أنظمة إدارة المعلومات الأمنية SIEM

نظرة على أنظمة إدارة المعلومات الأمنية SIEM

نظرة على أنظمة إدارة المعلومات الأمنية SIEM

 

 

هل سألت نفسك يوما كيف يمكن للشركات الكبيرة أن تراقب أنظمتها من خوادم وأجهزة شبكات وحماية بشكل منظم بالرغم من تنوع هذه الأجهزة والأنظمة؟

 

لو فرضنا مثلا بأن شركة من الشركات الكبيرة لديها شبكة تحتوي على خوادم تعمل بأنظمة تشغيل مختلفة من خوادم windows وخوادم Linux بتوزيعاتها المختلفة. يمكن أن يكون لكل من هذه الخوادم دور خاص به, فمثلا قد يكون أحد هذه الخوادم يعمل كخادم ويب لإستضافة المواقع الإلكترونية وتطبيقات الويب الخاصة بالشركة وقد يكون آخر يعمل كخادم DNS وآخر كخادم Proxy وغيرها من الأدورا المختلفة.

 

نظرة على أنظمة إدارة المعلومات الأمنية SIEM

نظرة على أنظمة إدارة المعلومات الأمنية SIEM

 

بالطبع فإن الشركات الكبيرة لديها العديد من الأنظمة وهذه الأنظمة ستقوم بتخزين البيانات والإستعلام عنها وإجراء العمليات المختلقة عليه, فهذا يعني بأنه سيكون لديها خوادم خاصة تعمل كخوادم لقواعد البيانات (DB Servers).

 

أيضا قد يكون للشركة العديد من أجهزة الحماية سواء الجدران النارية (Firewalls) أو أنظمة كشف ومنع عمليات التسسل والإختراق (IPS & IDS) أو حتى أجهزة ربط الشبكة المختلفة من routers و Switchs وغيرها.

 

لكل من هذه الأنظمة والخدمات والأجهزة طريقة محددة لتخزين ملفات السجلات(Log files) وهذا الأمر يجعل عملية مراقبة هذه الملفات أمر مرهق كثيرا وصعب جدا, فكل منها له طريقته الخاصة والمختلفة لحفظ البيانات في هذه الملفات بالإضافة الى إختلاف البيانات التي يتم حفظها.

 

لذا ظهرت الحاجة لأن يكون هنالك نظام مركزي متخصص يتم فيه تجميع الأحداث (Events) والتنبيهات الأمنية (Security Alerts) من مختلف الأجهزة والأنظمة والتقنيات الموجودة في البنية التحتية الخاصة بالشركات أو الجهات وذلك لمراقبتها وتحليلها من مكان واحد, الأمر الذي يسهل عملية مراقبة الشبكة بكل ما فيها من أجهزة وأنظمة وتحديد اي أعمال مشبوهة قد تحدث داخلها وربط السجلات من أكثر من جهاز وتقنية مع بعضها البعض لتحديد طبيعة التهديد أو الهجمة التي تحصل أو حصلت للشركة.

 

هذا النظام المركزي يسمى SIEM (Security information and event management) أو “نظام المعلومات الأمنية وإدارة الأحداث” والذي يمكن من خلاله مراقبة ومتابعة جميع الأمور داخل البنية التحتية مثل :

  • أنظمة التشغيل (Windows, Linux, ….etc)
  • الجدران النارية (Firewall)
  • أنظمة كشف ومراقبة المتسللين والدخلاء (IPS & IDS)
  • أنظمة كشف ومراقبة المتسللين والدخلاء (IPS & IDS)
  • مكافحات الفايروسات (Antivirus)
  • أجهزة الشبكات (Switchs, Routers, Access Points, ….etc)
  • قواعد البيانات (DB Servers)
  • الخوادم بأنوعها (HTTP, Application,DNS, DHCP,……etc)
  • وغيرها الكثير الكثير من الخدمات والأنظمة والتقنيات.

 


siem-1

 

 

الـ SIEM هو عبارة عن مجموعة من الأدوات تعمل معا لتقديم نظرة شاملة لجميع الأمور التي تحصل في بنية الشبكة التحتية لدى الشركة أو الجهة. يمكن أن يكون على شكل برنامج (Software) أو جهاز (Appliance) أو على شكل خدمة (Service) يتم إدارتها من قبل شركة أخرى.

 

يعتمد مبدأ الـ SIEM الأساسي على جمع البيانات الأمنية من جميع الأجهزة والتقنيات والأنظمة الموجودة في الشبكة في قاعدة بيانات واحدة بحيث يسهل عرضها ومتابعتها من قبل الشخص او الفريق المسؤول لمتابعة هذه الأحداث وتحليلها لتحديد ما هو مألوف منها وما هو غير مألوف.

 

siem-3

 

 

يجمع هذا النظام نظامين أساسين وهما :

  • نظام إدارة أمن المعلومات أو Security Information Management : حيث يعمل هذا النظام على تجميع البيانات الأمنية من مختلف الأجهزة والتقنيات والأنظمة داخل البنية التحتية للشبكة وتخزينها في قاعدة بيانات مركزية موحدة, ويعمل أيضا على استرجاع البيانات لفترات طويلة من قاعدة البيانات وتحليلها وتصدير التقارير منها.
  • نظام إدارة الأحداث الامنية أو Security Event Management : حيث يعمل هذا النظام على تحليل ومراقبة المعلومات بوقت قياسي (real-time) ويعمل أيضا على ربط الأحداث من الأجهزة والأنظمة المختلفة معا ليقوم بإبلاغ وتنبيه الشخص أو الفريق المسؤول عن متابعة الأحداث الأمنية لإتخاذ الإجراءات الدفاعية المناسبة بشكل سريع.

كيف يعمل نظام الـ SIEM ؟؟

 

 

siem-4

 

كما قلنا فإن الـ SIEM هو عبارة عن مجموعة من الأدوات التي تعمل مع بعضها البعض لتقديم نظرة شاملة حول الوضع الأمني للبنية التحتية للجهة او الشركة, وبالتالي فإن لكل أداة من هذه الأدوات وظيفة خاصة ومحددة تعمل بها.

 

لذا, دعونا نتحدث بشكل مبسط عن المنهجية التي يعمل بها ها النظام, حيث يمكن تقسيم المنهجية التي يعمل بها الى خمسة مراحل وهي كالآتي :

المرحلة الأولى : مرحلة تجميع السجلات والأحداث (Event & Log Collection)

وهي عبارة عن المرحلة التي يتم فيها تجميع جميع الأحداث والتنبيهات الأمنية من جميع الأجهزة والأنظمة والتقنيات والخدمات المتوفرة والمتواجدة في البنية التحتية للجهة بشكل أوتوماتيكي. ويتم ذلك عن طريق تثبيت بعض المحركات الخاصة التي تعمل على تجميع هذه الأمور وارسالها للـ SIEM ليتم تخزينها في قاعدة بياناته الخاصة.

 

المرحلة الثانية : مرحلة التصنيف السجلات والأحداث (Normalization)

وهي عبارة عن المرحلة التي يتم فيها تصنيف الأحداث والتنبيهات الأمنية وتحديد مصدر هذه الأحداث سواء من قاعدة البيانات أم من خوادم الويب أو غيرها من خدمات وتقنيات وأنظمة داخل البنية التحتية.

 

المرحلة الثالثة : مرحلة تحليل السجلات والأحداث (Analysis)

وهي عبارة عن المرحلة التي يقوم فيها الشخص أو الفريق الأمني المسؤول في الجهة بوضع قواعد خاصة يتم تنفيذها عند حدوث حدث أو تنبيه أمني محدد. فمثلا لو كان هنالك حدث أمني معين لتجاوز محاولات الدخول الخاطئة على جهاز أو خدمة معينة داخل الشبكة لعدد المرات المسموح بها, سيقوم الفريق الأمني بتحديد إجراء معين سيتم إتخاذه مثل إرسال بريد إلكتروني يصف الأمر بشكل مفصل.

 

المرحلة الرابعة : مرحلة الترابط والإستنتاج (Correlation)

وهي المرحلة التي يقوم بها الـ SIEM بربط الأحداث الأمنية التي تم تجميعها من مختلف الأمور داخل البنية التحتية مع بعضها البعض وتحديد العلاقات فيما بينها وذلك لتحديد الآلية التي تمت بها الهجمة أو محاولة الإختراق أو عملية الإختراق إن حصلت لتوفير الوقت على الفريق الأمني لدى الجهة.

 

المرحلة الخامسة : مرحلة إصدار التقارير (Reporting)

وهي المرحلة التي يتم فيها تزويد الفريق الأمني في الشركة أو الجهة بتقرير وافي حول جميع الأحداث الامنية التي حصلت داخل الشبكة والبنية التحتية, مع تزويدهم بتوصيات وإجراءات مقترحة لتنفيذها بالإضافة للعديد من الأمور والتفاصيل الأخرى.

 

من هنا يظهر لنا بأن أنظمة الـ SIEM تتمتع بالقدرات التالية :

  • تجميع البيانات أو Data aggregation : وهي القدرة على إدارة البيانات المجمعة من الأجهزة و الخوادم و قواعد البيانات والتطبيقات و الأنظمة المختلفة وتوحيد هذه البيانات لمساعدة الفريق الأمني المختص في الشركة على تجنب فقدان الأحداث غير المألوفة.
  • الارتباط أو Correlation : وهي القدرة على ربط الأحداث المجمعة والبحث عن السمات المشتركة فيما بينها وتحويلها الى معلومات مفيدة لتسهل فهم الأمور التي حصلت في الشبكة من قبل الفريق الامني لدى الجهة أو الشركة.
  • التنبيه أو Alerting : وهي قدرتها على إرسال التنبيهات المختلفة بعد تحليل الاحداث الأمنية لإعلام الفريق الامني بالنتائج, حيث يمكن إستعراضها من لوحة القيادة أو إرسالها عبر البريد الإلكتروني أو عبر الرسائل القصيرة SMS.
  • لوحة القيادة أو Dashboards : وهي القدرة على تحويل البيانات التي تم تجميعها وتحليلها لمخططات مرئية لتعطي الفريق الامني القدرة على رؤية الأحداث والأنماط وتحديد الأحداث المشبوهة بشكل سريع.
  • الامتثال أو Compliance : وهي القدرة على تجميع البيانات وإنتاج التقارير بشكل أوتوماتيكي ليتم استخدامها كمراجع الامتثال للتأكد من أن الجهة تطبق سياسات الحوكمة والامتثال الأمنية.
  • الاحتفاظ أو Retention : وهي القدرة على تخزين بعض البيانات على مدى طويل وتسهيل الارتباط بالأحداث الأمنية مع مرور الوقت.
  • التحليل أو Forensic Analysis : وهي قدرتها على البحث في السجلات من أجهزة مختلفة, الأمر الذي يقلل الحاجة إلى البحث وتجميع آلاف السجلات.

مراجع ومصادر إضافية :

  • ما هو الـ SIEM : https://en.wikipedia.org/wiki/Security_information_and_event_management
  • فيديو للمهندس تامر زين : https://www.youtube.com/watch?v=Q6JfQAA9e9I

 

هل أعجبتك هذه التدوينة ؟ قم بلإطلاع على المقالات السابقة لنا.

أمن المعلومات

أنواع أجهزة وأنظمة حماية الشبكات وكيفية عملها

التصيد الإلكتروني – Phishing

سؤال وجواب في أمن المعلومات | Information Security Q&A (الجزء الأول)

سؤال وجواب في أمن المعلومات | Information Security Q&A (الجزء الثاني)

مدخل إلى علم التشفير

 

 

لمتابعة المزيد من الأخبار و المقالات و الفيديوهات التعليمية, تابعونا على صفحتنا على موقع فيسبوك عبر الرابط التالي : صفحة موقع تكناوي.نت

عن محمد خريشة

مهندس حاسوب من الأردن مهتم ومهووس بكل ماله علاقة بالتقنية على اختلاف اصنافها, عملت و مازلت اعمل كمطور لمواقع الويب بشكل فردي, عملت بمؤسسات اردنية كمهندس شبكات ومن ثم مهندس انظمة و حماية و الآن أعمل كمدير لقواعد بيانات اوراكل بالإضافة الى ادراة خوادم *nix , لدي خبرة بالتعامل و ادارة نظام تشغيل OpenVMS و نظام البريد الإلكتروني Exchange Server من شركة مايكروسوفت . من اهتماماتي اثراء المحتوى التقني العربي بكل ما هو جديد.

3 تعليقات

  1. تدوينة روعة واستفدت منها كتير

  2. شكرررراااااااا شرح رائع 🙂

  3. شرح رائع شكرلكم

اضف رد

لن يتم نشر البريد الإلكتروني . الحقول المطلوبة مشار لها بـ *

*

five × four =

This site uses Akismet to reduce spam. Learn how your comment data is processed.