عملكرد بهتر SIEM چه زمانی حاصل می‌شود؟

عملكرد بهتر SIEM چه زمانی حاصل می‌شود؟

تاریخ ایجاد

IRCAR201401200
تاريخ: 8/11/92

SIEMها، محصولات پيچيده‌اي هستند و اغلب تلاش زيادي مي‌طلبد تا با عملكرد بهينه خود كار كنند. SIEMها قادر مي باشند لاگ ها و داده هاي مرتبط با رويداد را از دستگاه هاي مختلف جمع‌آوري كنند، رويه هايي را براي همبستگي سنجي بلادرنگ اعمال نمايند و هشدارهايي را براي رويدادهاي كشف شده اعلام كنند.
استفاده از SIEM بدون چالش نخواهد بود. سازمان‌ها غالباً از اثربخشي SIEMهاي نصب شده با تنظيمات پيش فرض نااميد هستند و در عين حال، زماني براي رسيدن به ارزشي كه SIEM مي‌تواند براي سازمان داشته باشد نمي‌گذارند. استقرار اوليه، ساده‌ترين بخش استفاده از SIEM است اما رسيدن به نقطه‌اي كه SIEM بتواند نتايج قابل توجهي را براي سازمان به ارمغان بيآود مستلزم صرف زمان مي باشد و در ضمن كار مشكلي است. سازمان‌ ها بايد زماني را براي نگاشت بين رويدادها و مخاطرات و ايجاد لاگ‌، قوانين و همبستگي سنجي لازم صرف نمايند.
جنبه‌هايي كه مي‌تواند عملكرد SIEM را تحت تاثير قرار دهد عبارت است از:

  • جمع آوري داده؛ در اين جنبه پيدا كردن توازن ميان جمع آوري، ذخيره سازي و تحليل داده امري مهم است.
  • حجم داده در برخي از سازمان‌ها خيلي زياد و منابع محدود است و اين باعث مي شود تا مديريت داده‌ها خسته‌كننده ‌شود.
  • تغيير پيوسته رفتار كاربر به طور مثال در رسانه‌هاي اجتماعي، دستگاه‌هاي موبايل و محاسبات موبايلي
  • افزايش تعداد دستگاه‌ها و برنامه‌هاي كاربردي در محل كار
  • مديريت سيستم مانيتورينگ
  • افزايش پيچيدگي تهديدات امنيتي
  • عدم توانايي تفسير داده

مراحلي كه براي رسيدن به عملكرد بهتر بايد طي كرد به شرح زير است:
1- تامين تيمي براي SIEM
توانايي مانيتورينگ مطابق با كيفيت تيمي است كه سازمان براي سيستم SIEM تخصيص داده است. اين نكته حائز اهميت است كه تيم مسئول مديريت، مانيتورينگ، پيكربندي و استخراج اطلاعات لازم از لاگ‌ها، بايد تيم ماهر و زبده باشد.

2- استقرار يك برنامه مانيتورينگ كارا

  • شناسايي مواردي كه درمعرض خطر قرار دارند و داشتن درك درستي از آسيب پذيري ها و ضعف هاي امنيتي سازمان
  • اين برنامه كمك مي كند تا تيم مربوطه بتواند بر نتايج يا اطلاعاتي كه براي بدست آوردن آنها تلاش مي كند، تمركز نمايد.
  • شناسايي سيستم‌ها يا مولفه هايي كه بايد به ترتيب اولويت مانيتور شوند. با تهيه فهرستي از دارايي ها و اولويت آنها مي توان بر اساس ميزان ريسك حوزه‌ها، اين دارايي ها را مانيتور كرد.
  • در نظر گرفتن يكپارچگي SIEM با برنامه‌هاي كاربردي.
  • بايد توجه داشت كه برخي برنامه‌هاي كاربردي، لاگي كه بتواند با SIEM تركيب شود ندارند.
  • مشخص شود كه سازمان از چه رويدادهايي بايد مطلع باشد و بايد چه اطلاعاتي را باتوجه به دارايي‌ها بداند.
  • اگر تمام اطلاعات لازم يافت نشد، لازم است سيستم را از طريق تغيير سطوح لاگ‌ها يا نصب يكسري سيستم اضافه‌تر تنظيم نمود.
  • اطمينان حاصل شود كه داده‌هايي كه مفيد هستند، جمع آوري شوند.

3- پيكربندي SIEM

  • اولين دارايي در فهرست به عنوان اولين مولفه نصب و راه اندازي انتخاب شود؛ اولين پيكربندي خيلي طاقت فرسا خواهد بود. پيكربندي صحيح دارايي نيازمند درك خوبي از الزامات، مولفه‌ها و رويدادهاي آن گروه دارايي مي باشد.
  • خط مشي‌ها/قانون‌ها توسعه داده شود.
  • براي تشخيص‌هاي كه به اشتباه حمله اعلام مي‌شوند آمادگي وجود داشته باشد.
  • براي اولين پيكربندي، استفاده از گروه دارايي كه الزامات تطابقي آن به خوبي معلوم شده باشد كار پيكربندي اوليه را ساده تر مي كند.
  • رويدادهايي كه عدم انطباق و نقض خط مشي‌ها را نشان مي‌دهد تعيين شود.
  • آمادگي پيكربندي مجدد را در زمان تغيير خصوصيات SIEM داشته باشيد.

4- تحليل

  • سيستم‌هاي در ارتباط با دارايي تحليل گردد.
  • جهت تشخيص هر تهديد امنيتي براساس رويدادهايي كه قبلاً به عنوان عدم انطباق يا نقض امنيتي تعيين شده اند، اطلاعاتي به صورت نظام مند از لاگ ها، سلسله رويدادها و سيستم‌ها استخراج شود.
  • داده‌هاي مرجع، مانند فهرست دارايي ها، نتايج پويش آسيب پذيري و اطلاعات تهديد، به اندازه داده هاي بلادرنگ مهم هستند. اين داده ها در زمان اولويت بندي كردن رويدادها مهم بوده و مي‌توانند در زمان تحقيق و بررسي در زمان صرفه جويي نمايند.
  • بر روي امكانات همبستگي سنجي تمركز شود، چرا كه همبستگي سنجي در تشخيص رويدادهايي كه توسط كاربر انساني قابل حدس زدن نيست كمك مي كند.
  • هنگامي كه SIEM پياده سازي شد، داده‌ هاي جمع آوري شده بايد به صورت دوره‌اي ارزيابي گردند.

نتيجه
تصميم گيري درباره استفاده از SIEM به پارامترهاي مختلفي از جمله الزامات كسب و كار، پرسنل موجود براي پشتيباني، معماري شبكه، بازه نگهداري و پهناي باند بستگي دارد. براي بدست آوردن بيشتر مزيت‌هاي استفاده از SIEM، در ابتداي استقرار در سازمان بايد تلاش قابل توجهي صورت گيرد. سيستم SIEM زماني باارزش و كارا خواهد بود كه به صورت بهينه پيكربندي شده باشد و در غير اينصورت صرفاً يك ابزار مديريت لاگ مي باشد. به كارگيري SIEM به همراه توانايي مانيتورينگ خودكار لاگ، تشخيص الگو، اعلام هشدار، جرم شناسي و همبستگي سنجي گزينه مناسبي براي داشتن عمليات فناوري اطلاعات تكامل يافته تر در سازمان مي باشد.

مطالب مرتبط:
معرفي SIEM

برچسب‌ها
مستندات مرجع
  • 10