سیستم امنیت اطلاعات و مدیریت رویداد (SIEM)

      نرم افزار بومی مدیریت رخدادهای امنیتی (dSIEM)

       

       

      سیستم امنیت اطلاعات و مدیریت رویداد (SIEM)

       

       

      سیستم امنیت اطلاعات و مدیریت رویداد (SIEM) یک رویکرد برای مدیریت امنیت سازمان است که ترکیبی از SIM (مدیریت امنیت اطلاعات) و SEM (مدیریت رویداد امنیتی) است. اصول اساسی هر سیستم SIEM جمع آوری داده های مربوطه از منابع مخحتلف، شناسایی انحراف از قانون و اقدام مناسب است. برای مثال، هنگامی که یک مسئله بالقوه شناسایی می شود، SIEM ممکن است اطلاعات اضافی را وارد کند، یک هشدار را ایجاد کند و سایر کنترل های امنیتی را برای توقف پیشرفت فعالیت ها راه اندازی کرده و در بانک دانش خود ذخیره نماید.

      در ابتدایی ترین سطح، یک سیستم SIEM برای ایجاد رابطه و معنی بین Event ها و Log ها می تواند بر اساس قوانین (rules-based) عمل کند و یا با استفاده از یک موتور همبستگی آماری (correlation engine) کار کند. SIEM های پیشرفته به منظور تجزیه و تحلیل رفتار کاربر، تنظیم، سازمان دهی کردن امنیت و پاسخ خودکار (SOAR) تکامل یافته اند.

      امروزه اکثر سیستم های SIEM از روش های سلسله مراتبی برای جمع آوری عوامل متعددی مانند جمع آوری وقایع مربوط به امنیت دستگاه های End Point، سرورها، تجهیزات شبکه و همچنین تجهیزات امنیتی تخصصی مانند فایروال ها، سیستم های ضد ویروس یا سیستم های نفوذ استفاده و کار می کنند. کالکتورها یا سنسورها رویدادها را به یک کنسول مدیریت متمرکز منتقل می کنند که در آت تحلیل گران امنیتی وقایع امنیتی را مدیریت می کنند. در اینجا برخی از مهمترین ویژگی هایی که هنگام ارزیابی محصولات SIEM مورد بررسی قرار می گیرند، وجود دارد:

      • ادغام با کنترل های دیگر - آیا سیستم می تواند دستورات دیگر کنترل های امنیتی سازمانی را برای جلوگیری یا متوقف کردن پیشرفت حملات به کار گیرد؟
      • هوش مصنوعی - آیا می توان سیستم از طریق دستگاه و یادگیری عمیق دقت خود را بهبود بخشد؟
      • گزارش سازگاری کامل - آیا سیستم شامل گزارش های ساخته شده برای نیازهای انطباق مشترک است و سازمان را قادر به سفارشی کردن یا ایجاد گزارش های مربوط به انطباق می کند؟
      • تهدید اطلاعات هوشمند - آیا سیستم می تواند از اطلاعات تهدید کننده به انتخاب سازمان پشتیبانی کند و یا اینکه مجوز استفاده از یک خوراک خاص را داشته باشد؟
      • گزارش پیروی از اطمینان - آیا سیستم شامل گزارش های داخلی برای نیازهای انطباق مشترک (common compliance) است و سازمان را قادر به سفارشی کردن یا ایجاد گزارش compliance جدید می کند؟
      • قابلیت های قانونی - آیا سیستم اطلاعات ضبط شده در مورد رویدادهای امنیتی با ضبط هدرها و محتویات بسته هایی که مورد توجه هستند، را می تواند بگیرد؟

       

      سیستم امنیت اطلاعات و مدیریت رویداد دوران که dSIEM نامیده می شود نیز از ساختار سلسله مراتبی استفاده می کند. به این صورت که سنسور یا سنسورهای تعریف شده در سیستم تمامی لاگ های مختلف شبکه را جمع آوری کرده و پس از نرمال سازی و فشرده سازی به سمت سرور خود ارسال نموده تا در آن تحلیلگر امنیتی سیستم با بررسی لاگ های متعدد از تمامی دستگاه های شبکه به مدیران ارشد شبکه کمک کند که از حملات متعدد در شبکه جلوگیری کنند.

       

      سیستم امنیت اطلاعات و مدیریت رویداد دوران (dSIEM) از چهار ماژول تشکیل شده است:

      • Agent
      • Collector
      • LCME
      • Online Dashboard

       

      Agent:

       

      این ابزار بر روی سیستم های کاربران و سرورها نصب شده و دارای قابلیت های زیر می باشد:

      • نشانه گذاری رویدادهای خاص به منظور اهداف معین
      • حذف رویدادهای بی مورد
      • تطبیق ترافیک ورودی سیستم با الگوی حمله
      • ارسال رویدادهای سیستمی به Collector
      • بررسی دوره ای فایل های حیاتی و خاص در مسیر معرفی شده به Agent به منظور گزارش به کاربران SIEM پس از مشاهده هر تغییر
      • تشخیص اتصال USB های غیرمجاز پس از مطابقت با USB های مجاز سیستم (ویژه)
      • بررسی فایل های رجیستری ویندوز
      • واکنش به حملات از طریق Agent (ویژه)
      • ارسال گزارش از وضعیت منابع سیستمی
      • تطبیق آسیب پذیری های سیستمی با قوانین نوشته شده با سیستم همبسته سازی

       

      سیستم تحلیل کننده رفتار شبکه / Collector:

       

      این ماژول وظیفه جمع آوری رویدادهای تولید شده در شبکه توسط کاربران، سرورها، تجهیزات شبکه و سنسورهای امنیتی و ارسال آن به سرور مدیریت رویدادها را بر عهئه دارد که شامل فرایند زیر می باشد:

      • استخراج رویدادها از مولد مواقع با استفاده از Agent
      • دریافت و نرمال سازی انواع لاگ ورودی
      • فشرده سازی با هدف صرفه جویی پهنای باند مورد استفاده در ارسال رویدادها به سیستم مدیریت رویدادها
      • به کارگیری روش های رمزنگاری جهت حفظ محرمانگی اطلاعات هنگام انتقال از بسترهای عمومی برای انتقال به تجهیزات پردازش و ذخیره سازی
      • دریافت رویدادهای انواع تجهیزات و سرویس ها
      • افزودن هر نوع تجهیزات خاص به سامانه
      • پشتیبانی از پروتکل های SYSLOG، SNMP و ...
      • دریافت نمایش بلادرنگ رویدادها
      • جست و جوی پیشرفته بر روی رویدادهای لحظه به لحظه ای و گذشته
      • قابلیت ایجاد پنجره های فعال به منظور دسته بندی، جست و جو و دریافت منظم رویدادها
      • تعریف فیلتر مختلف به منظور حذف داده های نامرتبط
      • نمایش گراف رویدادهای مورد نظر با قدرت مانور فراوان

       

      ماژول آنالایزر Collector:

       

      • دریافت ترافیک NETFLOW از تجهیزات شبکه و امنیت شبکه
      • توزیع پذیری در نقاط و نواحی مختلف شبکه
      • تطابق الگوهای از قبل تعریف شده با ترافیک عبوری
      • ایجاد الگوهای حمله مطابق با نیاز سازمان
      • الویت بندی دارایی ها بر اساس اهمیت و سطح ریسک

       

      موتور همبستگی رویدادها / LCME:

       

      این بخش به عنوان مغز متفکر DSIEM با بررسی ارتباطات وقایع مختلف و با استفاده از اطلاعاتی نظیر آسیب پذیری و یا عدم آسیب پذیری یک سیستم به یک تهدید، اقدام به تشخیص، ارزش گذاری و رتبه بندی رویدادهای امنیتی در شبکه می نماید.

      • تحلیل و شناسایی برخط عملیات
      • تشخیص حملات چند مرحله ای با قابلیت زمان بندی مشخص
      • برقراری ارتباط بین حسگرهای امنیتی با رویدادهای امنیتی از حسگرهای شبکه
      • مشخص نمودن هشدارهای اشتباه به منظور حذف آنها در آینده
      • تعیین معیارهای تطابق و صدور هشدار در صورت نقض تطابق های امنیتی
      • قوانین همبسته سازی مشخص شده توسط تیم امنیتی دوران و منابع معتبر
      • ایجاد قوانین همبسته سازی منطبق با نیازهای سازمان و مشتری
      • تنظیم خودکار حساسیت تحلیل حملات برای دارایی های سازمان با ارزش های متفاوت
      • تشخیص و شناسایی حملات، از طریق رویدادها و آسیب پذیری دارایی
      • استثنا نمودن تشخیص های اشتباه گزارش گیری به ازای هر سرویس و هر سیستم
      • نمایش دیاگرام ها و نمودارهای گرافیکی انواع حملات بر روی دارایی ها در بازه های زمانی مشخص
      • شناسایی IP های مخرب کشورها با بیشترین حجم حملات
      • تشخیص و ایجاد حساسیت بر روی آدرس های مشکوک و مخرب داخل سازمان
      • امکان مدیریت دانش و سفارشی سازی برای سازمان ها
      • امکان بروز رسانی آنلاین و آفلاین

       

      ماژول های مکمل مقابله با حوادث LCME:

       

      • سیستم Ticketing
      • اعلان حوادث به صورت ایمیل، پیامک و هشدار صوتی
      • رسیدگی خودکار به حوادث ویژه
      • هشدار بلادرنگ و الویت بندی شده
      • تعریف قالب های هشدار توسط راهبر سیستم
      • نگهداری و مدیریت پایگاه دانش شامل مستندات مربوط به اقدام مقابله با حوادث
      • دریافت و آنالیز ترافیک NETFLOW جهت شناسایی حملات DDOS و DOS

       

      رابط گرافیکی LCME:

       

      • پشتیبانی از داشبوردهای متنوع
      • سفارشی سازی داشبوردها برای کاربردهای خاص
      • نمایش متمرکز وضعیت های منابع سخت افزاری
      • واسط کاربری مبتنی بر وب و امکان دسترسی از راه دور
      • مدیریت متمرکز از تمامی حسگرها
      • پشتیبانی از قالب های گزارش گیری پیش فرض متنوع و امکان سفارشی سازی آن
      • ایجاد کاربران با سطوح دسترسی مختلف
      • سیستم پشتیبان گیری خودکار

       

      ماژول TRM:

       

      یکی از مهم ترین قسمت های پروژه های امنیتی، اعمال تنظیمات امنیتی بر روی تجهیزات شبکه به منظور جلوگیری از نفوذ بسته های مخرب شناسایی شده پس از تحلیل در سیستم DSIEM می باشد. انجام این تنظیمات با توجه به تعداد زیاد و متنوع بالای رویدادها در شبکه باید پی در پی انجام شود.

      ماژول TRM بخشی از LCME می باشد که بنا به درخواست مشتری فعال می گردد. این ماژول بنا به خروجی های LCME به صورت کاملا هوشمند و خودکار تنظیمات امنیتی را با توجه به سیاست ها و تجهیزات سازمان بر روی تجهیزات امنیتی شبکه انجام می شود.

       

      سیستم مدیریت رویدادها / LCME

       

      این ابزار وظیفه ذخیره سازی رویدادهای جمع آوری شده جهت تحلیل و یا گزارش ها را در بازه های زمانی متفاوت بنا به سیاست های امنیت یک سازمان به عهده دارد.

       

      قابلیت ها:

       

      • ذخیره سازی بند مدت رویدادهای دریافتی از سرور
      • فشرده سازی کلیه رویدادهای امنیتی به نسبت 10:01
      • امکان تهیه گزارش از رویدادهای ذخیره شده به صورت لحظه ای و دوره ای
      • جست و جوی پیشرفته بر روی رویدادهای فشرده به منظور FORENSIC INVESTIGATION
      • قابلیت ذخیره سازی رویدادها بر روی REMOTE STORAGE
      • حفظ محرمانگی در ارسال و دریافت رویدادها

       

      نرم افزار بومی مدیریت رخدادهای امنیتی (dSIEM)

       

       

      نرم افزار بومی مدیریت رخدادهای امنیتی (dSIEM)

       

       

       


      5.6.5.0
      گروه دورانV5.6.5.0