ُSIEM به زبان ساده – بخش نخست

Like
Like Love Haha Wow Sad Angry

SIEM از آن دست عبارت هایی است که ممکن است برای بسیاری ترسناک به نظر برسد.  در نمایشگاه الکامپ امسال هم در کاتالوگ بسیاری از شرکت های مشهور و مهم نام این محصول به چشم می خورد. اما اگر توضیحات آن ها را بخوانید متوجه می شوید که بسیاری از جمله های استفاده شده در این تبلیغات ، احتمالا ترجمه یک مترجم نا آشنا با دنیای آی تی می باشد که کلمه به کلمه از متن اصلی به فارسی برگردانده شده است. اگرچه شکی نیست که در بیشتر شرکت های مذکور کارشناسان مربوطه دقیقا می دانند که SIEM چیست و آن را در محیط های Enterprise بسیاری پیاده سازی نموده اند و اگر صرفا به خواندن برشورهای تبلیغاتی اکتفا نکنید و چند دقیقه ای با کارشناسانی که در غرفه ها حضور دارند صحبت کنید ، خواهید دید که تجربه های آن ها مانند نوشته های کاتالوگ شان نیست.

SIEM تاپیک های بسیاری را شامل می شود. معمولا زمانی که این عبارت را می شنویم ، سیستم های مختلفی به ذهن ما خطور می کنند. از جمله مشهورترین این سیستم ها می توان از  SLM/LMS ، SIM ، SEM ، SEC نام برد. البته اگر تعریف SIEM را در وب سایت Wikipedia بخوانید ، آن را به عنوان تلفیقی از SEM و SIM تعریف نموده است. SIEM مخفف Security Information and Event Management به معنای مدیریت رویدادها و اطلاعات امنیتی می باشد. بنابراین هر راهکار SIEM شامل ابزارهایی برای جمع آوری ، ثبت ، نگه داری و آنالیز رویدادهای امنیتی است. در ابتدا به بخش های مختلف یک SIEM نگاهی خواهیم داشت.

LMS : مخفف Log Management System است. “سیستم مدیریت لاگ ها” فایل های لاگ را ( مثل Syslog ) از سیستم عامل ها ، برنامه ها و … دریافت می کند. لاگ های جمع آوری شده در یک مکان واحد ذخیره می شوند. این کار باعث می شود بتوانیم رخداد های هر هاست و سیستم را به جای مراجعه به تک تک آن ها در یک مکان واحد نگه داری و بررسی نماییم. از مشهورترین نرم افزارهای مختص به این حوزه می توان از VMware Log Insight نام برد که برای مدیریت لاگ های محصولات VMware استفاده می شود.

SLM/SEM : Security Log/Event Management به معنای مدیریت لاگ ها و رویدادهای امنیتی است. در واقع این سیستم ها شباهت بسیاری با LMS دارند ، اما تفاوت آن با LMS این است که SLM/SEM علاوه بر جمع آوری لاگ ها ، از طریق الگوریتم های متفاوت سعی می کند که رویدادهای معمولی را از رویدادهایی که به مسائل امنیتی مربوط می شوند ، تمایز دهد. این کار برای تحلیلگران امنیتی بسیار مفید خواهد بود. زیرا در هر سیستمی روزانه ممکن است هزاران لاگ تولید شود. اما تعداد بسیار کم تری از آن ها رخداد امنیتی هستند و برای تحلیلگران امنیت مفید و مهم محسوب می شوند.

SIM : حتما با نرم افزار های Asset Manager کار کرده اید. این نرم افزارها اجزای مختلف شبکه شما را به طور خودکار یا دستی لیست کرده و اطلاعات مربوط به هرکدام را جداگانه نمایش می دهند. ساده ترین مثال آن تهیه لیستی از PC های یک سازمان است که مشخصات سخت افزاری و نرم افزاری هر کدام در یک دیتا بیس ذخیره گردیده است. SIM یا همان Security Information Management نیز مانند Asset Manager ها عمل می کند. سیستم ” مدیریت اطلاعات امنیتی” مقادیری مانند  گزارش های آسیب پذیری ، گزارش های تشخیص نفوذ ، پیغام های آنتی ویروس و … که از راه های مختلف و برای اجزای متفاوت شبکه جمع آوری شده اند را در دیتابیس خود برای هر یک از سیستم ها به صورت جداگانه ذخیره می کند. با استفاده از این ساز  کار به این امکان برای کارشناسان امنیت وجود خواهد داشت که اطلاعات امنیتی را به تفکیک هر جز از شبکه مشاهده نمایند.

SEC : Security Event Correlation را می توان به عنوان ” همبستگی رخدادهای امنیتی ” معنا نمود. اما ممکن است این ترجمه گنگ باشد. فرض کنید سه پیغام خطا در ورود به یک نرم افزار خاص ، برای یک نام کاربری یکسان در فاصله زمانی بسیار کمی در 3 کلاینت مختلف تکرار می شود. این پیغام های خطا سه خط از یک فایل لاگ را پر می کنند. برای یک تحلیلگر ، این رویداد توالی معنی داری از رخدادهای عجیب و غریب است که قطعا نیاز به بررسی دارد. زیرا احتمالا  به هم مرتبط هستند. و ممکن است نشان دهنده تلاش هایی برای دسترسی های غیر مجاز باشند. Log Correlation تکنیکی برای تشخیص رویدادهایی است که به خاطر الگوی خاص شان ،  به نظر می رسد با هم در ارتباط باشند و نیاز به بررسی دارند.

دوباره به سوال اصلی مان باز می گردیم. SIEM چیست ؟ SIEM ترکیبی از همه سیستم هایی است که در بالا توضیح داده شد. از جمله مشهورین نرم افزارهای SIEM می توان  HP ArchSight ، Splunk Enterprise ، Alien Vault و LogRythm را نام برد. لازم به ذکر است که نرم افزار های SIEM جز اصلی قلب مراکز SOC یا همان Security Operation Center است.

soc-in-visa

اما در یک Log چه چیزی نهفته است که چنین سیستم های برای بررسی و آنالیز آن ها طراحی شده اند ؟ یا این سیستم ها قرار است به کدام سوال های ما پاسخ دهند. کارشناسان امنیت هر روز از خود سوال می کنند که “چه کسی امروز به شبکه ما حمله کرد؟ ” و “چطور آن ها به اطلاعات امنیتی سازمان ما دست یافتند؟ ” پاسخ این سوال ها در Log ها وجود دارد. ولی چه نیازی هست که لاگ ها به جای نگه داری در فایل ها توسط SIEM نگه داری شوند ؟ [highlight bgcolor=”#f7f299″]برای پاسخ به این پرسش منتظر قسمت دوم مقاله در وب سایت TechTik باشید.[/highlight]

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.