کلمه SIEM مخفف عبارت Security Information and Event Management است، از نظری لغوی این عبارت به معنی مدیریت امنیت اطلاعات (SIM) و مدیریت وقایع می باشد،در واقع این عبارت از دو بخش اصلی تشکیل شده است که به صورت مخفف به شکل SIEM درآمده است.
اصطلاح SIEM اولین بار توسط مارک نیکولت و امریت ویلیامز در سال ۲۰۰۵، هنگامی که در حال تکمیل کردن گزارش تحقیقاتی برای شرکت گارتر بودند ابداع شد.
اولین و پیش و پا افتاده ترین کاربرد هر SIEM، متمرکز ساختن تمامی اعلان های امنیتی یا همان secure notification، می باشد. تکنولوژی های مخلتفی که برای تامین امنیت سازمان های مختلف مانند فایروال ها و سیستم های IDS/IPS و آنتی ویروس ها از سری تکنولوژی هایی می باشند که می توان با استفاده از SIEM، اعلان های آن ها را مدیریت کرد.
Access Point ها یا همان نقاط دستیابی وایرلس و یا برخی از سرور های به اصطلاح Active directory، روزانه تعداد زیادی هشتار امنیتی ایجاد می کنند که تعداد انبوه آن می تواند از چند سری جهت برای شرکت ها دردسر ساز باشد.
SIEM چه کاربردی دارد ؟
وقتی که از یک اس آی ای ام استفاده می کنیم می توانیم تمامی این نویتفی ها را به صورت یک گزارش کامل و جامع و بدون شلوغی تبدیل کنیم و در نهایت از آن بهره ببریم.اصطلاح دیگری که برای این عملیات به کار می رود، تجمیع Log گفته می شود.
بیش از ۹۰% قوانین تطبیق پذیر، ملزوماتی را برای Log کردن اطلاعات کاربر وجود می آید، از ردیابی شبکه و عدم پایبندی به قوانین و مقررات گرفته تا انواع دسترسی ها و…
SIEM ها می توانند این فعالیت ها را بسیار بسیار آسان تر و قابل فهم تر انجام دهند، این نظم به این دلیل اتفاق می افتد زیرا اطلاعات به صورت کامل از تمامی سیستم های موجود استخراج می شود و هنگامی که قرار است مورد نمایش در بیاید به صورت یک گزارش کامل و قابل فهم تبدیل می شود.
توجه داشته باشید که این SIEM ها انواع مختلفی دارند و همگی مانند هم نیستند، در برخی از آن ها الگوریتم Build-in استفاده می شود برای اینکه کارآمد بیشتری داشته باشد.
سومین و مهم ترین کاربرد یک SIEM، همبستگی متقابل یا Cross-Correlation می باشد که قابلیت این را دارد که با تجزیه و تحلیل حرفه ای و البته خودکاری که دارد، تمامی Log های موجود از سرتاسر شبکه را را مدیریت کند.
هنگامی که یک SIEM به دنبال حفره ها و مشکلات امنیت سایبری می گردد، در حالت عادی کسی متوجه حضور آن نمی شود. این عدم توجه به این دلیل است که او به جمع آوری اطلاعات از منابع مختلف و در نهایت تجزیه و تحلیل آن ها می پردازد.اما باید توجه داشته باشید که لاگ های امنیتی بدون ابزار های دیگر قابل استفاده و کارآمد نیستند!
SIEM به چه شکل کار می کند ؟
تصور کنید که یکی از سرور های شما توسط افرادی مورد حمله SQL Injection قرار گرفته است و سیستم SIEM توسط یک نوتیفیکشن شما را مطلع می سازد.البته همه این ها بستگی به این دارد که شما یک SQL Server داشته باشید و در یر این صورت SIEM دچار مشکل شده و خطاهایی ایجاد می کند.
اما همانطور که پیشتر درباره آن صحبت کردیم SIEM ها انواعی دارند که هر کدام ویژگی های خاص خود را دارند، به طور مثال با فعال سازی یکی از راهکاری های SIEM، می توانید به آن امکانی بدهید که توانایی تشخیص سرورها، برنامه های در حال اجرا، پیکربندی و … را داشته باشد.با استفاده از این راهکار از بسیاری مشکلات احتمالی جلوگیری می شود و شما زمانی خبرداری وضعیتی می شوید که شما را دچار دردسر کند.
با استفاده کردن از این قابلیت می توان تشخیص داد که هر برنامه کی و چقدر و روی چه چیزی کار می کند.بدون شک شرکت های بزرگ باید از این راهکار بهره ببرند زیرا نمی توانند برای هر نوتیفی معمولی ای خود را نگران کنند.
