مدیریت رویدادها و امنیت اطلاعات (SIEM)

مدیریت رویدادها و امنیت اطلاعات (SIEM)

راهکار SIEM چیست؟

راهکار SIEM که مخفف Security Information and Event Management میباشد، یک رویکرد جامع برای تحلیل و آنالیز وقایع شبکه و رفتار کاربران درون آن میباشد. در این شیوه با استفاده از هوش مصنوعی و راهکارهای اتوماتیک به تهدیدات و رویدادها براساس سیاست های از پیش تعیین شده پاسخ داده میشود و میتوان رخدادهای امنیتی را مانیتور و مدیریت نمود.

در این حیطه شرکت های بزرگی پا به عرصه رقابت گذاشته اند که و براساس گزارش های موسسه گارتنر در سال 2022 شرکت هایی مانند مایکروسافت، IBM و اسپلانک جزو پیشتازان میباشند:

siem  

چرا به SIEM نیاز داریم؟

دانستن این امر مهم است  که تا زمانی که تمامی لاگ ها و وقایع شبکه بررسی و تحلیل نگردند، وقوع حمله ها از چشم مدیران دور خواهد ماند. در همین راستا، محصولات SIEM میتوانند لاگ ها و دیتاهای مختلف را از سراسر سازمان جمع آوری کرده و با استفاده از هوش مصنوعی خود آنها را تحلیل نموده تا ارتباطات میان وقایع مختلف را آشکار سازند و در صورت وجود اظلاعات حیاتی مبتنی بر نفوذ در سازمان یا نشت اطلاعات از طریق نرم افزارهای مشکوک را به مدیران شبکه اطلاع رسانی نمایند.

چرا اسپلانک؟

اسپلانک

در بین شرکت های بالا شاید شناخته شده ترین محصول که بصورت اختصاصی در این حوزه فعالیت مینماید، نرم افزار اسپلانک باشد. این شرکت با معرفی محصولات پرقدرتی مانند Splunk Enterprise Security داشبوردهای مختلفی را در اختیار کاربران قرار داده است تا مدیران بتوانند بر اتفاقات و وقایع شبکه خود اشراف کامل داشته باشند. همچنین بخش های مختلف این محصول از قبیل PCI و ITSI هرکدام برای هدف بخصوصی مانند تحلیل ترافیک یا لاگ ها طراحی شده اند و جزئیات دقیقی را بهمراه نمودارهای گرافیکی ارائه میدهند. پر واضح است این حجم از اطلاعات و آنالیز آنها میتواند نقاط کور شبکه و آسیب پذیری های آنرا آشکار سازد و وقایع پرخطر امنیتی را کاهش دهد.

جایگزین اسپلانک

همانگونه که اشاره شد، شاید بتوان اسپلانک را در این حوزه پیشرو دانست و بسیاری سازمانهای بزرگ و پیشرفته آن را تنها گزینه خود بدانند، اما لازم بذکر است هزینه بالای لایسنس های آن شاید برای سازمان های متوسط و کوچک تر بسیار گزاف بوده و از عهده آن بر نیایند. در اینجا میبایست گزینه های معقول تری را به لحاظ کارایی و هزینه مورد بررسی قرار داد.

اسپلانک

محصول Manageengine Log360 و Microfocus ArcSight شرکت HPE میتوانند گزینه های بعدی برای این منظور باشند. هردو این نرم افزارها از موتورهای پرقدرتی بمنظور تجزیه و تحلیل لاگ های سازمانی بهره میبرند و میتوانند اطلاعات حیاتی را در اختیار مدیرات قرار دهند.