ما هو نظام معلومات الأمان وإدارة الأحداث SIEM
معلومات الأمان وإدارة الأحداث – security information and event management (SIEM) هي طريقة لإدارة الأمن تجمع بين وظائف إدارة معلومات الأمان (SIM) وإدارة الأحداث الأمنية (SEM) في نظام إدارة أمان واحد.
تعمل أنظمة SIEM من خلال نشر عوامل تجميع متعددة بطريقة هرمية لجمع الأحداث المتعلقة بالأمان من أجهزة المستخدم النهائي والخوادم ومعدات الشبكة ، فضلاً عن معدات الأمان المتخصصة ، مثل جدران الحماية أو برامج مكافحة الفيروسات أو أنظمة منع التطفل (IPSes) ، بعدها يقوم المُجمعون بإعادة توجيه الأحداث إلى وحدة تحكم إدارة مركزية ، حيث يقوم محللو الأمن بفحص الضوضاء وربط النقاط وتحديد أولويات الحوادث الأمنية.
لماذا يعتبر SIEM مهمًا للمؤسسات ؟
يجمع SIEM بين وظيفتين : إدارة معلومات الأمان وإدارة الأحداث الأمنية ، يوفر هذا المزيج مراقبة أمنية في الوقت الفعلي ، مما يسمح للفرق الأمنية بتتبع وتحليل الأحداث والاحتفاظ بسجلات بيانات الأمان لأغراض التدقيق والامتثال.
يسهّل SIEM على المؤسسات إدارة الأمان عن طريق تصفية كميات هائلة من بيانات الأمان وإعطاء الأولوية لتنبيهات الأمان التي ينشئها البرنامج.
يمكّن برنامج SIEM المؤسسات من اكتشاف الحوادث التي قد لا يتم اكتشافها بالإضافة الى ذلك يقوم البرنامج بتحليل إدخالات السجل لتحديد علامات النشاط الضار.
نظرًا لأن النظام يجمع الأحداث من مصادر مختلفة عبر الشبكة ، فيمكنه إعادة إنشاء الجدول الزمني للهجوم ، مما يمكّن المؤسسة من تحديد طبيعة الهجوم وتأثيره على العمل.
يمكن لنظام SIEM أيضًا مساعدة المؤسسة في تلبية متطلبات الامتثال عن طريق إنشاء تقارير تلقائيًا تتضمن جميع أحداث الأمان المسجلة بين هذه المصادر ، وبدون برنامج SIEM سيتعين على الشركة جمع بيانات السجل وتجميع التقارير يدويًا.
يعمل نظام SIEM أيضًا على تحسين إدارة الحوادث من خلال مساعدة فريق أمان الشركة على الكشف عن المسار الذي يسلكه الهجوم عبر الشبكة ، وتحديد المصادر التي تم اختراقها وتوفير الأدوات الآلية لمنع الهجمات الجارية.
اقرأ أيضا : الفرق بين الأمن السيبراني و أمن الشبكات و أمن المعلومات
المهام التي تقوم بها أنظمة معلومات الأمان وإدارة الأحداث SIEM
جمع البيانات
تجمع معظم أنظمة معلومات الأمان وإدارة الأحداث SIEM البيانات عن طريق نشر وكلاء التجميع على أجهزة المستخدم النهائي ، أو الخوادم ، أو معدات الشبكة ، أو أنظمة الأمان الأخرى مثل جدران الحماية ومكافحة الفيروسات ، أو عبر إعادة توجيه سجل نظام البروتوكولات ، أو SNMP ، أو WMI.
كما يمكن أن تتكامل SIEMs المتقدمة مع الخدمات السحابية للحصول على بيانات السجل حول البنية التحتية التي يتم نشرها على السحابة أو تطبيقات SaaS ، ويمكنها بسهولة استيعاب مصادر البيانات غير القياسية الأخرى ، بالتالي قد تحدث المعالجة المسبقة في مجمعات الحواف ، مع تمرير بعض الأحداث وبيانات الأحداث فقط إلى التخزين المركزي ، بهذه الطريقة يمكن تقليل حجم المعلومات التي يتم توصيلها وتخزينها.
على الرغم من أن التطورات في التعلم الآلي تساعد الأنظمة في تحديد الحالات الشاذة بشكل أكثر دقة ، لكن لا يزال يتعين على المحللين تقديم الملاحظات وتثقيف النظام باستمرار حول البيئة.
اقرأ أيضا : ماهي البيانات الضخمة – Big Data
اقرأ ايضا : ما هو علم البيانات وكيف تصبح عالم بيانات
تخزين البيانات
تقليديًا ، اعتمدت SIEMs على التخزين المنشور في مركز البيانات ، مما جعل من الصعب تخزين كميات كبيرة من البيانات وإدارتها.
نتيجة لذلك ، تم الاحتفاظ ببعض بيانات السجل فقط ، ولحل هذه المشكلة تم تصميم الجيل التالي من SIEMs على قمة تقنية بحيرة البيانات الحديثة مثل Amazon S3 أو Hadoop ، مما يسمح بقابلية التوسع غير المحدودة تقريبًا للتخزين بتكلفة منخفضة ، هذا يجعل من الممكن الاحتفاظ وتحليل 100٪ من بيانات السجل عبر المزيد من الأنظمة الأساسية والأنظمة.
وضع السياسات والقواعد
يسمح SIEM لموظفي الأمن بتحديد ملفات التعريف ، وتحديد كيفية تصرف أنظمة المؤسسة في ظل الظروف العادية.
يمكنهم بعد ذلك وضع القواعد والعتبات لتحديد نوع السلوك الذي يعتبر حادثًا أمنيًا ، الجدير بالذكر أن SIEM تستفيد من التعلم الآلي والتنميط السلوكي الآلي لاكتشاف الحالات المشبوهة تلقائيًا ، وتحديد القواعد على البيانات ديناميكيًا ، لاكتشاف الأحداث الأمنية التي تتطلب التحقيق.
توحيد البيانات والارتباط
الغرض المركزي من SIEM هو تجميع جميع البيانات معًا والسماح بربط السجلات والأحداث عبر جميع الأنظمة التنظيمية.
يمكن ربط رسالة خطأ على الخادم باتصال محظور على جدار حماية ومحاولة إدخال كلمة مرور خاطئة على بوابة المؤسسة، حيث يتم دمج نقاط البيانات المتعددة في أحداث أمنية ذات مغزى ، ويتم تسليمها إلى المحللين عن طريق الإشعارات أو لوحات المعلومات.
كيف يعمل SIEM ؟
- تجمع أدوات SIEM بيانات الأحداث والسجلات التي تم إنشاؤها بواسطة الأنظمة المضيفة في جميع أنحاء البنية التحتية للشركة وتجمع هذه البيانات معًا على منصة مركزية.
- تشمل الأنظمة المضيفة التطبيقات وأجهزة الأمان وفلاتر مكافحة الفيروسات والجدران النارية.
- تحدد أدوات SIEM البيانات وتصنفها إلى فئات مثل عمليات تسجيل الدخول الناجحة والفاشلة ونشاط البرامج الضارة وأنشطة ضارة أخرى محتملة.
- يُنشئ برنامج SIEM تنبيهات أمان عندما يحدد مشكلات الأمان المحتملة ، باستخدام مجموعة من القواعد المحددة مسبقًا ، يمكن للمؤسسات تعيين هذه التنبيهات كأولوية منخفضة أو عالية.
على سبيل المثال ، يمكن وضع علامة على حساب مستخدم يُنشئ 25 محاولة تسجيل دخول فاشلة في غضون 25 دقيقة باعتباره مريبًا ولكن لا يزال يتم تعيينه في أولوية أقل لأن محاولات تسجيل الدخول ربما تم إجراؤها بواسطة مستخدم نسي معلومات تسجيل الدخول الخاصة به.
ومع ذلك ، سيتم وضع علامة على حساب المستخدم الذي ينشئ 130 محاولة تسجيل دخول فاشلة في خمس دقائق كحدث ذي أولوية عالية لأنه من المرجح أن يكون هجوم القوة الغاشمة “brute-force attack”.
مميزات و عيوب أنظمة المعلومات الأمنية وإدارة الأحداث SIEM
مميزات SIEM
تشمل فوائد SIEM ما يلي:
- يقصر الوقت المستغرق لتحديد التهديدات بشكل كبير ، مما يقلل من الضرر الناجم عن تلك التهديدات.
- تقدم SIEM نظرة شاملة لبيئة أمن المعلومات الخاصة بالمؤسسة ، مما يسهل جمع المعلومات الأمنية وتحليلها للحفاظ على أمان الأنظمة ، حيث تذهب جميع بيانات المؤسسة إلى مستودع مركزي حيث يتم تخزينها ويمكن الوصول إليها بسهولة.
- يمكن للشركات استخدام SIEM لمجموعة متنوعة من حالات الاستخدام التي تدور حول البيانات أو السجلات ، بما في ذلك برامج الأمان ، وتقارير التدقيق والامتثال ، ومكتب المساعدة ، واستكشاف أخطاء الشبكة وإصلاحها.
- يدعم SIEM كميات كبيرة من البيانات حتى تتمكن المؤسسات من الاستمرار في التوسع وإضافة المزيد من البيانات.
- يوفر SIEM الكشف عن التهديدات وتنبيهات الأمان.
- يمكنه إجراء تحليل جنائي مفصل في حالة حدوث انتهاكات أمنية كبيرة.
عيوب SIEM
على الرغم من فوائده ، فإن SIEM لديه أيضًا القيود التالية:
- قد يستغرق تنفيذ SIEM وقتًا طويلاً لأنه يتطلب دعمًا لضمان التكامل الناجح مع عناصر التحكم في أمان المؤسسة والعديد من المضيفين في بنيتها التحتية ، عادةً ما يستغرق تثبيت SIEM 90 يومًا أو أكثر قبل أن يبدأ في العمل.
- غالي الثمن ، حيث يمكن أن يكون الاستثمار الأولي في أنظمة SIEM بمئات الآلاف من الدولارات ، ويمكن أن تتراكم التكاليف المرتبطة ، بما في ذلك تكاليف الموظفين لإدارة ومراقبة تنفيذ SIEM والدعم السنوي والبرامج أو الوكلاء لجمع البيانات.
- يتطلب تحليل التقارير وتكوينها ودمجها خبراء محترفين ، لهذا السبب تتم إدارة بعض أنظمة SIEM مباشرةً داخل مركز عمليات الأمان ، وهو وحدة مركزية يعمل بها فريق أمن المعلومات الذي يتعامل مع مشكلات أمان المؤسسة.
- تعتمد أدوات SIEM عادةً على القواعد لتحليل جميع البيانات المسجلة ، لكن تكمن المشكلة في أن شبكة الشركة يمكن أن تصدر آلاف التنبيهات يوميًا ، بالتالي قد يكون من الصعب تحديد الهجمات المحتملة بسبب عدد السجلات التي ليس لها علاقة.
- قد تفقد أداة SIEM التي تم تكوينها بشكل خاطئ أحداثًا أمنية مهمة ، مما يجعل إدارة مخاطر المعلومات أقل فعالية.
مهام و قدرات أنظمة المعلومات الأمنية وإدارة الأحداث SIEM
التنبيه : يحلل الأحداث ويساعد في تصعيد التنبيهات لإخطار موظفي الأمان بالمشكلات العاجلة ، إما عن طريق البريد الإلكتروني أو أنواع الرسائل الأخرى أو عبر لوحات معلومات الأمان.
لوحة التحكم و المخططات : يُنشئ تصورات للسماح للموظفين بمراجعة بيانات الحدث ، ورؤية الأنماط ، وتحديد النشاط الذي لا يتوافق مع العمليات القياسية أو تدفقات الأحداث.
الامتثال : يعمل على أتمتة جمع بيانات الامتثال ، وإنتاج تقارير تتكيف مع عمليات الأمان والحوكمة والتدقيق لمعايير مختلفة.
تخزين البيانات : يخزن البيانات التاريخية طويلة المدى لتمكين التحليل والتتبع وإعداد التقارير لمتطلبات الامتثال.
اقتناص التهديدات : يسمح لموظفي الأمن بتشغيل استعلامات من مصادر متعددة عبر بيانات SEM ، وتصفية البيانات وتحويلها إلى محور ، والكشف بشكل استباقي عن التهديدات أو الثغرات الأمنية.
الاستجابة للحادث : يوفر إدارة الحالات والتعاون ومشاركة المعرفة حول الحوادث الأمنية ، مما يسمح لفرق الأمان بالمزامنة السريعة للبيانات الأساسية والتواصل والاستجابة للتهديدات.
قدرات الجيل التالي من SIEM
SIEM هي تقنية ناضجة ويوفر الجيل التالي من SIEM إمكانات جديدة منها :
تتجاوز تحليلات سلوك المستخدم والكيان (UEBA) في نماذج SIEM المتقدمة القواعد والارتباطات ، وتستفيد من تقنيات الذكاء الاصطناعي والتعلم العميق للنظر في أنماط السلوك البشري ، يمكن أن يساعد ذلك في الكشف عن التهديدات الداخلية والهجمات المستهدفة والاحتيال.
تنسيق الأمن واستجابة الأتمتة (SOAR) : تتكامل أنظمة SIEM من الجيل التالي مع أنظمة المؤسسة وأتمتة الاستجابة للحوادث على سبيل المثال ، قد يكتشف SIEM تنبيهًا لبرامج الفدية ويقوم بتنفيذ خطوات الاحتواء تلقائيًا على الأنظمة المتأثرة ، قبل أن يتمكن المهاجم من تشفير البيانات ، أثناء إنشاء اتصالات أو إشعارات أخرى في نفس الوقت.
تحديد التهديدات المعقدة : لا يمكن لقواعد الارتباط التقاط العديد من الهجمات المعقدة ، لأنها تفتقر إلى السياق ، أو لا يمكنها الاستجابة لأنواع جديدة من الحوادث ، باستخدام التنميط السلوكي التلقائي ، يمكن لـ SIEM اكتشاف السلوك الذي يشير إلى وجود تهديد.
اكتشاف بدون قواعد أو توقيعات : لا يمكن التقاط العديد من التهديدات التي تواجه شبكتك بقواعد محددة يدويًا أو توقيعات هجوم معروفة ، يمكن أن تستخدم SIEMs التعلم الآلي لاكتشاف الحوادث بدون تعريفات موجودة مسبقًا.
الحركة الجانبية : يتحرك المهاجمون عبر شبكة باستخدام عناوين IP وبيانات الاعتماد والآلات بحثًا عن الأصول الرئيسية ، من خلال تحليل البيانات عبر الشبكة وموارد النظام المتعددة ، يمكن لـ SIEM اكتشاف هذه الحركة الجانبية.
تحليل سلوك الكيان : الأصول الحرجة على الشبكة مثل الخوادم أو المعدات الطبية أو الآلات لها أنماط سلوكية فريدة ، حيث يمكن لـ SIEM تعلم هذه الأنماط واكتشاف الحالات الشاذة التي تشير إلى وجود تهديد تلقائيًا.
الاستجابة التلقائية للحوادث : بمجرد أن يكتشف SIEM نوعًا معينًا من الأحداث الأمنية ، يمكنه تنفيذ تسلسل مخطط مسبقًا من الإجراءات لاحتواء الحادث والتخفيف منه.
أفضل الممارسات لتنفيذ SIEM
قبل أو بعد أن تستثمر في حلك الجديد ، إليك بعض أفضل ممارسات تنفيذ SIEM التي يجب عليك اتباعها:
- ضع أهدافًا مفهومة وقم باختيار أداة SIEM وتنفيذها بناءً على الأهداف الأمنية والامتثال وبيئة التهديدات المحتملة للمؤسسة.
- قم تطبيق قواعد ارتباط البيانات عبر جميع الأنظمة والشبكات وعمليات النشر السحابية بحيث يمكن العثور على البيانات التي تحتوي على أخطاء فيها بسهولة أكبر.
- تحديد متطلبات الامتثال لضمان تكوين برنامج SIEM المختار للتدقيق والإبلاغ عن معايير الامتثال الصحيحة.
- قائمة الأصول الرقمية حيث يساعد سرد جميع البيانات المخزنة رقميًا عبر البنية التحتية لتكنولوجيا المعلومات في إدارة بيانات السجل ومراقبة نشاط الشبكة.
- سجل خطط الاستجابة للحوادث وسير العمل ، يساعد هذا في ضمان قدرة الفرق على الاستجابة للحوادث الأمنية بسرعة.
- قم بتعيين مسؤول SIEM حيث يضمن لك مسؤول SIEM الصيانة المناسبة لتطبيق SIEM.
الخاتمة
غالبًا ما تُعرض الممارسات الحديثة المؤسسات لتهديدات جديدة مثل البيانات المتزايدة باستمرار ، والتحولات الرقمية ، والبيئات القائمة على السحابة ، حيث تنمو أسطح الهجوم جنبًا إلى جنب مع الأنظمة المتوسعة ، بالتالي سيكون هناك طلب على التكنولوجيا الجديدة.
نتيجة لذلك تتنافس أدوات الأمن السيبراني على توفير إمكانات جمع البيانات ومعالجتها وتخزينها على نطاق واسع للأنظمة السحابية دائمة التوسع ، حيث ستوفر عروض السحابة العديد من الميزات الهامة عبر منصة أمان سريعة ومتكاملة على نطاق السحابة ، حيث ستشمل الإمكانات الإضافية لحلول SIEM المستقبلية تحويلًا غير محدود للبيانات لاستيعاب ومعالجة بيتابايت من البيانات ، وتجربة بحث محسّنة للمساعدة في العثور على بيانات الأحداث من السجلات الضخمة عبر واجهة موحدة ، وسير عمل الكشف التلقائي عن التهديدات والاستجابة للحوادث
تسمح منصات SIEM الحديثة للفرق بتحديد التهديدات تلقائيًا والاستجابة لها في الوقت الفعلي ، والاستفادة من أجهزة التحليل السحابي والأمان المعبأة مسبقًا ، ومعالجة كميات كبيرة من بيانات الأمان ، مما يوفر رؤية عالية تسمح للفرق بتصور التهديدات وتحديد أولوياتها بشكل أكثر فعالية.
اقرأ أيضا : ما هو أمن الحوسبة السحابية
اقرأ أيضا : ما الفرق بين SaaS و PaaS و IaaS الفئات الرئيسية للحوسبة السحابية.
اقرأ أيضا : ما هي ثغرة يوم الصفر – Zero-Day في الأمن السيبراني
