تخطي إلى المحتوى

تأمين مستقبل العمل: تحليل سلوك الوكلاء باستخدام جوجل كلاود —اقرأ المدونة

احصل على عرض توضيحي

10 حالات استخدام لنظام SIEM في بيئة تهديدات حديثة

  • 10 minutes to read

فهرس المحتويات

    تجمع أنظمة إدارة معلومات الأمن والأحداث (SIEM) البيانات الأمنية من جميع أنحاء المؤسسة؛ وتساعد الفرق الأمنية على الكشف عن الحوادث الأمنية والاستجابة لها؛ وتقوم بإنشاء تقارير الامتثال والتنظيم حول الأحداث المتعلقة بالأمن. نظرًا لأن SIEM هو بنية تحتية أساسية للأمن مع وصول إلى البيانات من جميع أنحاء المؤسسة، هناك مجموعة كبيرة من حالات استخدام SIEM.

    فيما يلي أمثلة شائعة لاستخدامات نظم إدارة معلومات الأمان (SIEM)، بدءًا من الاستخدامات التقليدية مثل الامتثال، وصولاً إلى الاستخدامات المتطورة مثل اكتشاف التهديدات الداخلية وأمان إنترنت الأشياء.

    حول هذا Explainer:

    هذا المحتوى هو جزء من سلسلة حول أمان SIEM.

    حالات استخدام SIEM: الامتثال

    SIEM للامتثال لمعيار PCI

    تم إنشاء معيار أمان بيانات صناعة بطاقات الدفع (PCI DSS) لحماية بيانات حاملي بطاقات الائتمان من السرقة وسوء الاستخدام. ويحدد 12 مجالًا أمنيًا يجب على الشركات تعزيز الحماية فيها لهذا النوع من البيانات. تنطبق المتطلبات على أي شخص معني بمعالجة بطاقات الائتمان، بما في ذلك التجار والمعالجين ومقدمي الخدمات من الطرف الثالث.

    5 طرق يمكن أن تساعد بها أنظمة إدارة معلومات الأمان (SIEMs) في الامتثال لمعيار PCI:

    1. أمان المحيط –اكتشاف الاتصالات الشبكية غير المصرح بها ومقارنتها مع إدارة التغيير، والبحث عن البروتوكولات والخدمات غير الآمنة، والتحقق من كيفية تدفق حركة المرور عبر المنطقة المنزوعة السلاح.
    2. هويات المستخدمين –مراقبة أي حدث يؤدي إلى تغييرات في بيانات اعتماد المستخدمين، ونشاط المستخدمين الذين تم إنهاء خدماتهم
    3. كشف التهديدات في الوقت الحقيقي –مراقبة سجلات مضادات الفيروسات، مراقبة المنافذ والخدمات غير الآمنة ودمجها مع معلومات التهديدات.
    4. أنظمة الإنتاج والبيانات –البحث عن بيانات الاعتماد الافتراضية أو بيانات اعتماد التطوير/الاختبار، والنسخ المتماثلة، وما إلى ذلك، في أنظمة الإنتاج.
    5. التدقيق والتقارير –جمع سجلات النظام والأمان، بما في ذلك متطلبات تسجيل PCI المحددة، وتدقيقها في تنسيق مناسب لتقارير PCI، وتوليد تقارير الامتثال.

    نظام إدارة المعلومات الأمنية (SIEM) للامتثال للائحة العامة لحماية البيانات (GDPR)

    اللائحة العامة لحماية البيانات (GDPR) هي الإطار الجديد لأوروبا لحماية الأمان والخصوصية للمعلومات الشخصية القابلة للتعريف (المعلومات الشخصية القابلة للتعريف)، والتي دخلت حيز التنفيذ في مايو 2018. تنطبق اللائحة العامة لحماية البيانات على أي كيان قانوني يقوم بتخزين أو التحكم أو معالجة البيانات الشخصية لمواطني الاتحاد الأوروبي، وتركز على فئتين: البيانات الشخصية، مثل عنوان IP أو اسم المستخدم، و البيانات الشخصية الحساسة، مثل البيانات البيومترية أو الجينية.

    5 طرق يمكن لأنظمة إدارة معلومات الأمان (SIEM) أن تساعد في الامتثال للائحة العامة لحماية البيانات (GDPR)

    1. حماية البيانات من خلال التصميم –التحقق من ضوابط الأمان وتدقيقها، لإظهار أن بيانات المستخدم قد خضعت للعلاج المناسب.
    2. الرؤية في بيانات السجلات –توفير وصول منظم إلى معلومات السجلات لتمكين التقارير لأصحاب البيانات الفرديين.
    3. تسجيل وتدقيق GDPR –مراقبة التغييرات الحرجة في بيانات الاعتماد ومجموعات الأمان، وتدقيق قواعد البيانات والخوادم التي تخزن معلومات التعريف الشخصية، وتتبع الأصول التي تخزن بيانات حساسة.
    4. إشعار خرق البيانات –اكتشاف خروقات البيانات، تنبيه موظفي الأمن، تحليل الحادث لكشف التأثير الكامل، وتوليد تقارير مفصلة بسرعة كما هو مطلوب بموجب اللائحة العامة لحماية البيانات.
    5. سجل معالجة البيانات –تحديد الأحداث المتعلقة بالبيانات الشخصية، وتدقيق أي تغييرات على البيانات وإصدار تقارير حسب متطلبات اللائحة العامة لحماية البيانات.

    تحذير: يمكن أن يمثل نظام SIEM نفسه خطرًا بموجب اللائحة العامة لحماية البيانات (GDPR)، لأن بيانات السجلات قد تحتوي على معلومات شخصية. تسمح اللائحة العامة لحماية البيانات بالاحتفاظ بالبيانات لمصالح "مشروعة" (المادة 6)، مما قد يسمح بالاحتفاظ بملفات السجلات لأغراض أمنية. استشر مستشارك القانوني لفهم البيانات التي يمكنك الاحتفاظ بها أو لا يمكنك الاحتفاظ بها في نظام SIEM بموجب أحكام GDPR.

    نظام إدارة المعلومات الأمنية (SIEM) للامتثال لقانون HIPAA

    HIPAA هو معيار في الولايات المتحدة يتعلق بالمنظمات التي تنقل المعلومات الصحية بشكل إلكتروني. ينطبق على المنظمات بجميع أحجامها، من طبيب واحد إلى الهيئات الصحية الوطنية. يتطلب معيار عملية إدارة الأمن في HIPAA من المنظمات إجراء تحليل للمخاطر، وإدارة المخاطر، ووجود سياسة عقوبات لخرق البيانات، وإجراء مراجعات لنشاط نظام المعلومات - وهو عنصر أساسي من المعيار الذي يضمن أن جميع الأجزاء الأخرى في النظام مرتبة.

    9 طرق يمكن أن تساعد أنظمة SIEM في الامتثال لقانون HIPAA

    1. عملية إدارة الأمن –اكتشاف الأصول التكنولوجية الجديدة، وتحديد الأنظمة المعرضة للخطر، ومراقبة الوصول إلى ملفات النظام، ونشاط المستخدم والامتيازات في الأنظمة الحرجة
    2. وصول الموظف –مراقبة الوصول إلى الملفات والبيانات الحيوية، وتسجيل محاولات تسجيل الدخول وتسجيل الدخول من المستخدمين الذين تم إنهاء خدمتهم.
    3. إدارة الوصول إلى المعلومات –تحديد نجاحات وإخفاقات تسجيل الدخول، تصعيد الامتيازات وتعديل حسابات المستخدمين.
    4. الوعي الأمني –اكتشاف الثغرات والبرمجيات الضارة، واكتشاف الأنظمة التي لا تحتوي على مضاد فيروسات، ومراقبة تسجيل الدخول إلى الأجهزة الأمنية والأنظمة الحرجة.
    5. حوادث الأمان –الكشف التلقائي عن التهديدات، وتوليد التنبيهات وتحديد أولوياتها، وتمكين التحقيق في التهديدات، وتنظيم الاستجابة التلقائية للحوادث.
    6. التحكم في الوصول –مراقبة التغييرات في بيانات الاعتماد والأذونات، وأوقات انتهاء الجلسات، والتغييرات في إعدادات التشفير.
    7. تحكمات التدقيق –مراقبة التغييرات على السياسات، وأحداث تسرب البيانات، وسلامة الملفات وتحليل السجلات للبيانات المحمية.
    8. صحة البيانات –مراقبة تعديل المعلومات الصحية والتغييرات في سياسات البيانات.
    9. أمان النقل –تحديد الاتصالات غير المصرح بها ومحاولات تعديل التطبيقات أو التخزين الذي يحتوي على معلومات صحية.

    SIEM للامتثال لقانون SOX

    قانون ساربانز-أوكسلي لعام 2002 (SOX) هو تنظيم يحدد المتطلبات لمجالس إدارة الشركات العامة الأمريكية، والإدارة، وشركات المحاسبة. تم سنه كرد فعل لعدة فضائح محاسبية للشركات، بما في ذلك إنرون وورلدكوم. إطاران شائعان تستخدمهما منظمات تكنولوجيا المعلومات للامتثال لـ SOX هما COSO و COBIT.

    تنظيم SOX يركز على التأكد من أن المؤسسة تُعلم الإدارة، وتكون قادرة على إثبات ذلك، من خلال إجراءات التقارير الخاصة بـ SOX.

    • أين تُخزن البيانات الحساسة
    • من لديه حق الوصول إليه
    • ماذا حدث له

    يمكن أن يكون نظام إدارة معلومات الأمان (SIEM) مفيدًا في جمع هذه البيانات وتسجيلها لأغراض تدقيق SOX.

    5 طرق يمكن أن يساعد بها نظام إدارة معلومات الأمان (SIEM) في الامتثال لقانون ساربينز-أوكسلي (SOX) وإجراء التدقيقات.

    1. سياسات ومعايير الأمان –تتبع معلومات سياسات الأمان المعلوماتية (على سبيل المثال، سياسة أمان البريد الإلكتروني) والمعايير (على سبيل المثال، طريقة قياسية لتأمين أجهزة الكمبيوتر المكتبية التي تعمل بنظام ويندوز). يمكن لنظام SIEM تحديد الأنظمة المعلوماتية التي تتوافق مع السياسات والمعايير، وإصدار تنبيهات حول الانتهاكات في الوقت الحقيقي.
    2. الوصول والمصادقة –مراقبة إنشاء الحسابات، طلبات التغيير، والنشاط من قبل الموظفين الذين تم إنهاء خدمتهم.
    3. أمان الشبكة –مراقبة التنبيهات من جدران الحماية وأجهزة الأمان الأخرى، وتحديد أنماط الهجوم المعروفة في حركة مرور الشبكة.
    4. مراقبة السجلات –تجميع أحداث الأمان وإصدار تنبيهات حول محاولات تسجيل الدخول غير الصالحة، وفحص المنافذ، وزيادة الامتيازات، وما إلى ذلك.
    5. تقسيم المهام –يتطلب معيار SOX ألا يتحكم شخص واحد في عملية البيانات بالكامل من البداية إلى النهاية. يمكن لنظام SIEM أن يضمن، على سبيل المثال، أن موظفي إدخال البيانات يمكنهم الوصول فقط إلى البيانات التي يقومون بإنشائها، وألا يتمكنوا من عرض أو تعديل بيانات أخرى.

    نصائح من الخبير

    Steve Moore

    ستيف مور هو نائب الرئيس ورئيس استراتيجيات الأمن في إكزبيم، يساعد في تقديم الحلول لاكتشاف التهديدات وتقديم المشورة للعملاء بشأن برامج الأمن والاستجابة للاختراقات. وهو مضيف بودكاست "The New CISO Podcast"، و عضو في Forbes Tech Council، ومؤسس مشارك لـ TEN18 at Exabeam.

    من خلال تجربتي، إليكم نصائح لتطبيق أنظمة SIEM بشكل فعال وتعظيم الاستخدامات المتنوعة لها، بما في ذلك الامتثال، واكتشاف التهديدات الداخلية، وصيد التهديدات المتقدمة:

    تحسين الاحتفاظ بالبيانات من أجل الامتثال والتحقيقات
    استخدم استراتيجيات تخزين متعددة المستويات، مع الاحتفاظ بالسجلات الحرجة لعمليات تدقيق الامتثال في التخزين النشط بينما يتم أرشفة البيانات الأقل أهمية. تأكد من أن سياسات الاحتفاظ تفي بالمتطلبات التنظيمية مثل متطلبات حماية البيانات في اللائحة العامة لحماية البيانات (GDPR).

    ربط إعدادات SIEM بإطارات الامتثال
    لكل معيار امتثال (مثل PCI DSS وGDPR وHIPAA)، حدد متطلبات التسجيل والتقارير المحددة. قم بتكوين SIEM الخاص بك ليتماشى مع هذه الاحتياجات، مثل مراقبة الحسابات الملغاة لـ HIPAA أو التقاط سجلات معالجة البيانات لـ GDPR.

    تنفيذ تنبيه قائم على المخاطر للتهديدات الداخلية
    تعيين درجات المخاطر لسلوكيات المستخدم باستخدام تحليلات سلوك المستخدم والكيان (UEBA). التركيز على السلوكيات عالية المخاطر، مثل تصعيد الامتيازات أو الحركة الجانبية، لتقليل الضوضاء واكتشاف المهاجمين الداخليين بشكل أكثر فعالية.

    إنشاء معايير مخصصة لأجهزة إنترنت الأشياء
    نظرًا لأن أجهزة إنترنت الأشياء تظهر سلوكًا يمكن التنبؤ به، استخدم نظام إدارة معلومات الأمان الخاص بك لإنشاء معايير محددة لكل جهاز. قم بتحديد الانحرافات، مثل أنماط حركة المرور غير المتوقعة أو محاولات الاتصال غير المصرح بها.

    دمج معلومات التهديدات الخارجية للحصول على سياق
    قم بإثراء تنبيهات نظام إدارة معلومات الأمان (SIEM) لديك بمعلومات التهديدات في الوقت الحقيقي. استخدم المعلومات لمطابقة مؤشرات الاختراق المعروفة (IOCs)، مثل عناوين IP أو النطاقات، مع بيانات الأمان الخاصة بك من أجل التحقق والاستجابة بشكل أسرع.

    حالات استخدام SIEM: استغلال SIEM للحماية ضد الكيانات الموثوقة

    التهديدات الداخلية

    وفقًا لإحصائيات تهديدات الداخل المقدمة في تقرير تحقيق خروقات بيانات فيريزون، كانت ثلاثة من بين خمسة أسباب رئيسية لخروقات الأمان مرتبطة بتهديد داخلي، وتبقى التهديدات الداخلية غير مكتشفة لعدة أشهر (في 42% من الحالات) أو حتى لسنوات (38% من الحالات).

    اكتشاف التهديدات الداخلية أمر صعب - فالسلوك لا يثير التنبيهات في معظم أدوات الأمان، لأن الفاعل يبدو كأنه مستخدم شرعي. ومع ذلك، يمكن لنظام إدارة معلومات الأمان (SIEM) أن يساعد في اكتشاف مؤشرات التهديدات الداخلية من خلال تحليل السلوك، مما يساعد فرق الأمان على تحديد الهجمات والتخفيف منها.

    هناك وعي متزايد بالتهديدات الأمنية الداخلية، وأهمها التهديدات من الداخل.

    • المتسلل الخبيث– تهديد أمني ينشأ من موظفي المنظمة، أو الموظفين السابقين، أو المقاولين أو المتعاونين
    • الموظف المخترق– كيان خارجي حصل على بيانات اعتماد موظف داخلي

    6 طرق يمكن لنظام إدارة معلومات الأمان (SIEM) أن يساعد في إيقاف التهديدات الداخلية.

    1. كشف بيانات اعتماد المستخدم المخترقة –يمكن لأنظمة إدارة معلومات الأمان (SIEM) استخدام تحليل السلوك للكشف عن سلوك غير عادي من قبل المستخدمين، مما يشير إلى اختراق. على سبيل المثال، تسجيل الدخول في أوقات غير عادية، بتكرار غير عادي، أو الوصول إلى بيانات أو أنظمة غير معتادة.
    2. تصعيد الامتيازات غير الطبيعي –يمكن لأنظمة إدارة معلومات الأمان (SIEMs) اكتشاف المستخدمين الذين يغيرون أو يصعدون الامتيازات للأنظمة الحرجة.
    3. الاتصال بالقيادة والتحكم –يمكن لأنظمة إدارة معلومات الأمان (SIEMs) ربط حركة الشبكة مع معلومات التهديدات، لاكتشاف البرمجيات الخبيثة التي تتواصل مع المهاجمين الخارجيين. هذه علامة على اختراق حساب مستخدم.
    4. تسريب البيانات –يمكن لأنظمة إدارة معلومات الأمان (SIEMs) استخدام التحليل السلوكي لدمج وتحليل الأحداث التي تبدو غير مرتبطة، مثل إدخال محركات أقراص USB، واستخدام خدمات البريد الإلكتروني الشخصية، والتخزين السحابي غير المصرح به أو الطباعة المفرطة.
    5. التشفير السريع –يمكن لأنظمة إدارة معلومات الأمان (SIEMs) اكتشاف وإيقاف تشفير كميات كبيرة من البيانات. قد يشير هذا إلى هجوم فدية، والذي غالبًا ما ينشأ من داخل المؤسسة.
    6. الحركة الجانبية –قد يحاول الداخلون الذين يقومون بهجوم ما تغيير الحسابات والآلات وعناوين IP في طريقهم نحو الهدف. يمكن لأنظمة إدارة معلومات الأمان (SIEM) اكتشاف هذا السلوك لأنها تمتلك رؤية شاملة للعديد من أنظمة تكنولوجيا المعلومات.

    نظام إدارة معلومات الأمان من الجيل التالي

    تتيح معظم القدرات في هذا القسم والأقسام التالية أنظمة إدارة معلومات الأمان (SIEM) من الجيل التالي التي تجمع بين التحليلات السلوكية للمستخدمين والكيانات (UEBA). تستخدم تقنية UEBA التعلم الآلي والتوصيف السلوكي لتحديد القواعد الأساسية لمستخدمي تكنولوجيا المعلومات والأنظمة، والتعرف بذكاء على الشذوذ، متجاوزة القواعد والارتباطات الإحصائية المستخدمة من قبل أنظمة SIEM التقليدية.

    إساءة استخدام الوصول المتميز

    إساءة استخدام الوصول المميز هي مشكلة معقدة تنبع من الفجوات في التحكم في الوصول في المنظمات. المستخدمون الذين لديهم وصول إلى أنظمة تكنولوجيا المعلومات قادرون على القيام بأفعال غير مرغوب فيها، لأن لديهم حقوق وصول أكثر مما يحتاجون إليه لأداء وظائفهم. وفقًا لـ تقرير Verizon لعام 2017 حول تحقيقات خروقات البيانات، كانت إساءة استخدام الوصول المميز السبب الثالث في خروقات البيانات والسبب الثاني في الحوادث الأمنية.

    5 طرق يمكن أن تساعد بها أنظمة إدارة معلومات الأمان (SIEM) في وقف إساءة استخدام الوصول المميز.

    1. نشاط غير مرغوب فيه –مراقبة والإبلاغ عن الوصول المشبوه إلى أي بيانات حساسة.
    2. انتهاكات الأطراف الثالثة –مراقبة الأنشطة التي يقوم بها البائعون والشركاء الخارجيون الذين لديهم وصول إلى أنظمة المنظمة، من أجل تحديد السلوك الشاذ أو تصعيد الامتيازات.
    3. الموظفون المغادرون –تنبيه بشأن أي نشاط من حسابات المستخدمين الذين تم إنهاء خدمتهم، أو نشاط غير متوقع على حسابات عادة ما تكون غير نشطة.
    4. خطأ بشري –التنبيه على نشاط غير عادي قد يكون خطأ بشري كارثي، مثل حذف كميات كبيرة من البيانات.
    5. الإفراط في التعرض –الإبلاغ عن المستخدمين الذين يصلون إلى أنظمة أو بيانات ليست ضمن ملف استخدامهم العادي.

    اختراق المضيف والكيان الموثوق

    من الشائع جداً أن يقوم المهاجمون بالتحكم في بيانات المستخدمين أو الأجهزة داخل الشبكة التنظيمية، وتنفيذ الهجمات بشكل سري لعدة أشهر أو سنوات. وفقاً لتقرير بونيمون 2017 حول تكلفة خروقات البيانات، كان متوسط الوقت الذي استغرقته الشركات الأمريكية لاكتشاف خرق بيانات هو 206 أيام. لذا فإن هدفاً رئيسياً لفرق الأمن هو اكتشاف الهجمات والتصدي لها بسرعة.

    4 طرق يمكن لنظام إدارة معلومات الأمان (SIEM) أن يساعد في الكشف عن ومنع اختراق الكيانات الموثوقة.

    1. حسابات المستخدمين –تحديد الأنشطة الشاذة، والتنبيه بشأنها، وتوفير البيانات التي يحتاجها المحققون لفهم ما إذا كان حساب مستخدم مميز قد تم اختراقه.
    2. الخوادم –إنشاء قاعدة موثوقة لنشاط الخوادم، واكتشاف الانحرافات عن هذه القاعدة وتنبيه موظفي الأمن.
    3. أجهزة الشبكة –مراقبة حركة المرور على مر الزمن واكتشاف الارتفاعات غير العادية، ومصادر الاتصال غير الموثوقة، والبروتوكولات غير الآمنة، وغيرها من علامات السلوك الخبيث.
    4. مراقبة مكافحة الفيروسات –البرمجيات الضارة هي نقطة دخول شائعة لاختراق المضيف. يمكن لأنظمة إدارة معلومات الأمان (SIEM) النظر في نشرات برامج مكافحة الفيروسات بشكل عام، والإبلاغ عن أحداث مثل تعطيل الحماية، إزالة برنامج مكافحة الفيروسات، أو حالة تحديثات التهديد.

    حالات استخدام SIEM: الاستفادة من SIEM للكشف عن التهديدات الأمنية المتقدمة.

    صيد التهديدات

    صيد التهديدات هو ممارسة البحث بنشاط عن التهديدات السيبرانية في منظمة أو شبكة. يمكن إجراء صيد التهديدات بعد وقوع حادث أمني، ولكن أيضًا بشكل استباقي، لاكتشاف هجمات أو خروقات جديدة وغير معروفة. وفقًا لدراسة أجرتها مؤسسة SANS في عام 2017، فإن 45% من المؤسسات تقوم بصيد التهديدات بشكل عشوائي أو منتظم. يتطلب صيد التهديدات وصولاً واسعاً إلى بيانات الأمان من جميع أنحاء المؤسسة، والتي يمكن أن يوفرها نظام إدارة معلومات الأمان.

    7 طرق يمكن أن يساعد بها نظام إدارة معلومات الأمان (SIEM) في البحث عن التهديدات.

    1. تنبيهات من أنظمة الأمان –تقديم تنبيهات قابلة للتنفيذ توفر سياقًا وبيانات للمساعدة في التحقيق في حادث محتمل.
    2. الانحرافات البيئية –تحديد الانحرافات في أنظمة تكنولوجيا المعلومات باستخدام الارتباطات والتحليلات السلوكية
    3. ثغرات جديدة –تنظيم البيانات حول ثغرة جديدة—الجدول الزمني والأنظمة، البيانات والمستخدمين المتأثرين.
    4. نصائح من الأقران أو وسائل الإعلام –البحث في البيانات التاريخية عن أنماط الهجمات أو التوقيعات المشابهة للهجمات المعروفة.
    5. استخبارات التهديد –دمج استخبارات التهديد مع بيانات الأمان، للكشف الذكي عن الهجمات في أنظمة تكنولوجيا المعلومات.
    6. فرضيات مبنية على المخاطر المعروفة –مساعدة المحللين في صياغة فرضية واختبارها من خلال استكشاف بيانات الأمان في SIEM.
    7. حوادث مماثلة –التحقق مما إذا كان "هذا قد حدث من قبل"—البحث في بيانات الأمان عن أنماط مشابهة لحادث أمني حالي أو سابق.

    كشف تسرب البيانات

    يحدث تسرب البيانات عندما يتم نقل بيانات حساسة بشكل غير قانوني خارج المنظمة. يمكن أن يحدث ذلك يدويًا، عندما يقوم المستخدم بنقل البيانات عبر الإنترنت أو نسخها إلى جهاز مادي ونقلها خارج المباني، أو تلقائيًا، نتيجة إصابة البرمجيات الخبيثة للأنظمة المحلية.

    6 طرق يمكن أن يساعد بها نظام إدارة معلومات الأمان (SIEM) في منع تسرب البيانات

    1. البوابات الخلفية، وأدوات الجذر، والشبكات الروبوتية –كشف حركة المرور الشبكية إلى مراكز القيادة والتحكم وتحديد الأنظمة المصابة التي تنقل البيانات إلى أطراف غير مصرح بها.
    2. FTP والتخزين السحابي –مراقبة حركة الشبكة عبر البروتوكولات التي تسهل نقل البيانات الكبيرة، وتنبيه عند نقل كميات غير عادية أو أنواع ملفات غير معروفة أو ضارة.
    3. تطبيقات الويب –مراقبة استخدام تطبيقات الويب التنظيمية من قبل الغرباء، أو الاستخدام الداخلي لتطبيقات الويب الخارجية، والتي قد تشمل التنزيلات أو الوصول عبر المتصفح إلى البيانات الحساسة.
    4. إعادة توجيه البريد الإلكتروني –كشف الرسائل الإلكترونية المعاد توجيهها أو المرسلة إلى كيانات أخرى غير المستلم المحدد.
    5. الحركة الجانبية –عادةً ما تتضمن عملية استخراج البيانات محاولات المهاجمين لرفع الامتيازات أو الوصول إلى أنظمة تكنولوجيا المعلومات الأخرى، في طريقهم إلى هدف مربح. يمكن لأنظمة SIEM الكشف عن الحركة الجانبية من خلال ربط البيانات من أنظمة تكنولوجيا المعلومات المتعددة.
    6. أمان البيانات المحمولة –يمكن لنظام إدارة معلومات الأمان (SIEM) مراقبة البيانات من القوى العاملة المتنقلة وتحديد الشذوذات التي قد تشير إلى تسرب المعلومات عبر جهاز محمول.

    أمان إنترنت الأشياء

    تستخدم العديد من المؤسسات الأجهزة المتصلة لإدارة العمليات الحيوية. تشمل الأمثلة المعدات الطبية المتصلة بالشبكة، والآلات الصناعية، وأجهزة الاستشعار، وبنية تحتية لشبكة الطاقة. لم تُصمم أجهزة إنترنت الأشياء (IoT) مع مراعاة الأمان، ويعاني العديد منها من ثغرات. هذه الثغرات يصعب معالجتها بمجرد نشر الأجهزة في الميدان.

    6 طرق يمكن أن يساعد بها نظام إدارة معلومات الأمان (SIEM) في تخفيف تهديدات إنترنت الأشياء (IoT)

    1. هجمات الحرمان من الخدمة (DoS) –تحديد حركة المرور غير العادية من أجهزة إنترنت الأشياء المملوكة للمنظمة، والتي قد يستغلها المهاجم لتنفيذ هجوم.
    2. إدارة ثغرات إنترنت الأشياء –كشف أنظمة التشغيل القديمة، والثغرات غير المرقعة، والبروتوكولات غير الآمنة على أجهزة إنترنت الأشياء.
    3. التحكم في الوصول –مراقبة من يقوم بالوصول إلى أجهزة إنترنت الأشياء وأين يتصل، والتنبيه عندما يكون المصدر أو الهدف غير معروف أو مشبوه.
    4. مراقبة تدفق البيانات –تتواصل العديد من أجهزة إنترنت الأشياء عبر بروتوكولات غير مشفرة ويمكن استخدامها كوسيلة لنقل بيانات حساسة. يمكن لنظام إدارة معلومات الأمان (SIEM) مراقبة تدفقات البيانات غير العادية من وإلى أجهزة إنترنت الأشياء وتنبيه موظفي الأمن.
    5. الأجهزة المعرضة للخطر –تحديد الأجهزة المعرضة للخطر بسبب الثغرات الأمنية، والوصول إلى البيانات الحساسة أو الوظائف الحرجة.
    6. الأجهزة المهددة –تحديد السلوك غير العادي أو المشبوه لأجهزة إنترنت الأشياء وإبلاغ موظفي الأمن بأن جهازًا أو مجموعة من الأجهزة قد تم اختراقها.

    تقنية SIEM من الجيل التالي وحالات الاستخدام المتقدمة

    يمكن أن تجعل حلول إدارة معلومات الأمن والأحداث (SIEM) من الجيل التالي، المبنية وفقًا لرؤية غارتنر لمنصة SIEM المتكاملة مع التحليلات السلوكية وأدوات الأتمتة، العديد من هذه الاستخدامات المتقدمة ممكنة. على وجه الخصوص، تجعل تقنية التحليلات السلوكية للمستخدمين (UEBA) من الممكن الكشف عن التهديدات الداخلية، وإجراء عمليات بحث أكثر تعقيدًا عن التهديدات، ومنع تسرب البيانات، والتخفيف من تهديدات إنترنت الأشياء، حتى عندما لا تثير أدوات الأمان التقليدية أي تنبيه.

    منصة Exabeam للأمن السيبراني هي مثال على نظام SIEM من الجيل التالي الذي يأتي مدمجًا مع التحليلات المتقدمة المعتمدة على تقنية UEBA—مما يمكّن من الكشف التلقائي عن التهديدات الداخلية والتخفيف من السلوكيات الشاذة التي لا يمكن التقاطها بواسطة قواعد الترابط التقليدية.

    المزيد من شروحات أمان نظم إدارة معلومات الأمان (SIEM)

    مقدمة حول أمان نظام إدارة معلومات الأمان (SIEM): التطور والقدرات المستقبلية

    SOC وSIEM: دور حلول SIEM في SOC

    أتمتة الاستجابة للحوادث وتنسيق الأمان باستخدام SOAR

    مواجهة التهديدات السيبرانية باستخدام نظم إدارة المعلومات الأمنية من الجيل التالي واستخبارات التهديد.

    5 وظائف في عمليات الأمن السيبراني وأفضل الممارسات لتحقيق النجاح في الأمن السيبراني.

    SIEM مقابل SOC: 4 اختلافات رئيسية وكيفية عملهما معًا

    تعلم المزيد عن إكزابييم

    تعرف على منصة Exabeam ووسع معرفتك في أمن المعلومات من خلال مجموعتنا من الأوراق البيضاء، البودكاست، الندوات، والمزيد.

    • ورقة بيضاء

      تصميم كشف التهديدات والتحقيق والاستجابة (TDIR)

      اقرأ الآن
    • مدونة

      تحليل حملات برامج الفدية الأخيرة: استراتيجيات التحليل والكشف

      اقرأ الآن
    • ندوة عبر الإنترنت

      New-Scale Security Operations Platform: إطلاق ربع سنوي في يوليو 2025

      سجل الآن
    • ندوة عبر الإنترنت

      LogRhythm SIEM: إطلاق ربع سنوي في يوليو 2025

      سجل الآن
    • عرض المزيد