدمة
  • نقص موارد الأمان لإدارة أداة SIEM: الأداة غير مجدية إذا لم تكن هناك موارد مدربة كافية لدعم SIEM
  • تعقيد SIEM: يمكن لـ SIEM إنشاء آلاف الأحداث في الساعة. سيحتاج موظفو الدعم إلى معرفة كيفية التخلص من "ضوضاء التنبيه" وربط الأحداث الحقيقية لتعظيم قيمة SIEM.
  • استخدام SIEM فقط للامتثال : عدم إدراك الإمكانات الكاملة لقيمة SIEM ، مثل اكتشاف البرامج الضارة والتعامل مع هجوم القوة الغاشمة ومراقبة سلوك المستخدم.
  • عدم تسريع القيمة باستخدام SIEM: عدم دمج خلاصات معلومات التهديد مع SIEM للمساعدة في تحسين اكتشاف التهديدات والاستجابة لها.

 


كيفية تجنب مخاطر انتشار SIEM

عند تقييم حل SIEM جديد لمؤسسة أو التفكير في إجراء تحسينات على حل حالي ، ضع في اعتبارك أن SIEM ليس الحل الفضي للقضاء على جميع الهجمات والحوادث الأمنية.


على الرغم من أنه عنصر ضروري في برنامج الأمان الشامل للمؤسسة ، إلا أنه يتم تحقيق القيمة الحقيقية لـ SIEM عندما يتم دمجها مع أدوات الاستجابة للتهديدات الأخرى ، مثل SOAR - تنسيق الأمان والأتمتة والاستجابة


الاستنتاج

واحدة من أهم الخطوات المطلوبة لتحقيق نشر SIEM ناجح هو الدعم من القيادة العليا ، إلى جانب التخطيط المناسب. من الأهمية بمكان إجراء تدقيق وتقييم لبيئتك الداخلية قبل شراء SIEM. ستساعد هذه الخطوة في تحديد متطلبات التخزين بناءً على حجم البيانات والسجلات التي يتم إرسالها إلى SIEM من أنظمة مختلفة.


هناك عامل آخر للنجاح يتضمن البحث عن بائعي SIEM متعددين. يُنصح بإجراء إثباتات متعددة لتمارين المفهوم حسب الحاجة لمراقبة الميزات المختلفة وخيارات قابلية التوسع التي يقدمها البائع. سيساعد هذا في تحديد أفضل حل يتوافق مع أهداف أمان الشركة.


إن SIEM ، كما تعلمنا ، هي أداة ضرورية مصممة لحماية المنظمة من الهجمات التي قد تسبب ضررًا للأعمال. من خلال تجنب المزالق الشائعة المرتبطة بعمليات نشر SIEM والاستفادة من ميزاتها جنبًا إلى جنب مع حلول الأمان الأخرى ، ستكون SIEM قيمة أساسية مضافة إلى استراتيجية أمان تكنولوجيا المعلومات الشاملة.

reaction:
Ahmed Taher
Ahmed Taher
مدون من العراق . احب البرمجة وكل ما يتعلق بالشبكات والسيرفرات وامن المعلومات . واسعى الى توفير جميع المصادر والمواد للامتحانات الدولية.

تعليقات