هندسة نظام إدارة معلومات الأمان: التكنولوجيا، العملية والبيانات

في هذا SIEM Explainer، نشرح كيف يتم بناء أنظمة SIEM، وكيف تنتقل من بيانات الأحداث الخام إلى رؤى أمنية، وكيف تدير بيانات الأحداث على نطاق واسع. نحن نتناول كل من منصات SIEM التقليدية وهندسة SIEM الحديثة المعتمدة على تقنية بحيرة البيانات.

تجمع منصات إدارة معلومات وأحداث الأمان (SIEM) بيانات السجلات والأحداث من أنظمة الأمان والشبكات وأجهزة الكمبيوتر، وتحولها إلى رؤى أمنية قابلة للتنفيذ. يمكن لتقنية SIEM أن تساعد المؤسسات في اكتشاف التهديدات التي لا تستطيع أنظمة الأمان الفردية رؤيتها، والتحقيق في الحوادث الأمنية السابقة، وتنفيذ استجابة للحوادث، وإعداد تقارير لأغراض التنظيم والامتثال.

12 مكونًا وقدرة في بنية نظام إدارة معلومات الأمان (SIEM)

عملية تسجيل SIEM

خادم SIEM، في جوهره، هو منصة لإدارة السجلات. تتضمن إدارة السجلات جمع البيانات، وإدارتها لتمكين التحليل، والاحتفاظ بالبيانات التاريخية.

جمع البيانات

تجمع أنظمة SIEM السجلات والأحداث من مئات الأنظمة التنظيمية (للقائمة الجزئية، انظر مصادر السجلات أدناه). كل جهاز يولد حدثًا في كل مرة يحدث فيها شيء، ويجمع الأحداث في ملف سجل مسطح أو قاعدة بيانات. يمكن لنظام SIEM جمع البيانات بأربع طرق:

1. عبر وكيل مثبت على الجهاز (الطريقة الأكثر شيوعًا)
2. من خلال الاتصال المباشر بالجهاز باستخدام بروتوكول شبكة أو استدعاء API.
3. من خلال الوصول إلى ملفات السجل مباشرة من التخزين، عادةً بتنسيق Syslog.
4. عبر بروتوكول تدفق الأحداث مثل SNMP أو Netflow أو IPFIX.

تتمثل مهمة نظام إدارة معلومات الأمان (SIEM) في جمع البيانات من الأجهزة، وتوحيدها، وتخزينها بصيغة تتيح تحليلها.

تأتي أنظمة SIEM من الجيل التالي مدمجة مسبقًا مع أنظمة السحابة الشائعة ومصادر البيانات، مما يتيح لك سحب بيانات السجلات مباشرة. العديد من خدمات السحابة المدارة وتطبيقات SaaS لا تسمح لك بتثبيت مجمعات SIEM التقليدية، مما يجعل التكامل المباشر بين SIEM وأنظمة السحابة أمرًا حيويًا للرؤية.

إدارة البيانات

يمكن لأنظمة إدارة معلومات الأمان (SIEMs)، خاصة في المؤسسات الكبيرة، تخزين كميات مذهلة من البيانات. تحتاج هذه البيانات إلى:

• مخزنة– إما محليًا، في السحابة أو كليهما
• محسّن ومفهرس– لتمكين التحليل والاستكشاف بكفاءة
• مستويات– يجب أن تكون البيانات الساخنة الضرورية لمراقبة الأمان الحية على تخزين عالي الأداء، بينما يجب أن تُخصص البيانات الباردة، التي قد ترغب في التحقيق فيها يومًا ما، لوسائط تخزين رخيصة وعالية الحجم.

SIEM من الجيل التالي– تعتمد أنظمة SIEM من الجيل التالي بشكل متزايد على تقنيات بحيرات البيانات الحديثة مثل Amazon S3 وHadoop أو ElasticSearch، مما يتيح تخزين بيانات غير محدود تقريبًا بتكلفة منخفضة.

احتفاظ بالسجلات

تتطلب معايير الصناعة مثل PCI DSS و HIPAA و SOX الاحتفاظ بالسجلات لفترة تتراوح بين 1 و 7 سنوات. تنتج الشركات الكبيرة حجمًا كبيرًا جدًا من السجلات يوميًا من أنظمة تكنولوجيا المعلومات (انظر تقدير SIEM أدناه). يجب أن تكون أنظمة SIEM ذكية بشأن السجلات التي تحتفظ بها لتلبية متطلبات الامتثال والتحقيق. تستخدم أنظمة SIEM الاستراتيجيات التالية لتقليل حجم السجلات:

• خوادم Syslog– Syslog هو معيار يقوم بتوحيد السجلات، محتفظًا فقط بالمعلومات الأساسية في تنسيق موحد. يسمح لك Syslog بضغط السجلات والاحتفاظ بكميات كبيرة من البيانات التاريخية.
• جداول الحذف– تقوم أنظمة SIEM تلقائيًا بحذف السجلات القديمة التي لم تعد مطلوبة للامتثال. من خلال الوصول إلى ملفات السجل مباشرة من التخزين، وعادة ما تكون بتنسيق Syslog.
• تصفية السجلات– ليست جميع السجلات مطلوبة لمتطلبات الامتثال التي تواجهها مؤسستك، أو للأغراض الجنائية. يمكن تصفية السجلات حسب النظام المصدر، الأوقات، أو بواسطة قواعد أخرى يحددها مسؤول SIEM.
• التلخيص– يمكن تلخيص بيانات السجل للاحتفاظ فقط بالعناصر المهمة مثل عدد الأحداث، وعناوين IP الفريدة، وما إلى ذلك.

SIEM من الجيل التالي– السجلات التاريخية ليست مفيدة فقط للامتثال والتحقيقات الجنائية. يمكن استخدامها أيضًا للتحليل السلوكي العميق. توفر SIEMs من الجيل التالي تقنية تحليل سلوك المستخدم والكيان (UEBA)، التي تستخدم التعلم الآلي وتوصيف السلوك لتحديد الشذوذ أو الاتجاهات بذكاء، حتى لو لم يتم التقاطها في القواعد أو الارتباطات الإحصائية لـ SIEMs التقليدية.

تستفيد أنظمة SIEM من الجيل التالي من التخزين الموزع منخفض التكلفة، مما يسمح للمنظمات بالاحتفاظ بكامل بيانات المصدر. وهذا يمكّن من إجراء تحليل سلوكي عميق للبيانات التاريخية، للكشف عن مجموعة أوسع من الشذوذ والمشكلات الأمنية.

نصائح من الخبير

ستيف مور هو نائب الرئيس ورئيس استراتيجيات الأمن في إكزبيم، يساعد في تقديم الحلول لاكتشاف التهديدات وتقديم المشورة للعملاء بشأن برامج الأمن والاستجابة للاختراقات. وهو مضيف بودكاست "The New CISO Podcast"، و عضو في Forbes Tech Council، ومؤسس مشارك لـ TEN18 at Exabeam.

في تجربتي، إليك نصائح يمكن أن تساعدك في بناء وصيانة بنية تحتية قوية لنظام إدارة معلومات الأمان (SIEM) لتعظيم قدراته:

دمج البيانات المتعلقة بالهوية
تضمين سجلات الهوية (من الدليل النشط، أوكيتا، إلخ) لإثراء تحليل الحوادث. هذا يمكّن من الكشف بشكل أفضل عن الحركات الجانبية، تصعيد الامتيازات، وأنماط الوصول الشاذة.

تبسيط تحديد أولويات مصادر السجلات
تحديد الأنظمة ومصادر السجلات ذات الأولوية العالية بناءً على ملفات المخاطر والأهمية التنظيمية. تأكد من أن هذه المصادر الحرجة يتم استيعابها وتحليلها أولاً لمنع التحميل الزائد للسجلات خلال سيناريوهات EPS العالية (الأحداث في الثانية).

التحقق بانتظام من سلامة البيانات
إنشاء آليات للتحقق من اكتمال ودقة السجلات المدخلة. يمكن أن تعيق السجلات المفقودة أو التالفة كل من المراقبة في الوقت الحقيقي والتحقيقات الجنائية.

استخدم تصنيف البيانات الذكي
استخدم استراتيجية تخزين متعددة المستويات لتحسين التكلفة والأداء. على سبيل المثال، قم بتخزين بيانات التحقيق النشطة في التخزين السريع بينما يتم أرشفة سجلات الامتثال في حلول تخزين أرخص وأبطأ.

إنشاء عتبات ديناميكية للتنبيهات
يمكن أن تؤدي العتبات الثابتة إلى إرهاق التنبيهات أو تفويت الحوادث. استخدم عتبات ديناميكية وسياقية تتكيف بناءً على الوقت وسلوك المستخدم ونشاط النظام لزيادة دقة الكشف.

تدفق السجلات

نظام SIEM يجمع 100 في المئة من بيانات السجلات من جميع أنحاء مؤسستك. ولكن بعد ذلك تبدأ البيانات بالتدفق عبر قمع السجلات، ويمكن تقليص مئات الملايين من إدخالات السجل إلى عدد قليل فقط من التنبيهات الأمنية القابلة للتنفيذ.

تقوم أنظمة إدارة معلومات الأمان (SIEMs) بتصفية الضوضاء في السجلات للاحتفاظ بالبيانات ذات الصلة فقط. ثم تقوم بفهرسة وتحسين البيانات ذات الصلة لتمكين التحليل. أخيرًا، يتم ربط وتحليل حوالي 1% من البيانات، والتي تعتبر الأكثر أهمية لوضعك الأمني، بشكل أعمق. من بين تلك الروابط، تصبح الروابط التي تتجاوز عتبات الأمان تنبيهات أمنية.

تكاملات نظم إدارة معلومات الأمان

تتكامل منصات SIEM مع مجموعة واسعة من مصادر البيانات الأمنية والتنظيمية، ويمكنها تحليل وتجميع البيانات وتحليلها من حيث الأهمية الأمنية. إليك بعض الأمثلة فقط على مصادر البيانات.

مستضاف ذاتيًا، مُدار ذاتيًا

هذا هو نموذج نشر نظام إدارة معلومات الأمان (SIEM) التقليدي - استضافة نظام SIEM في مركز البيانات الخاص بك، غالبًا مع جهاز SIEM مخصص، والحفاظ على أنظمة التخزين، وإدارته بواسطة موظفين مدربين في مجال الأمن. جعل هذا النموذج نظام SIEM بنية تحتية معقدة ومكلفة للحفاظ عليها.

نظام إدارة معلومات الأمان السحابي، مُدار ذاتيًا

خدمات MSSP: تلقي الأحداث من الأنظمة التنظيمية، الجمع والتجميع.

أنت تتعامل مع: الارتباط، التحليل، الإنذار واللوحات المعلوماتية، العمليات الأمنية التي تستفيد من بيانات SIEM.

مستضاف ذاتيًا، مُدار هجين

أنت تتعامل مع: شراء البرمجيات والبنية التحتية للأجهزة.

MSSP مع موظفي الأمان لديك: ينشر جمع / تجميع أحداث SIEM، والتوافق، والتحليل، والتنبيهات، ولوحات المعلومات.

إدارة معلومات الأمان والأحداث كخدمة

خدمات MSSP: جمع الأحداث، التجميع، الربط، التحليل، التنبيه ولوحات المعلومات.

أنت تتعامل مع: عمليات الأمان التي تعتمد على بيانات SIEM.

أي نموذج استضافة هو الأنسب لك؟

يمكن أن تساعدك الاعتبارات التالية في اختيار نموذج نشر نظام إدارة معلومات الأمان (SIEM):

• هل لديك بنية تحتية موجودة لـ SIEM؟ إذا كنت قد اشتريت الأجهزة والبرامج بالفعل، اختر استضافة ذاتية وإدارة ذاتية، أو استفد من خبرة MSSP لإدارة SIEM بشكل مشترك مع فريقك المحلي.
• هل يمكنك نقل البيانات إلى خارج الموقع؟ إذا كان الأمر كذلك، يمكن أن يقلل نموذج مستضاف على السحابة أو نموذج مُدار بالكامل من التكاليف والأعباء الإدارية.
• هل لديك موظفين أمنيين ذوي خبرة في SIEM؟ العامل البشري مهم للغاية للحصول على قيمة حقيقية من SIEM. إذا لم يكن لديك موظفين أمنيين مدربين، قم باستئجار خدمات التحليل عبر نموذج إدارة هجينة أو SIEM كخدمة.

تحديد حجم نظام SIEM: السرعة، الحجم ومتطلبات الأجهزة

تُستخدم غالبية أنظمة إدارة معلومات الأمان (SIEM) اليوم في المواقع المحلية. يتطلب ذلك من المؤسسات أن تأخذ بعين الاعتبار بعناية حجم بيانات السجلات والأحداث التي تنتجها، والموارد النظامية اللازمة لإدارتها.

حساب السرعة: الأحداث في الثانية (EPS)

مقياس شائع للسرعة هو الأحداث في الثانية (EPS)، يُعرف بأنه: عدد أحداث الأمان مقسومًا على فترة زمنية بالثواني = EPS

يمكن أن يختلف معدل الأحداث (EPS) بين الأوقات العادية وأوقات الذروة. على سبيل المثال، قد يولد جهاز توجيه سيسكو 0.6 حدث في الثانية في المتوسط، ولكن خلال أوقات الذروة، مثل أثناء الهجوم، يمكن أن يولد ما يصل إلى 154 حدث في الثانية.

وفقًا لدليل تقييم SIEM من معهد SANS، يجب على المنظمات تحقيق توازن بين قياسات EPS العادية وذروة EPS. ليس من العملي، أو الضروري، بناء نظام SIEM للتعامل مع ذروة EPS لجميع أجهزة الشبكة، لأنه من غير المحتمل أن تصل جميع الأجهزة إلى ذروتها في نفس الوقت. من ناحية أخرى، يجب عليك التخطيط لحالات الطوارئ، التي سيكون فيها نظام SIEM في أمس الحاجة.

نموذج بسيط للتنبؤ بالأرباح لكل سهم خلال الأوقات العادية وأوقات الذروة.

1. قياس الأرباح العادية لكل سهم و الأرباح القصوى لكل سهم، من خلال النظر إلى بيانات لمدة أكثر من 90 يومًا للنظام المستهدف
2. تقدير عدد القمم في اليوم
3. تقدير مدة الذروة بالثواني، وبالمثل، إجمالي ثواني الذروة في اليوم
4. احسب إجمالي الأحداث القصوى في اليوم = (إجمالي ثواني الذروة في اليوم) * EPS الذروة
5. احسب إجمالي الأحداث العادية في اليوم = (إجمالي الثواني –إجمالي ثواني الذروة في اليوم) * EPS العادي

مجموع هذين الرقمين هو السرعة المقدرة الكلية. بالإضافة إلى ذلك، يوصي دليل SANS بإضافة:

• 10% كمساحة احتياطية
• 10% للنمو

لذا سيكون العدد النهائي للأحداث في اليوم هو:

(إجمالي الأحداث القصوى في اليوم + إجمالي الأحداث العادية في اليوم) * 110% هامش أمان * 110% نمو

حساب السرعة: الأحداث في الثانية (EPS)

الجدول التالي، المقدم من SANS، يوضح متوسط EPS (الأرباح لكل سهم) العادي و EPS الأقصى لأجهزة الشبكة المختارة. البيانات قديمة لعدة سنوات ولكن يمكن أن توفر أرقام تقريبية لتقديراتك الأولية.

لتحديد حجم نظام إدارة معلومات الأمان (SIEM)، قم بإجراء جرد للأجهزة التي تنوي جمع السجلات منها. اضرب عدد الأجهزة المماثلة في تقدير الأحداث في الثانية (EPS) للحصول على العدد الإجمالي لـ الأحداث في اليوم عبر شبكتك.

احتياجات التخزين

قاعدة عامة هي أن الحدث المتوسط يشغل 300 بايت. لذا، لكل 1,000 حدث في الثانية (86.4 مليون حدث في اليوم)، يحتاج نظام إدارة معلومات الأمان (SIEM) إلى تخزين:

تحديد حجم الأجهزة

بعد تحديد سرعة وكمية الأحداث الخاصة بك، ضع في اعتبارك العوامل التالية لتحديد حجم الأجهزة اللازمة لنظام إدارة معلومات الأمان (SIEM):

• تنسيق التخزين– كيف سيتم تخزين الملفات؟ باستخدام تنسيق ملف مسطح، قاعدة بيانات علائقية أو تخزين بيانات غير منظم مثل هادوب؟
• نشر التخزين والأجهزة– هل من الممكن نقل البيانات إلى السحابة؟ إذا كان الأمر كذلك، فإن خدمات السحابة مثل Amazon S3 و Azure Blob Storage ستكون جذابة للغاية لتخزين معظم بيانات SIEM. إذا لم يكن الأمر كذلك، فكر في الموارد التخزينية المتاحة محليًا، وما إذا كان يجب استخدام تخزين عادي مع Hadoop أو قواعد بيانات NoSQL، أو أجهزة تخزين عالية الأداء.
• ضغط السجلات– ما هي التكنولوجيا المتاحة لضغط بيانات السجلات؟ العديد من بائعي SIEM يعلنون عن نسب ضغط تصل إلى 1:8 أو أكثر.
• التشفير– هل هناك حاجة لتشفير البيانات عند دخولها إلى مخزن بيانات SIEM؟ حدد متطلبات البرمجيات والأجهزة.
• التخزين الساخن (بيانات قصيرة الأجل)– يحتاج إلى أداء عالٍ لتمكين المراقبة والتحليل في الوقت الحقيقي.
• التخزين طويل الأمد (احتفاظ البيانات)– يحتاج إلى وسائط تخزين ذات حجم كبير وتكلفة منخفضة لتمكين أقصى احتفاظ بالبيانات التاريخية.
• التبديل الاحتياطي والنسخ الاحتياطي– كنظام حيوي، يجب أن يتم بناء SIEM مع وجود تكرار، وأن يكون مدعومًا بخطة واضحة لاستمرارية الأعمال.

قابلية التوسع ومستنقعات البيانات

في العقد الماضي، نمت الشبكات، وزاد عدد الأجهزة المتصلة بشكل كبير، وارتفعت أحجام البيانات بشكل كبير. بالإضافة إلى ذلك، هناك حاجة متزايدة للوصول إلى جميع البيانات التاريخية - وليس فقط نسخة مصفاة ومختصرة من البيانات - لتمكين تحليل أعمق. يمكن لتكنولوجيا SIEM الحديثة أن تفهم كميات هائلة من البيانات التاريخية وتستخدمها لاكتشاف شذوذ وأنماط جديدة.

في عام 2015، أصدرت O'Reilly تقريرًا بعنوان بحيرة البيانات الأمنية، والذي قدم نهجًا قويًا لتخزين بيانات SIEM في بحيرة بيانات Hadoop. يوضح التقرير أن بحيرات البيانات لا تحل محل أنظمة SIEM - لا يزال SIEM مطلوبًا لقدرته على تحليل وفهم بيانات السجلات من العديد من الأنظمة المختلفة، ومن ثم تحليل واستخراج الرؤى والتنبيهات من البيانات.

تقدم بحيرة البيانات، كمرافق لنظام إدارة معلومات الأمان (SIEM)، ما يلي:

• تخزين منخفض التكلفة تقريبًا وغير محدود يعتمد على أجهزة تجارية.
• طرق جديدة لمعالجة البيانات الكبيرة - أدوات في نظام هادوب، مثل هايف وسبارك، تتيح معالجة سريعة لكميات هائلة من البيانات، بينما تتيح للبنية التحتية التقليدية لنظام إدارة معلومات الأمان (SIEM) استعلام البيانات عبر SQL.
• إمكانية الاحتفاظ بجميع البيانات عبر مجموعة متنوعة من مصادر البيانات الجديدة، مثل تطبيقات السحابة، وإنترنت الأشياء، والأجهزة المحمولة.

اليوم، توجد خيارات تقنية إضافية لتنفيذ بحيرات البيانات، بجانب هادوب، بما في ذلك ElasticSearch وCassandra وMongoDB.

SIEM من الجيل التالي– فائدة أخرى لتخزين بحيرات البيانات هي أن تكاليف الأجهزة تصبح قابلة للتنبؤ. يمكنك ببساطة إضافة عقد إلى بحيرة البيانات، تعمل على أجهزة سحابية أو عادية، لزيادة تخزين البيانات بشكل خطي. يمكن لنظم SIEM المعتمدة على تقنية بحيرات البيانات إضافة مصادر بيانات جديدة بسهولة أو توسيع الاحتفاظ بالبيانات بتكلفة منخفضة.

هندسة SIEM: الماضي والحاضر

تاريخياً، كانت أنظمة إدارة معلومات الأمان (SIEM) بنى تحتية مؤسسية مكلفة وموحدة، مبنية باستخدام برمجيات خاصة وأجهزة مخصصة تم توفيرها للتعامل مع كميات البيانات الكبيرة. ومع تطور صناعة البرمجيات بشكل عام، تتطور أنظمة SIEM لتصبح أكثر مرونة وخفة، وأكثر ذكاءً مما كانت عليه من قبل.

تستخدم حلول SIEM من الجيل التالي بنية حديثة تكون أكثر تكلفة معقولة، وأسهل في التنفيذ، وتساعد فرق الأمان على اكتشاف المشكلات الأمنية الحقيقية بشكل أسرع.

• تقنية بحيرة البيانات الحديثة– تقدم تخزين البيانات الكبيرة مع قابلية غير محدودة للتوسع، تكلفة منخفضة وأداء محسن.
• خيارات جديدة للاستضافة المدارة وإدارة الخدمات– يساعد مقدمو خدمات الأمن المدارة (MSSPs) المنظمات في تنفيذ نظام إدارة معلومات الأمن (SIEM)، من خلال تشغيل جزء من البنية التحتية (في الموقع أو على السحابة)، وتقديم الخبرة لإدارة عمليات الأمان.
• قابلية التوسع الديناميكية والتكاليف المتوقعة– لم يعد مدراء SIEM بحاجة إلى حساب الأحجام بدقة، وإجراء تغييرات معمارية عندما تزداد أحجام البيانات. يمكن الآن أن تنمو تخزينات SIEM بشكل ديناميكي ومتوقع عندما تزداد الأحجام.

• إثراء البيانات بالسياق– هذا أمر أساسي لتصفية الإيجابيات الكاذبة في حل SIEM لتحليل البيانات والقدرة على اكتشاف التهديدات الحقيقية والاستجابة لها بشكل فعال.
• رؤى جديدة مع تحليلات سلوك المستخدم والكيان (UEBA)– تشمل بنى SIEM اليوم مكونات تحليلات متقدمة مثل التعلم الآلي والتوصيف السلوكي، التي تتجاوز الارتباطات التقليدية لاكتشاف علاقات جديدة وشذوذ عبر مجموعات بيانات ضخمة. اقرأ المزيد في فصلنا عن UEBA.
• تمكين الاستجابة للحوادث– تستفيد أنظمة إدارة معلومات الأمان الحديثة من تقنية التنسيق والأتمتة الأمنية (SOAR) التي تساعد في تحديد الحوادث الأمنية والاستجابة لها تلقائيًا، وتدعم التحقيق في الحوادث من قبل موظفي مركز عمليات الأمن. اقرأ المزيد في فصلنا عن الاستجابة للحوادث.