تتكون البنية التحتية الحديثة لتكنولوجيا المعلومات للشركات من العديد من الأنظمة والمكونات. ويمكن أن يكون تتبعها بشكل فردي أمرًا صعبًا للغاية - فكلما كبرت المؤسسة ، زادت صعوبة هذه المهام. ولكن هناك أدوات تجمع في مكان واحد تقارير عن تشغيل البنية التحتية للشركة بالكامل - أنظمة SIEM (معلومات الأمان وإدارة الأحداث). اقرأ عن أفضل هذه المنتجات وفقًا لخبراء Gartner في مراجعتنا ، وتعرف على الميزات الرئيسية في جدول المقارنة الخاص بنا .
باختصار ، توفر تقنية SIEM للمسؤولين نظرة عامة على ما يحدث على الشبكة. توفر هذه الأنظمة تحليلًا في الوقت الفعلي لأحداث الأمان ، فضلاً عن نشاط الأجهزة والمستخدمين ، مما يتيح لك الاستجابة لها قبل حدوث ضرر كبير.
تجمع برامج SIEM المعلومات من الخوادم ووحدات التحكم بالمجال والجدران النارية والعديد من أجهزة الشبكة الأخرى وتوفرها في شكل تقارير سهلة الاستخدام. هذه البيانات ليست بالضرورة متعلقة بالأمن. بمساعدتهم ، على سبيل المثال ، يمكنك فهم كيفية عمل البنية التحتية للشبكة ووضع خطة لتحسينها. لكن الشيء الرئيسي ، بالطبع ، هو اكتشاف الثغرات المحتملة ، وكذلك توطين وإزالة التهديدات الموجودة. يتم توفير هذه البيانات من خلال جمع وتجميع بيانات سجل جهاز الشبكة.
بعد جمع المعلومات (يحدث هذا الإجراء تلقائيًا على فترات زمنية محددة) ، يتم تحديد الأحداث وتصنيفها. ثم (مرة أخرى ، وفقًا للإعدادات المحددة) يتم إرسال تنبيهات بأن إجراءات معينة للمعدات أو البرامج أو المستخدمين قد تكون مشكلات أمنية محتملة.
ما هي الفرص المتاحة؟
يساعد SIEM في حل مجموعة متنوعة من المهام. من بينها: الكشف في الوقت المناسب عن الهجمات المستهدفة والانتهاكات غير المقصودة لأمن المعلومات من قبل المستخدمين ، وتقييم أمن الأنظمة والموارد الهامة ، وإجراء التحقيقات في الحوادث ، وأكثر من ذلك بكثير.
في الوقت نفسه ، تحتوي منصات SIEM على عدد من القيود. فهم ، على سبيل المثال ، لا يعرفون كيفية تصنيف البيانات ، وغالبًا لا يعملون بشكل جيد مع البريد الإلكتروني ، ولديهم نقاط عمياء فيما يتعلق بأحداثهم الخاصة. وبالطبع ، لا يمكنهم تغطية قضايا أمن المعلومات في المؤسسة بالكامل. لكنها في الوقت نفسه جزء مهم من نظام الدفاع للمؤسسة ، وإن لم تكن حرجة. علاوة على ذلك ، فإن تطوير منصات SIEM لا يزال قائما. على سبيل المثال ، تحتوي بعض المنتجات الحديثة على وظائف تحليلية ، أي أنها لا تصدر التقارير فقط وتشير إلى المشكلات المحتملة ، ولكنها تعرف أيضًا كيفية تحليل الأحداث نفسها واتخاذ قرارات بشأن الإبلاغ عن أحداث معينة.
في أي حال ، عند اختيار منتج معين ، يجب أن تركز على العديد من المعلمات ، من بينها سوف نفرز التجميع المركزي للمعلومات ومعالجتها وتخزينها ، والإخطار بالحوادث وتحليل البيانات (الارتباط) ، وكذلك عرض تغطية شبكة الشركة. وبالطبع ، إذا أمكن ، فإن الأمر يستحق تشغيل نسخة تجريبية / تجريبية قبل الشراء ومعرفة كيف يناسب الشركة.
IBM QRadar Security Intelligence
تعد منصة SIEM من شركة IBM للتكنولوجيا العملاقة واحدة من أكثر الأنظمة تقدمًا في السوق: حتى في ربع Gartner للقادة ، فهي تتفوق على المنافسة ، وهي موجودة منذ 10 سنوات متتالية. يتكون المنتج من عدة أنظمة متكاملة توفر معًا أقصى تغطية للأحداث التي تحدث في الشبكة ، وتعمل العديد من الوظائف فور إخراجها من الصندوق. الأداة قادرة على جمع البيانات من مجموعة متنوعة من المصادر ، مثل أنظمة التشغيل وأجهزة الأمان وقواعد البيانات والتطبيقات وغيرها الكثير.
يمكن لـ QRadar Security Intelligence فرز الأحداث حسب الأولوية وإبراز الأحداث التي تشكل أكبر تهديد أمني. ويرجع ذلك إلى وظائف تحليل السلوك الشاذ للأشياء (المستخدمون والمعدات والخدمات والعمليات في شبكة الشركة). يتضمن ذلك تحديد الإجراءات المرتبطة بالوصول إلى عناوين IP المشبوهة أو الطلبات منها. يتم توفير تقارير مفصلة لجميع الأنشطة المشبوهة ، والتي ، على سبيل المثال ، تجعل من الممكن الكشف عن الأنشطة المشبوهة خارج ساعات العمل. يساعد هذا النهج ، جنبًا إلى جنب مع ميزات مراقبة المستخدم ورؤية الشبكة على مستوى التطبيق ، على مكافحة التهديدات الداخلية. بالإضافة إلى ذلك ، في الهجمات الإلكترونية التقليدية ، تصل المعلومات بسرعة كبيرة وتسمح بمنعها من قبلكيف سيحققون هدفهم ويسببون أضرارًا كبيرة.
تتمثل إحدى الميزات الرئيسية لبرنامج IBM QRadar Security Intelligence في الاكتشاف المستند إلى المخاطر وتحديد الأولويات باستخدام التحليل المتقدم والارتباط بين الأصول والمستخدمين ونشاط الشبكة ونقاط الضعف الموجودة وذكاء التهديدات والمزيد. يمكن لـ IBM Qradar تجميع الأحداث معًا لإنشاء هناك عملية منفصلة لكل حادث.
نظرًا لأنه يتم جمع المعلومات وعرضها على الشاشة في مكان واحد ، يمكن للمسؤول رؤية جميع الأنشطة المشبوهة ذات الصلة التي تم اكتشافها بواسطة النظام. ويتم إضافة الأحداث الجديدة ذات الصلة إلى سلسلة واحدة ، حتى لا يضطر المحللون إلى التبديل بين التنبيهات المتعددة. ولإجراء تحقيقات أعمق ، يمكن للأداة الخاصة IBM QRadar Incident Forensics استعادة جميع حزم الشبكة المرتبطة بالحادث وإعادة إنشاء إجراءات المهاجم خطوة بخطوة.
أمان المؤسسة Splunk
إحدى المنصات الرائدة في الصناعة ، وتتميز بمجموعة واسعة من مصادر المعلومات التي تعمل معها. يمكن لـ Splunk Enterprise Security جمع سجلات الأحداث من مكونات الشبكة التقليدية (الخوادم وأجهزة الأمان والبوابات وقواعد البيانات وما إلى ذلك) والأجهزة المحمولة (الهواتف الذكية وأجهزة الكمبيوتر المحمولة والأجهزة اللوحية) وخدمات الويب والمصادر الموزعة. المعلومات المجمعة: بيانات عن إجراءات المستخدم ، والسجلات ، ونتائج التشخيص ، وما إلى ذلك. وهذا يسمح بالبحث والتحليل المريحين في الوضع التلقائي واليدوي. يحتوي الحل على مجموعة متنوعة من الإشعارات القابلة للتخصيص والتي ، بناءً على المعلومات التي تم جمعها ، تحذر من التهديدات الحالية وتبلغ بشكل استباقي عن المشكلات المحتملة.
يتكون المنتج من عدة وحدات مسؤولة عن إجراء التحقيقات والمخططات المنطقية للموارد المحمية والتكامل مع العديد من الخدمات الخارجية. هذا النهج يجعل من الممكن إجراء تحليل مفصل على مجموعة متنوعة من المعايير وإقامة علاقة بين الأحداث التي ، للوهلة الأولى ، لا ترتبط ببعضها البعض بأي شكل من الأشكال. يتيح لك Splunk Enterprise Security ربط البيانات حسب الوقت والموقع والطلبات التي تم إنشاؤها والاتصالات بأنظمة مختلفة والمعلمات الأخرى.
يمكن للأداة أيضًا العمل مع مجموعات البيانات الكبيرة وهي عبارة عن نظام أساسي كامل للبيانات الضخمة. يمكن معالجة كميات كبيرة من البيانات في الوقت الفعلي وفي وضع البحث التاريخي ، وكما ذكر أعلاه ، يتم دعم عدد كبير من مصادر البيانات. يمكن لـ Splunk Enterprise Security فهرسة مئات تيرابايت من البيانات يوميًا ، بحيث يمكن تطبيقها حتى على شبكات المؤسسات الكبيرة جدًا. تتيح لك أداة MapReduce المخصصة إمكانية توسيع نطاق النظام أفقيًا وتوزيع الأحمال بالتساوي ، بحيث يكون أداء النظام دائمًا عند مستوى مقبول. في نفس الوقت ، تتوفر تكوينات للتجميع واستعادة البيانات بعد الكوارث للمستخدمين.
McAfee Enterprise Security Manager
يتم تقديم الحل من McAfee كأجهزة فعلية وافتراضية بالإضافة إلى برامج. يتكون من عدة وحدات يمكن استخدامها معًا أو بشكل منفصل. يوفر Enterprise Security Manager مراقبة مستمرة للبنية التحتية لتكنولوجيا المعلومات للشركات ، ويجمع معلومات حول التهديدات والمخاطر ، ويسمح لك بتحديد أولويات التهديدات وإجراء التحقيقات بسرعة. لجميع المعلومات الواردة ، يقوم الحل بحساب مستوى نشاط الأساس ويقوم بإنشاء إعلامات مسبقة سيتم إرسالها إلى المسؤول في حالة انتهاك نطاق هذا النشاط. تعرف الأداة أيضًا كيفية العمل مع السياق ، مما يوسع بشكل كبير من إمكانيات التحليل واكتشاف التهديدات ، فضلاً عن تقليل عدد الإشارات الخاطئة.
يتكامل McAfee ESM جيدًا مع منتجات الجهات الخارجية دون استخدام واجهة برمجة التطبيقات ، مما يجعله متوافقًا مع العديد من حلول الأمان الشائعة الأخرى. كما أن لديها دعمًا لمنصة McAfee Global Threat Intelligence ، والتي توسع وظائف SIEM التقليدية. بفضلها ، تتلقى ESM معلومات محدثة باستمرار حول التهديدات من جميع أنحاء العالم. في الممارسة العملية ، هذا يجعل من الممكن ، على سبيل المثال ، اكتشاف الأحداث المرتبطة بعناوين IP المشبوهة.
لتحسين أداء النظام ، يقدم المطور لعملائه مجموعة من أدوات McAfee Connect. تحتوي هذه الأدوات على تكوينات جاهزة لمساعدتك في التعامل مع حالات استخدام SIEM المعقدة. على سبيل المثال ، تسمح لك مجموعة أدوات تحليل سلوك المستخدم بالعثور على التهديدات المخفية بشكل أفضل وأسرع ، وتجعل العمليات الأمنية أكثر دقة ، وتقصير أوقات التحقيق في الحوادث بشكل كبير. تسمح لك حزمة لنظام التشغيل Windows بمراقبة خدمات نظام التشغيل هذا لتقييم الاستخدام السليم لها واكتشاف التهديدات. هناك أكثر من 50 حزمة متاحة في المجموع لسيناريوهات ومنتجات مختلفة وامتثال للمعايير.
منصة الأمان الموحدة من AlienVault
اندمجت شركة AlienVault مؤخرًا مع AT & T Business تحت العلامة التجارية AT & T Security ، ولكن يتم بيع منتجها الرئيسي حاليًا تحت الاسم القديم. هذه الأداة ، مثل معظم الأنظمة الأساسية الأخرى في المراجعة ، لديها وظائف أكثر من SIEM التقليدي. لذلك ، في برنامج AlienVault USM ، توجد وحدات مختلفة مسؤولة عن التحكم في الأصول ، والتقاط كامل للحزم ، وما إلى ذلك. كما أن النظام الأساسي قادر على اختبار الشبكة بحثًا عن نقاط الضعف ، ويمكن أن يكون هذا فحصًا لمرة واحدة ومراقبة مستمرة. في الحالة الأخيرة ، يتم تلقي الإخطارات حول وجود ثغرة أمنية جديدة في وقت واحد تقريبًا مع ظهورها.
تتضمن ميزات النظام الأساسي الأخرى تقييمًا للثغرات الأمنية للبنية التحتية ، والذي يوضح مدى أمان الشبكة وكيفية تكوينها لتلبية معايير الأمان. تعرف المنصة أيضًا كيفية اكتشاف الهجمات على الشبكة وإخطارها في الوقت المناسب. في هذه الحالة ، يتلقى المسؤولون معلومات مفصلة حول مصدر التسلل ، وأجزاء الشبكة التي تعرضت للهجوم والأساليب التي يستخدمها المهاجمون ، بالإضافة إلى ما يجب فعله لصده أولاً. بالإضافة إلى ذلك ، فإن النظام قادر على اكتشاف الهجمات الداخلية من داخل الشبكة والإبلاغ عنها.
من خلال حل AlienApps المملوك ، يمكن لمنصة USM أن تتكامل مع حلول الأمان المقدمة من العديد من موردي الجهات الخارجية وتكملها بشكل فعال. تعمل هذه الأدوات أيضًا على تحسين تخصيص أمان AlienVault USM وإمكانيات أتمتة الاستجابة للتهديدات. وبالتالي ، تصبح جميع المعلومات تقريبًا حول حالة أمان شبكة الشركة متاحة مباشرةً من خلال واجهة النظام الأساسي. توفر هذه الأدوات أيضًا القدرة على أتمتة إجراءات الاستجابة وتنظيمها عند اكتشاف التهديدات ، مما يبسط بشكل كبير ويسرع اكتشافها والاستجابة للحوادث. على سبيل المثال ، إذا تم العثور على رابط إلى موقع تصيد ، يمكن للمسؤول إرسال البيانات إلى خدمة حماية DNS لجهة خارجية لحظر هذا العنوان تلقائيًا - وبالتاليسيصبح غير متاح للزيارة من أجهزة الكمبيوتر داخل المنظمة.
Micro Focus ArcSight Enterprise Security Manager
منصة SIEM من Micro Focus ، التي طورتها HPE حتى عام 2017 ، هي أداة شاملة لاكتشاف وتحليل وإدارة سير العمل في الوقت الفعلي. توفر الأداة فرصًا كبيرة لجمع المعلومات حول حالة الشبكة والعمليات التي تحدث فيها ، بالإضافة إلى مجموعة كبيرة من مجموعات قواعد الأمان الجاهزة. العديد من الميزات في ArcSight Enterprise Security Manager مؤتمتة ، مثل تحديد التهديدات وتحديد الأولويات. بالنسبة إلى التحقيقات ، يمكن أن تتكامل هذه الأداة مع حل آخر خاص بالملكية - ArcSight Investigate. يمكنه اكتشاف التهديدات غير المعروفة وإجراء عمليات بحث ذكية سريعة ، بالإضافة إلى تصور البيانات.
النظام الأساسي قادر على معالجة المعلومات من مجموعة متنوعة من أنواع الأجهزة ، وفقًا للمطورين ، هناك أكثر من 500 منها ، تدعم آلياتها جميع تنسيقات الأحداث الشائعة. يتم تحويل المعلومات التي تم جمعها من المصادر عبر الإنترنت إلى تنسيق عالمي لاستخدامها على النظام الأساسي. يحدد هذا النهج بسرعة المواقف التي تتطلب التحقيق أو اتخاذ إجراء فوري ، ويساعد المسؤولين على التركيز على التهديدات الأكثر إلحاحًا والأكثر خطورة.
بالنسبة للشركات التي لديها شبكات واسعة من المكاتب والأقسام ، تتيح ArcSight ESM استخدام نموذج تشغيل SecOps ، عندما تكون فرق الأمان عن بُعد موحدة ويمكنها تبادل التقارير والعمليات والأدوات والمعلومات في الوقت الفعلي. لذلك ، بالنسبة لجميع الإدارات والمكاتب ، يمكنهم تطبيق مجموعات مركزية من الإعدادات والسياسات والقواعد ، واستخدام مصفوفات موحدة للأدوار وحقوق الوصول. يتيح لك هذا الأسلوب الاستجابة السريعة للتهديدات أينما ظهرت في الشركة.
منصة RSA NetWitness
النظام الأساسي من RSA (أحد أقسام Dell) عبارة عن مجموعة من الوحدات النمطية التي توفر رؤية التهديدات استنادًا إلى البيانات من مجموعة متنوعة من مصادر الشبكة: نقاط النهاية و NetFlow وأجهزة الأمان والمعلومات من الحزم المرسلة وما إلى ذلك. لهذا الغرض ، مزيج من العديد من الأجهزة المادية و / أو الافتراضية التي تعالج المعلومات في الوقت الفعلي وتصدر تحذيرات بناءً عليها ، بالإضافة إلى تخزين البيانات لإمكانية إجراء تحقيقات مستقبلية. علاوة على ذلك ، يقدم المطور هندسة لكل من الشركات الصغيرة والشبكات الموزعة الكبيرة.
منصة NetWitness قادرة على تحديد التهديدات الداخلية والعمل مع المعلومات السياقية حول بنية أساسية معينة ، مما يسمح لك بتحديد أولويات التنبيهات وتحسين العمل وفقًا لخصائص المؤسسة. النظام الأساسي قادر أيضًا على مقارنة المعلومات حول الحوادث الفردية ، مما يسمح لك بتحديد النطاق الكامل للهجمات على الشبكة وتهيئتها بطريقة تقلل من المخاطر المماثلة في المستقبل.
يولي المطورون الكثير من الاهتمام للعمل مع نقاط النهاية. لذلك ، يوجد في RSA NetWitness Platform وحدة منفصلة لذلك ، والتي توفر رؤيتها على مستوى المستخدم ومستوى النواة. يمكن للأداة اكتشاف النشاط غير الطبيعي وحظر العمليات المشبوهة وتقييم مدى ضعف جهاز معين. وتؤخذ البيانات التي تم جمعها في الاعتبار في تشغيل النظام بأكمله وتؤثر أيضًا على التقييم العام لأمن الشبكة.
منصة أمان FireEye Helix
تسمح منصة FireEye المستندة إلى السحابة للمؤسسات بالتحكم في أي حوادث ، من الإبلاغ عنها إلى تصحيح الموقف. فهو يجمع بين العديد من الأدوات المسجلة الملكية ويمكن أن يتكامل مع أدوات الطرف الثالث. تستخدم منصة Helix Security Platform تحليلات واسعة النطاق لسلوك المستخدم للتعرف على التهديدات الداخلية والهجمات غير المتعلقة بالبرامج الضارة.
لمواجهة التهديدات ، لا تستخدم الأداة الإخطارات من المسؤولين فحسب ، بل تطبق أيضًا مجموعات القواعد المحددة مسبقًا ، والتي يبلغ عددها حوالي 400. وهذا يقلل من عدد الإيجابيات الخاطئة ويخفف المسؤولين من الفحص المستمر لرسائل التهديد. بالإضافة إلى ذلك ، يوفر النظام القدرة على التحقيق والبحث عن التهديدات والتحليل السلوكي ودعم الموارد المتعددة للحصول على المعلومات والإدارة السهلة للمجمع الأمني بأكمله.
تقوم الأداة بعمل جيد لاكتشاف التهديدات المتقدمة. تتمتع منصة Helix Security Platform بالقدرة على دمج أكثر من 300 أداة أمان من FireEye والموردين الخارجيين. من خلال تحليل سياق الأحداث الأخرى ، توفر هذه الأدوات مستوى عالٍ من اكتشاف الهجمات السرية والمقنعة.
Rapid7 انسايت IDR
تقدم شركة Rapid7 للعملاء منصة Cloud-SIEM ، شحذها تحليل السلوك. يُجري النظام تحليلاً متعمقًا للسجلات والسجلات ، كما يُنشئ مصائدًا خاصة لاكتشاف الاختراقات غير القانونية في الشبكة. تراقب أدوات InsightIDR نشاط المستخدم بشكل مستمر وتربطها بأحداث الشبكة. هذا لا يساعد فقط في تحديد المطلعين ، بل يمنع أيضًا الانتهاكات الأمنية المتعمدة.
يراقب Rapid7 InsightIDR نقاط النهاية باستمرار. هذا يجعل من الممكن رؤية العمليات غير العادية ، وسلوك المستخدم غير المعتاد ، والمهام الغريبة ، وما إلى ذلك. إذا تم اكتشاف مثل هذه الإجراءات ، يسمح لك النظام بالتحقق مما إذا كانت تتكرر على أجهزة كمبيوتر أخرى أو تظل مشكلة محلية. وعند ظهور المشاكل والتحقيق في الحوادث ، يتم استخدام أداة مرئية تنظم بشكل ملائم البيانات المتراكمة بمرور الوقت وتبسط التحقيق بشكل كبير.
لمواجهة التهديدات بشكل أفضل ، يمكن لخبراء المطورين تقييم درجة حماية بيئة الشركة بشكل مستقل ، من المعدات إلى العمليات والسياسات الحالية. يتيح لك ذلك إنشاء مخطط حماية شبكي مثالي من البداية باستخدام Rapid7 insightIDR أو تحسين الأنظمة الحالية.
فورتينت فورتيسيم
يعد حل Fortinet الشامل والقابل للتطوير جزءًا من منصة Fortinet Security Fabric. يتم تقديم الحل في شكل أجهزة مادية ، ولكن يمكن أيضًا استخدامه على أساس البنية التحتية السحابية أو كجهاز افتراضي. توفر الأداة مجموعة كبيرة من مصادر المعلومات - يتم دعم أكثر من 400 جهاز من الشركات المصنعة الأخرى. يتضمن ذلك نقاط النهاية وأجهزة إنترنت الأشياء والتطبيقات وأدوات الأمان والمزيد.
النظام الأساسي قادر على جمع ومعالجة المعلومات من نقاط النهاية ، بما في ذلك سلامة الملفات وتغييرات التسجيل والبرامج المثبتة والأحداث المشبوهة الأخرى. لدى FortiSIEM أدوات تحليل متعمقة تشمل البحث في الوقت الفعلي والأحداث الماضية ، والبحث عن السمات والكلمات الرئيسية ، وقوائم المراقبة المتغيرة ديناميكيًا التي تُستخدم للكشف عن الانتهاكات الخطيرة ، وغير ذلك الكثير.
توفر الأداة للمسؤولين لوحات معلومات كاملة الوظائف وقابلة للتخصيص تعمل على تحسين قابلية استخدام النظام بشكل كبير. لديهم القدرة على تشغيل عروض الشرائح لإظهار أداء النظام ، وإنشاء مجموعة متنوعة من التقارير والتحليلات ، واستخدام الترميز اللوني لتسليط الضوء على الأحداث الهامة.
بدلا من خاتمة
يوجد عدد كبير جدًا من حلول SIEM في السوق ، ومعظمها وظيفي تمامًا. غالبًا ما تتجاوز قدراتهم تعريف SIEM القياسي وتقدم للعملاء مجموعة متنوعة من أدوات إدارة الشبكة. علاوة على ذلك ، يعمل الكثير من خارج الصندوق مباشرة ، مما يتطلب الحد الأدنى من التدخل أثناء التثبيت والتكوين الأولي. ولكن هناك أيضًا مشكلة: يمكن أن تختلف في عشرات من المعلمات الصغيرة ، والتي لا يمكن الحديث عنها في مراجعة واحدة. لذلك ، في كل حالة محددة ، تحتاج إلى تحديد حل ليس فقط بناءً على الاحتياجات الرئيسية للمؤسسة ، ولكن أيضًا مراعاة التفاصيل الصغيرة والنمو المستقبلي للمؤسسة.
لقد لفتنا انتباهك إلى النقاط الرئيسية ، وسيساعدك اختبار الإصدارات التجريبية من المنتجات على فهم التعقيدات والفروق الدقيقة بدقة. لحسن الحظ ، يوفر جميع البائعين تقريبًا مثل هذه الفرصة.
المؤلف: ديمتري أونيشينكو