إدارة السجلات في نظام SIEM: الدليل الشامل

سجلات الأحداث هي أساس مراقبة الأمان الحديثة، والتحقيقات، والطب الشرعي، وأنظمة SIEM. في هذا الفصل، ستتعلم بعمق كيف يتم تجميع السجلات، ومعالجتها، وتخزينها، وكيف يتم استخدامها في مركز عمليات الأمان (SOC).

SIEM مقابل إدارة السجلات: ما هو الفرق؟

نظام إدارة معلومات الأمان (SIEM) وإدارة السجلات متشابهان في الجوانب التالية:

• تقوم الأداتان بجمع وتخزين واسترجاع بيانات السجلات في الوقت الحقيقي عبر أنظمة التشغيل، وأجهزة الأمان، والبنية التحتية للشبكات، والأنظمة، والتطبيقات.
• يمكن استخدام الأداتين للتقارير التشغيلية وتدقيق الامتثال.
• تمكن الأداتان فرق تكنولوجيا المعلومات والأمن من إدارة وتوحيد السجلات، وتحديد معايير للتنبيه، والوصول إلى بيانات السجلات الكاملة لمزيد من التحقيق في الحوادث.

تتمتع أنظمة إدارة معلومات الأمان (SIEM) وإدارة السجلات بالفروق الرئيسية التالية:

• يجمع نظام SIEM بين سجلات الأحداث والمعلومات السياقية حول المستخدمين والأصول والتهديدات والثغرات، ويمكن أن يساعد في ربط الأحداث ذات الصلة. عادةً ما لا توفر إدارة السجلات تحليلًا سياقيًا للسجلات. الأمر متروك لمحلل الأمن لتفسير البيانات وتحديد ما إذا كانت التهديدات حقيقية.
• يوفر نظام SIEM تحليلًا للتهديدات في الوقت الحقيقي والتاريخي استنادًا إلى بيانات السجل. كما أنه يرسل تنبيهات عند اكتشاف تهديدات أمنية محتملة، ويعطي الأولوية للتهديدات بناءً على شدتها، ويساعد المتخصصين في الأمن على معالجة القضايا بشكل منهجي. عادةً ما تفتقر أدوات إدارة السجلات إلى هذه الميزات، مما يجعلها أقل ملاءمة لسيناريوهات اكتشاف التهديدات والاستجابة للحوادث.
• يجمع نظام SIEM السجلات ويقوم بتوحيدها في تنسيق موحد لضمان الاتساق عبر جميع بيانات السجلات. عادةً ما لا تقوم إدارة السجلات بتحويل بيانات السجلات من مصادر مختلفة، مما يؤدي إلى عدم الاتساق والتباين في البيانات المجمعة.

ما هي مراقبة السجلات؟

هناك ثروة من المعلومات في ملفات السجل يمكن أن تساعد في تحديد المشكلات والأنماط في أنظمة الإنتاج. تتضمن مراقبة السجلات فحص ملفات السجل، والبحث عن أنماط أو قواعد أو سلوكيات مستنتجة تشير إلى أحداث مهمة، وإرسال تنبيه إلى موظفي العمليات أو الأمن.

يمكن أن تساعد مراقبة السجلات في تحديد المشكلات قبل أن يواجهها المستخدمون. يمكن أن تكشف عن سلوك مشبوه قد يمثل هجومًا على الأنظمة التنظيمية. كما يمكن أن تساعد أيضًا في تسجيل سلوكيات الأجهزة أو الأنظمة أو المستخدمين، من أجل تحديد الشذوذ الذي يتطلب التحقيق.

كيف تعمل تسجيلات SIEM؟ أساسيات سجلات الأحداث الأمنية.

تُعتبر تجميع السجلات ومراقبتها نشاطًا مركزيًا لفرق الأمن. إن جمع معلومات السجلات من الأنظمة الحرجة وأدوات الأمان، وتحليل تلك السجلات، هو الطريقة الأكثر شيوعًا لتحديد الأحداث غير العادية أو المشبوهة، التي قد تمثل حادثة أمنية.

المفهومان الأساسيان لإدارة سجلات الأمان هما الأحداث والحوادث - الحدث هو شيء يحدث على الشبكة على جهاز نهائي. يمكن تحديد حدث أو أكثر كحادثة - هجوم، انتهاك لسياسات الأمان، وصول غير مصرح به، أو تغيير في البيانات أو الأنظمة دون موافقة المالك.

أحداث السجل الشائعة ذات الصلة بالأمان

• تقرير من برنامج مكافحة الفيروسات يفيد بأن جهازًا ما مصاب ببرمجيات خبيثة.
• تقرير من جدار الحماية حول حركة المرور إلى/from عنوان شبكة محظور.
• محاولة الوصول إلى نظام حرج من مضيف أو عنوان IP غير معروف.
• محاولات متكررة فاشلة للوصول إلى نظام حيوي.
• تغيير في صلاحيات المستخدمين
• استخدام بروتوكولات أو منافذ غير آمنة أو محظورة

الحوادث الأمنية الشائعة

• تم استلام بريد إلكتروني خبيث وتفعيله من قبل مستخدمي المنظمة.
• موقع ويب خبيث تم الوصول إليه من قبل مستخدمي المنظمة (مثل، التحميل التلقائي)
• الاستخدام غير الصحيح أو المحظور من قبل مستخدم مخول
• دخول غير مصرح به
• محاولة للتلاعب أو منع الوصول إلى الأنظمة التنظيمية أو حذفها.
• فقدان أو سرقة المعدات، مثل أجهزة الكمبيوتر المحمولة للموظفين والخوادم.
• تسرب البيانات أو إصابة بالبرمجيات الخبيثة عبر وسائل التخزين القابلة للإزالة.

تحليل سجلات إدارة معلومات وأحداث الأمان

في عالم الأمن، النظام الأساسي الذي يجمع السجلات، ويراقبها، وينشئ تنبيهات حول الأنظمة الأمنية المحتملة، هو حل إدارة معلومات وأحداث الأمان (SIEM).

تجمع منصات SIEM البيانات التاريخية للسجلات والتنبيهات الفورية من حلول الأمان وأنظمة تكنولوجيا المعلومات مثل خوادم البريد الإلكتروني، خوادم الويب، وأنظمة المصادقة.

يقومون بتحليل البيانات وتحديد العلاقات التي تساعد في التعرف على الشذوذ والثغرات والحوادث. التركيز الرئيسي لنظام SIEM هو على الأحداث المتعلقة بالأمان مثل تسجيل الدخول المشبوه، والبرمجيات الخبيثة، أو تصعيد الامتيازات.

هدف نظام إدارة معلومات الأمان (SIEM) هو تحديد الأحداث التي لها أهمية أمنية والتي يجب مراجعتها من قبل محلل بشري، ويرسل إشعارات لتلك الأحداث. كما توفر أنظمة SIEM الحديثة لوحات معلومات شاملة وأدوات لتصور البيانات، مما يسمح للمحللين بالبحث بنشاط عن نقاط البيانات التي قد تشير إلى حادث أمني - المعروف بصيد التهديدات.

تحليل السجلات في أنظمة إدارة معلومات الأمان التقليدية

تقليديًا، استخدمت أنظمة إدارة معلومات الأمان (SIEM) تقنيتين لتوليد تنبيهات من بيانات السجلات: قواعد الترابط، التي تحدد تسلسل الأحداث الذي يشير إلى وجود شذوذ، والذي قد يمثل تهديدًا أمنيًا أو ثغرة أو حادث أمني نشط؛ وتقييم الثغرات والمخاطر، الذي يتضمن فحص الشبكات بحثًا عن أنماط الهجوم المعروفة والثغرات.

العيب في هذه التقنيات القديمة هو أنها تولد الكثير من الإيجابيات الكاذبة، وليست ناجحة في اكتشاف أنواع الأحداث الجديدة وغير المتوقعة.

تحليل سجلات SIEM من الجيل التالي

تستخدم أنظمة SIEM المتقدمة تقنية تُسمى تحليل سلوك المستخدمين والكيانات (UEBA). تستفيد UEBA من التعلم الآلي لتحليل أنماط السلوك البشري، وتأسيس خطوط أساسية تلقائيًا، وتحديد السلوكيات المشبوهة أو الشاذة بذكاء.

يمكن أن تساعد هذه التقنية في اكتشاف المخاطر التي قد تكون غير معروفة أو يصعب تعريفها باستخدام قواعد الارتباط، مثل التهديدات الداخلية، الهجمات المستهدفة، الاحتيال، والشذوذات عبر فترات زمنية طويلة أو عبر أنظمة تنظيمية متعددة.

استخدام سجلات نقاط النهاية لأغراض الأمان.

تقليديًا، كانت جهود المراقبة والأمن تركز على حركة الشبكة لتحديد التهديدات. اليوم، هناك تركيز متزايد على نقاط النهاية، مثل أجهزة الكمبيوتر المكتبية والخوادم والأجهزة المحمولة. غالبًا ما تكون نقاط النهاية مستهدفة من قبل المهاجمين الذين يمكنهم تجاوز تدابير الأمان التقليدية - على سبيل المثال، يمكن أن تُسرق لابتوب تُرك على متن قطار من قبل مهاجم ويُستخدم لاختراق الأنظمة التنظيمية. بدون مراقبة دقيقة لنشاط اللابتوب، قد تظل هذه الهجمات وهجمات مشابهة غير مكتشفة.

سجلات أحداث ويندوز

يوفر نظام تشغيل ويندوز بروتوكول تسجيل الأحداث الذي يسمح للتطبيقات، ونظام التشغيل نفسه، بتسجيل الأحداث المهمة المتعلقة بالأجهزة والبرمجيات. يمكن للمسؤول عرض هذه الأحداث مباشرة باستخدام أداة عرض الأحداث في ويندوز.

ما هي الأحداث التي يتم تسجيلها؟
تشمل الأحداث المسجلة في سجلات أحداث ويندوز تثبيت التطبيقات، وإدارة الأمان (انظر سجلات أمان ويندوز أدناه)، وعمليات بدء التشغيل الأولية، والمشاكل أو الأخطاء. جميع هذه الأنواع من الأحداث يمكن أن تكون لها أهمية أمنية، ويجب مراقبتها بواسطة أدوات تجميع السجلات والمراقبة.

مثال على سجل أحداث ويندوز
تحذير – 5/11/2018 10:29:47 صباحًا تتبع أحداث النواة – 1 تسجيل

سجلات أمان ويندوز

سجل أمان ويندوز هو جزء من إطار سجل الأحداث في ويندوز. يحتوي على أحداث متعلقة بالأمان يحددها المسؤولون باستخدام سياسة التدقيق في النظام. تصف مايكروسوفت سجل الأمان بأنه "أفضل وأخير دفاع" عند التحقيق في خروقات الأمان على أنظمة ويندوز.

ما هي الأحداث التي يتم تسجيلها؟
يمكن تعريف الأنواع التالية من أحداث سجل ويندوز كأحداث أمنية: تسجيل دخول الحساب، إدارة الحساب، الوصول إلى خدمة الدليل، تسجيل الدخول، الوصول إلى الكائن (على سبيل المثال، الوصول إلى الملفات)، تغيير السياسة، استخدام الامتيازات، تتبع عمليات النظام، أحداث النظام.

سجلات iOS وتقارير أعطال iOS

على عكس أنظمة تشغيل Windows وLinux، لا يقوم نظام تشغيل iOS بتسجيل أحداث النظام والتطبيقات بشكل افتراضي، باستثناء تقارير تعطل التطبيقات. يوفر iOS 10.0 وما بعده واجهة برمجة تطبيقات للتسجيل تسمح لتطبيقات معينة بتسجيل أحداث التطبيقات وتخزينها في موقع مركزي على القرص. يمكن عرض رسائل السجل باستخدام تطبيق Console لأداة سطر الأوامر الخاصة بالسجل.

نظرًا لأن نظام iOS لا يوفر وصولاً مريحًا عن بُعد إلى السجلات، فقد ظهرت عدة حلول من طرف ثالث تسمح بجمع وتوحيد سجلات iOS عن بُعد.

سجلات أحداث لينكس

تسجل سجلات لينوكس تسلسل الأحداث التي تحدث في نظام تشغيل لينوكس والتطبيقات. يتم تخزين السجلات المركزية في دليل /var/log، وقد يتم تخزين سجلات التطبيقات المحددة في مجلد التطبيق، على سبيل المثال، ‘~/.chrome/Crash Reports’ لمتصفح جوجل كروم.

ما هي الأحداث التي يتم تسجيلها؟
هناك ملفات سجل لينوكس لأحداث النظام، النواة، مديري الحزم، عمليات الإقلاع، Xorg، Apache، MySQL، وغيرها من الخدمات الشائعة. كما هو الحال في ويندوز، قد تكون جميع هذه الأحداث لها أهمية أمنية.

ما هي أهم سجلات لينوكس التي يجب مراقبتها؟

• /var/log/syslog أو /var/log/messages - تخزن جميع بيانات النشاط عبر نظام لينوكس.
• /var/log/auth.log أو /var/log/secure - يخزن سجلات المصادقة
• /var/log/boot.log – رسائل مسجلة أثناء بدء التشغيل
• /var/log/maillog أو var/log/mail.log – أحداث تتعلق بخوادم البريد الإلكتروني
• /var/log/kern – سجلات النواة
• /var/log/dmesg – سجلات تعريف الأجهزة
• /var/log/faillog – محاولات تسجيل دخول فاشلة
• /var/log/cron – أحداث تتعلق بمهام الكرون أو خدمة الكرون.
• /var/log/yum.log – أحداث تتعلق بتثبيت حزم yum
• /var/log/httpd/ – سجلات الأخطاء والوصول الخاصة بـ HTTP التي تحتوي على جميع طلبات HTTP
• /var/log/mysqld.log أو /var/log/mysql.log – ملفات سجل MySQL

نصائح من الخبير

ستيف مور هو نائب الرئيس ورئيس استراتيجيات الأمن في إكزبيم، يساعد في تقديم الحلول لاكتشاف التهديدات وتقديم المشورة للعملاء بشأن برامج الأمن والاستجابة للاختراقات. وهو مضيف بودكاست "The New CISO Podcast"، و عضو في Forbes Tech Council، ومؤسس مشارك لـ TEN18 at Exabeam.

من خلال تجربتي، إليك بعض النصائح لمساعدتك في إدارة السجلات بفعالية واستخدام قدرات SIEM من الجيل التالي لتحسين عمليات الأمان:

استخدم UEBA للكشف عن التهديدات الداخلية
استخدم تحليلات سلوك المستخدمين والكيانات (UEBA) لإنشاء خطوط أساسية سلوكية للمستخدمين والأجهزة. ابحث عن انحرافات دقيقة في النشاط، مثل أوقات الوصول غير العادية للملفات أو تصعيد الامتيازات.

تصنيف السجلات حسب الأهمية التشغيلية
تصنيف السجلات إلى مستويات بناءً على أهميتها للأمان والامتثال. إعطاء الأولوية للسجلات ذات القيمة العالية (مثل سجلات الوصول المميز، ورفض جدران الحماية) للتحليل الفوري والتخزين في المستويات الساخنة.

ربط سجلات النقاط النهائية مع نشاط الشبكة
ربط سجلات النقاط النهائية (مثل سجلات أحداث ويندوز، أنظمة EDR) مع سجلات الشبكة لبناء رؤية شاملة للتهديدات المحتملة مثل الحركة الجانبية أو تسريب البيانات.

استفد من بيانات السجلات الغنية
قم بتعزيز السجلات الخام ببيانات وصفية مثل الموقع الجغرافي، نوع الجهاز، أو سياق معلومات التهديد. هذا يسمح بتحليل التهديدات بشكل أسرع وأكثر اطلاعًا.

نشر تصفية السجلات المتقدمة
تنفيذ قواعد تصفية ديناميكية لتقليل ضوضاء السجلات دون فقدان الأحداث ذات الصلة. على سبيل المثال، تصفية محاولات المصادقة المتكررة للأنظمة ذات المخاطر المنخفضة مع الحفاظ على الرؤية في الأنظمة الحرجة.

إدارة سجلات الكشف عن النقاط النهائية والاستجابة (EDR)

تساعد تقنية الكشف والاستجابة للنقاط النهائية (EDR) في الكشف عن الحوادث الأمنية والتحقيق فيها والتخفيف من آثارها على النقاط النهائية في المؤسسات. تعتبر EDR مكملة للأدوات التقليدية للنقاط النهائية مثل برامج مكافحة الفيروسات، ومنع فقدان البيانات (DLP)، وأنظمة إدارة معلومات الأمان (SIEM). توفر تقنية EDR رؤية للأحداث التي تحدث على النقاط النهائية، بما في ذلك الوصول إلى التطبيقات والنشاط، وعمليات نظام التشغيل، وإنشاء وتعديل ونسخ وتحريك البيانات، واستخدام الذاكرة، والوصول من قبل المستخدمين إلى البيانات الحساسة المحددة مسبقًا.

توفر أنظمة EDR سجلات مجمعة تتيح لفرق الأمان تحليل واستكشاف الأحداث من جميع نقاط النهاية في محفظة المؤسسة.

سجلات حماية النقاط النهائية من سيمانتك

برنامج Symantec Endpoint Protection هو مجموعة أمان تتضمن الحماية من التسلل، وجدار الحماية، ومكافحة البرمجيات الضارة. تحتوي سجلات حماية النقاط النهائية على معلومات حول تغييرات التكوين، والأنشطة المتعلقة بالأمان مثل اكتشاف الفيروسات، والأخطاء على نقاط النهاية المحددة، وحركة المرور التي تدخل وتخرج من النقطة النهائية.

ما هي الأحداث المسجلة؟
تشمل أنواع سجلات Symantec Endpoint Protection:

• تعديلات السياسة
• التحكم في التطبيقات والأجهزة - الأحداث على الأجهزة الطرفية حيث تم حظر بعض السلوكيات.
• سجلات الامتثال
• حالة الكمبيوتر - الحالة التشغيلية مثل اسم الكمبيوتر، عنوان IP، حالة الإصابة.
• سجلات الخداع - تفاعل المهاجم مع "أوعية العسل" التي تم نشرها بواسطة الحل الأمني.
• تخفيف استغلال الشبكة والمضيف
• أحداث فحص الفيروسات
• أحداث المخاطر التي اكتشفتها سيمانتك
• سجل النظام - معلومات عن نظام التشغيل والخدمات.

أمان نقاط النهاية من مكافي

يوفر برنامج أمان النقاط النهائية من ماكافي إدارة مركزية لأجهزة النقاط النهائية، وحماية من البرمجيات الخبيثة، واحتواء التطبيقات، وأمان الويب، وتحليل التهديدات، وتحليل التعلم الآلي للكشف عن التهديدات غير المعروفة.

الحل يتيح لك ضبط كل جهاز نهائي على أحد ثلاثة مستويات لتسجيل الدخول: عدم التسجيل، تسجيل الأحداث، وتسجيل الأخطاء. تُحفظ السجلات على الأجهزة النهائية في مجلد McAfee.

ما هي الأحداث التي يتم تسجيلها؟
يحفظ برنامج McAfee Endpoint Security عدة ملفات سجل على كل جهاز نهائي:

• myAgent.log – ملف سجل مجمع يحتوي على سجلات تاريخية
• myNotices.log – إشعارات وتحذيرات تم إنشاؤها بواسطة عميل McAfee
• myUninstall.log – أحداث إلغاء تثبيت البرمجيات
• myUpdate.log – أحداث تحديث البرمجيات
• myInstall.log – أحداث تثبيت البرمجيات

إدارة سجلات جدار الحماية

سجلات جدار الحماية ذات قيمة كبيرة لتحليل الأمان، لأنها تحتوي على آثار تقريبًا لكل حركة المرور الداخلة والخارجة من شبكتك. إذا كانت هناك أنشطة ضارة تحدث، حتى لو لم يكن بالإمكان اكتشافها بواسطة البرمجيات الضارة المعروفة أو توقيعات الهجوم، فسيتم التقاطها بواسطة جدار الحماية ويمكن على الأرجح رؤيتها من خلال تحليل سجلات جدار الحماية بحثًا عن سلوك غير عادي.

على سبيل المثال، عندما يصيب فيروس يوم الصفر أجهزة الكمبيوتر في شبكتك، حتى لو لم يكن بالإمكان اكتشافه بعد بواسطة برامج مكافحة الفيروسات، قد تظهر سجلات جدار الحماية أعدادًا غير عادية من الاتصالات المرفوضة، أو الاتصالات المسموح بها، مع مضيفين بعيدين مشبوهين. يمكن أن تكشف مراجعة روتينية لسجلات جدار الحماية عن تروجان أو روتكيت تحاول الاتصال بأنظمة القيادة والتحكم الخاصة بها عبر IRC، عبر جدار الحماية.

سجلات Cisco ومستويات التسجيل

تقوم أجهزة التوجيه من سيسكو بحفظ السجلات بتنسيق syslog، كما تتيح عرض السجلات من خلال واجهة الإدارة. يتم وضع علامات على الرسائل برموز رسائل - على سبيل المثال، معظم الاتصالات المرفوضة تحمل رمز رسالة في النطاق من 106001 إلى 106023. معظم أجهزة الجدار الناري لا تحتوي على مساحة تخزين محلية، لذا يجب تكوين السجلات ليتم إرسالها إلى مكان آخر - تتيح سيسكو حفظ السجلات على خادم syslog في الشبكة، عبر SMTP، عبر منفذ وحدة التحكم، telnet، أو عدة خيارات أخرى.

ما هي إدخالات السجل المهمة للتحليل؟

• الاتصالات المسموح بها من خلال سياسات أمان الجدار الناري - يمكن أن تساعد هذه في اكتشاف "الثغرات" في سياسات الأمان.
• تم رفض الاتصالات بواسطة سياسات أمان جدار الحماية - قد تحتوي على سلوك مشبوه أو سلوك هجوم.
• يمكن أن تُظهر ميزة تسجيل معدل الرفض هجمات الحرمان من الخدمة (DoS) أو هجمات القوة الغاشمة.
• رسائل نشاط نظام كشف التسلل (IDS) - تظهر الهجمات التي تم التعرف عليها بواسطة ميزات كشف التسلل من سيسكو.
• مصادقة المستخدم واستخدام الأوامر - يتيح لك مراجعة وتدقيق تغييرات سياسة الجدار الناري.
• استخدام النطاق الترددي - يظهر الاتصالات حسب المدة وحجم الحركة - قد تكون الحالات الشاذة مثيرة للاهتمام للتحقيق فيها.
• رسائل استخدام البروتوكولات - عرض البروتوكولات وأرقام المنافذ - يمكن أن تكشف عن بروتوكولات غير عادية أو غير آمنة مستخدمة على الشبكة.
• اتصالات NAT أو PAT - تحقق مما إذا كنت تتلقى تقريرًا عن نشاط ضار يدخل شبكتك.

تسجيل نقطة التفتيش

يمكن لأجهزة التوجيه من Check Point حفظ السجلات بتنسيق syslog، كما تسمح أيضًا بعرض السجلات عبر واجهة الإدارة. تحتفظ أجهزة التوجيه من Check Point بسجل أمني يسجل الأحداث التي تعتبر ذات أهمية أمنية.

فئات الأحداث المحفوظة في سجل الأمان:

• تم قبول الاتصال
• تم فك تشفير الاتصال
• تم قطع الاتصال
• الاتصال مشفر
• تم رفض الاتصال
• تمت مراقبة الاتصال - تم مراقبة حدث أمني ولكن لم يتم حظره وفقًا لسياسة جدار الحماية الحالية.
• الرابط مسموح – الرابط مسموح للوصول من قبل المستخدمين الداخليين.
• تم تصفية الرابط - الوصول إليه ممنوع للمستخدمين الداخليين.
• تم اكتشاف فيروس - تم اكتشاف فيروس في بريد إلكتروني.
• تم وسم البريد الإلكتروني كرسالة محتملة غير مرغوب فيها.
• تم اكتشاف بريد مزعج محتمل - تم رفض البريد الإلكتروني كونه بريدًا مزعجًا محتملًا.
• تم السماح بالبريد - وتم تسجيل البريد الإلكتروني غير المزعج.
• برنامج VStream لمكافحة الفيروسات قام بحظر اتصال.

مستويات الشدة في سجل أمان Check Point:

• الأحمر - محاولات الاتصال محظورة بواسطة جدار الحماية، أو بواسطة سياسة الأمان التي تم تنزيلها من مركز الخدمة أو القواعد التي يحددها المستخدم.
• برتقالي - تم اكتشاف حركة مرور على أنها مشبوهة ولكن تم قبولها من قبل جدار الحماية.
• الأخضر - المرور المقبول من قبل جدار الحماية

إدارة السجلات وأنظمة إدارة الأحداث الأمنية من الجيل التالي

لقد كانت إدارة السجلات دائمًا معقدة، وتزداد تعقيدًا مع انتشار الأجهزة الشبكية، ونقاط النهاية، والخدمات الصغيرة، وخدمات السحابة، وزيادة حركة المرور وحجم البيانات بشكل كبير.

في بيئة الأمان، يمكن أن تساعد حلول إدارة معلومات وأحداث الأمان (SIEM) من الجيل التالي في إدارة واستخراج القيمة من الأحداث المتعلقة بالأمان.

• أنظمة SIEM من الجيل التالي تعتمد على تقنية بحيرة البيانات التي يمكنها تخزين كميات غير محدودة من سجلات البيانات التاريخية.
• تأتي أنظمة إدارة معلومات الأمان من الجيل التالي مزودة بتقنية تحليلات سلوك المستخدمين والكيانات، والتي يمكنها تلقائيًا إنشاء نشاط أساسي للأجهزة والمستخدمين، وتحديد السلوكيات الشاذة أو المشبوهة.
• توفر أنظمة SIEM من الجيل التالي قدرات متقدمة لاستكشاف البيانات، مما يمكن المحللين الأمنيين من القيام بعمليات البحث عن التهديدات من خلال البحث النشط في السجلات.

Exabeam هي مثال على منصة SIEM من الجيل التالي التي توفر هذه القدرات. يمكنها جمع السجلات من أنظمة المؤسسات وأدوات الأمان وأداء عملية إدارة السجلات الكاملة، بما في ذلك جمع السجلات وتجميعها، ومعالجة السجلات، وتحليل السجلات باستخدام التحليلات المتقدمة وتقنية UEBA، والتنبيه حول الحوادث الأمنية.

اقرأ تقرير غارتنر

Gartner ^® Magic Quadrant™ for SIEM | 2024

قم بتحميل التقرير المجاني لتتعرف على رؤى غارتنر حول سوق SIEM.

اقرأ الورقة البيضاء