نظام المعلومات الأمنية و إدارة الأحداث (SIEM)

January 22, 2017

 

ماهو نظام المعلومات الأمنية و إدارة الأحداث ؟

هو منهجية و أدوات لإدارة أمن المعلومات في المنظمة ،تسعى إالى تقديم نظرة شمولية لجميع الأحداث في الشبكة المنظمة. المبدأ الأساسي لنظام SIEM  هو جمع البيانات الأمنية للمنظمة في نظام واحد يسهل عرضها للمسؤول عن متابعة الأحداث الأمنية و معرفة الأنماط و الأحداث الخارجة عن المألوف.

نظام المعلومات الأمنية و إدارة الأحداث SIEM  يجمع بين نظامين، النظام الأول SIM  نظام إدارة أمن المعلومات، و النظام الثاني SEM  نظام إدارة الأحداث الأمنية. نظام الـ SEM  يُحلل المعلومات بوقت قياسي و يُبلغ المسؤول عن متابعة الأحداث الأمنية لاتخاذ إجراءات دفاعية بشكل سريع. أما نظام الـ SIM  فيجمع البيانات في قاعة بيانات موحدة و يسترجع البيانات طويلة المدى و يحللها، فمثلاً تُجمع بيانات خلال سنة أو ستة أشهر و تقدم تقارير - منشأة ألياً – لتساعد المنظمة في الامتثال (Compliance). بجمع هذين النظامين أنشئ نظام الـ SIEM  لتقديم تحليل و استرجاع الأحداث الأمنية، و يسمح النظام لمديري الامتثال بالتأكد أن المنظمة أوفت بمتطلبات الامتثال القانونية للمنظمة أو أحد شهادات الامتثال.

 

نظام الـ SIME  يحلل الأحداث الأمنية، و السجلات و الوثائق، ويُحلل الأحداث باستخدام قواعد مدخلة مسبقاً من مدير النظام، فمثلاً في حال إنشاء مستخدم بصلاحية مدير نظام (Administrator) أو مستخدم جذري (ROOT) أرسل رسالة إلى مراقب الأحداث الأمنية، أو يستخدم النظام محرك ارتباط إحصائي (Correlation Engine)  لإقامة علاقات بين الأحداث مثلا في حال وجود حاسب مصاب بفيروس وحذف الفيروس، هذا الحاسب يفحص الشكة ويبحث عن الخوادم ويسأل عن المستخدم صاحب صلاحيات المدير، فقد يكون الحاسب مخترقاً حتى لو حُذف الفيروس، فيرسل النظام رسالة إلى متابع الأحداث الأمنية، وهذا ما يميز الأنظمة من مختلف الشركات، و لمزيد من المعلومات عن ميزات و عيوب المحرك لكل شركة راجع مقالات InfoSecInstitute  أو Gartner .

 

معظم هذه الأنظمة تنشر وكلاء جمع (Collection Agents)  لجمع المعلومات و الأحداث الأمنية من الخوادم و أجهزة الشبكة (Routers and Switches) وألاجهزة الأمنية كجدران الحماية (Firewalls)  وأنظمة الحماية من الفيروسات وأنظمة منع الاختراق (Intrusion Prevention Systems ). يرسل وكلاء الجمع المعلومات إلى وحدة التحكم المزكرية في نظام الـ SIEM. ويبلغ النظام المسؤول عن متابعة الأحداث الأمنية بالأحداث الخارجة عن المألوف، وفي الظروف العادية يعطى لمحة عامة أو مفصلة عن الأحداث.

 

قدرات نظام المعلومات الأمنية وإدارة الأحداث:

  • تجميع البيانات (Data aggregation) : إدارة البيانات المجمعة من الأجهزة و الخوادم و قواعد البيانات والتطبيقات وتوحيد البيانات المجمعة للمساعدة في تجنب فقدان الأحداث غير المألوفة.

  • الارتباط(Correlation)  : يربط الأحداث المجمعة ويبحث عن السمات المشتركة لهذه الأحداث ويحول هذه الأحداث إلى معلومات مفيد يسهل فهمها من المسؤول عن متابعة الأحداث الأمنية.

  • التنبيه (Alerting): بعد تحليل الأحداث الأمنية يرسل التنبيهات لإعلام مسؤول متابعة الأحداث الأمنية، ويمكن إنشاء التنبيهات على لوحة القيادة أو إرسالها عبر البريد الإلكتروني أو الرسائل القصيرة.

  • لوحة القيادة (Dashboards) : وهي لوحات تأخذ البيانات وتحولها إلى مخططات إعلامية للمساعدة في رؤية الأحداث والأنماط وتحديد الأحداث المشبوهة بشكل سريع.

  • الامتثال (Compliance): يجمع النظام بيانات الامتثال وإنتاج التقارير شكل آلي يستخدمها مراجع الامتثال الداخلي أو الخارجي للتأكد أن المنظمة تمتثل لسياسات الحوكمة والامتثال الأمنية.

  • الاحتفاظ  (Retention): تخزين بعض البيانات على مدى طويل وتسهيل الارتباط بالأحداث الأمنية مع مرور الوقت. الاحتفاظ بالبيانات على مدى طويل مهم لتحليل البيانات و عمل التحقيقات ولاكتشاف الاختراقات القديمة واستنتاج بشكل إحصائي سرعة اختراق الأنظمة الحالية.

  • التحليل (Forensic Analysis) : القدرة على البحث في السجلات من أجهزة مختلفة مثل جدران الحماية و الخوادم و أجهزة الشبكة، هذا يقلل الحاجة إلى البحث وتجميع آلاف السجلات

     

Share on Facebook
Share on Twitter