مفاهيم أساسية في تثبيت وتكوين SIEM
في هذا الموضوع سنشرح المفاهيم الأساسية في تثبيت وتكوين SIEM…
هل سمعت من قبل عن نظام SIEM؟ إذا لم تسمع، فإنه يعد واحدًا من أهم الأنظمة الأمنية المتكاملة التي تستخدم في الكشف عن التهديدات الأمنية ومراقبة الأحداث في الشبكات والأنظمة والتطبيقات. ولمن يعرفونه، فإن تثبيت وتكوين نظام SIEM يتطلب فهمًا شاملاً للمفاهيم الأساسية التي تتضمنها هذه العملية.
في موضوعنا هذا، سنتحدث بشكل مفصل عن المفاهيم الأساسية في تثبيت وتكوين نظام SIEM، وكيفية تحديد ومراقبة الأحداث المهمة لضمان الأمن والحماية من التهديدات الأمنية. ستتعرف على أهمية تثبيت نظام SIEM، وكيفية اختيار الأدوات المناسبة لتحليل وتقييم البيانات المتعلقة بالأمن، وستتعلم كيفية تكوين النظام وتحديد ما هي المصادر التي يجب مراقبتها وما هي الأحداث التي يجب جمعها وتحليلها.
إذا كنت ترغب في تعزيز أمن نظامك وحمايته من التهديدات الأمنية، فإن هذا الموضوع سيوفر لك المعلومات اللازمة لتثبيت وتكوين نظام SIEM بشكل صحيح وفعال. فلنتعرف سويًا على هذا الموضوع المثير والمفيد.
ما هو نظام SIEM ؟
نظام SIEM هو اختصار لـ “نظام إدارة المعلومات والأحداث الأمنية” (Security Information and Event Management). يشير SIEM إلى تقنية تستخدم في مجال أمن المعلومات لجمع وتحليل ورصد الأحداث والمعلومات الأمنية في بيئة معينة.
يعتبر نظام SIEM نظامًا شاملاً يجمع بين وظائف إدارة المعلومات الأمنية (SIM) وأنظمة إدارة الأحداث الأمنية (SEM). يعمل النظام على جمع البيانات من مصادر مختلفة مثل أجهزة الشبكات والأنظمة وتطبيقات الويب وسجلات الأحداث وقواعد البيانات. يتم تحليل هذه البيانات للكشف عن أنماط غير عادية أو مشتبه فيها أو مخاطر أمنية تهدد النظام.
تعمل تقنية SIEM على تجميع الأحداث الأمنية من مصادر متعددة وتجميعها في مكان واحد لتحليلها ومراقبتها بشكل متكامل. يتم استخدامها للكشف عن الهجمات السيبرانية واكتشاف التهديدات الأمنية والتحقق من سلامة النظام والامتثال لمتطلبات الأمان.
بشكل عام، يقوم نظام SIEM بتحليل الأحداث الأمنية وتصنيفها وتنقيتها وتقديم تقارير عنها. يتم استخدامه أيضًا للتنبيه المبكر عند حدوث أحداث أمنية ذات أولوية عالية واتخاذ التدابير اللازمة للتعامل معها.
تطور نظام SIEM باستمرار لمواكبة التهديدات الأمنية المتقدمة وتعقيدات البيئات الحديثة. يعتبر SIEM أداة قوية لإدارة الأمان والاستجابة للحوادث (IR) ومراقبة الأمان والامتثال للمعايير والتوجيهات الأمنية.
مفاهيم أساسية في تثبيت وتكوين SIEM
هنالك الكثير من المفاهيم الأساسية التي يجب عليك معرفتها وفهمها في تثبيت وتكوين SIEM، ومن أهم هذه المفاهيم:
تجميع (Aggregation):
تجميع (Aggregation) هو عملية جمع البيانات المتنوعة من مصادر مختلفة ودمجها معًا لتشكيل مجموعة أكبر واحدة من البيانات. يتم استخدام التجميع في سياق نظام SIEM لجمع البيانات الأمنية من مصادر متعددة وتجميعها في مكان واحد للتحليل والاستخدام الفعّال.
إليك خطوات العملية الأساسية للتجميع في نظام SIEM:
- تحديد المصادر: يجب تحديد المصادر التي تنتج البيانات الأمنية التي ترغب في جمعها. قد تشمل هذه المصادر أجهزة الشبكات، والأنظمة، وقواعد البيانات، وسجلات الأحداث، وتطبيقات الويب، والأجهزة الأمنية الأخرى.
- جمع البيانات: بعد تحديد المصادر، يتم جمع البيانات من هذه المصادر. يتم استخدام بروتوكولات مثل syslog أو SNMP أو API لجمع البيانات من الأجهزة والتطبيقات. يتم تكوين هذه المصادر لإرسال البيانات الأمنية إلى نظام SIEM.
- تنسيق البيانات: يجب تنسيق البيانات المجمعة بطريقة موحدة حتى يتسنى لنظام SIEM فهمها وتحليلها بشكل صحيح. يعتمد التنسيق على متطلبات النظام والمصادر المستخدمة. يمكن تحويل البيانات إلى تنسيق معياري مثل تنسيق السجل الأمني الموحد (Common Event Format – CEF) أو تنسيق السجل الأمني الموحد (Common Log Format – CLF).
- تجميع البيانات: يتم تجميع البيانات المنسقة في مكان واحد، وعادة ما يكون ذلك في قاعدة بيانات مركزية أو مستودع بيانات (Data Warehouse) في نظام SIEM. يجمع التجميع البيانات من مصادر مختلفة ويضمن توفرها للتحليل والاستعلامات المستقبلية.
- التخزين والاستفادة: يتم تخزين البيانات المجمعة في نظام SIEM للاستفادة منها فيما بعد. يمكن استخدام هذه البيانات للتحليل الاستباقي والكشف عن التهديدات وإنشاء التقارير الأمنية والمزيد. يعتبر تجميع البيانات الأمنية مهمًا لفهم الصورة الكاملة للأنشطة والتهديدات الأمنية في بيئتك.
تجميع البيانات في نظام SIEM يسمح بإنشاء رؤية شاملة للأمان وتحليلالأحداث الأمنية والتهديدات. باستخدام التجميع، يمكنك رصد النشاطات غير المعتادة والتغيرات في سلوك المستخدمين والتهديدات الأمنية المحتملة. كما يمكن استخدام التجميع لتحليل البيانات التاريخية والاتجاهات الأمنية لتعزيز قدرات الاستجابة والتخطيط الاستباقي للأمان.
يجب ملاحظة أن عملية التجميع تختلف بين أنظمة SIEM المختلفة وتعتمد على متطلبات البيئة والأهداف الأمنية. قد تحتاج إلى تكوين معلمات التجميع وتحديد البيانات المطلوبة وتحديد فترات الزمن وتحديد قواعد التصفية والتجزئة وغيرها من العوامل حسب احتياجاتك ومتطلباتك الخاصة.
علاقة (Correlation):
العلاقة (Correlation) في سياق نظام إدارة المعلومات الأمنية (SIEM) تشير إلى عملية ربط وتحليل البيانات الأمنية المختلفة لاكتشاف العلاقات والارتباطات بينها. تهدف عملية العلاقة إلى فهم السياق والترابط بين الأحداث الأمنية المختلفة وتحديد النماذج والأنماط التي يمكن أن تشير إلى التهديدات الأمنية.
فيما يلي نقاط رئيسية تشرح عملية العلاقة في نظام SIEM:
- جمع البيانات: يتم جمع البيانات الأمنية من مصادر متعددة مثل أجهزة الشبكات والأنظمة وقواعد البيانات والتطبيقات وسجلات الأحداث وأجهزة الحماية. يتم تجميع هذه البيانات في مكان واحد في نظام SIEM.
- تنسيق البيانات: يتم تنسيق البيانات المجمعة بطريقة موحدة للتأكد من توافقها وفهمها بشكل صحيح. يعتمد التنسيق على معايير محددة مثل تنسيق السجل الأمني الموحد (CEF) أو تنسيق السجل الأمني المشترك (CEF) أو تنسيق السجل الأمني المشترك (CEF). يتم تحويل البيانات إلى هذا التنسيق الموحد لتمكين التحليل المتكامل.
- التحليل والمراقبة: يتم استخدام تقنيات التحليل والمراقبة المتقدمة للبحث عن العلاقات والارتباطات بين البيانات الأمنية المختلفة. يتضمن ذلك استخدام تقنيات الاستدلال الإحصائي وتحليل الأنماط والتعلم الآلي لتحديد النماذج الغير طبيعية أو السلوك المشتبه فيه.
- اكتشاف التهديدات: يتم استخدام عملية العلاقة لاكتشاف التهديدات الأمنية المحتملة. عن طريق ربط الأحداث وتحليلها بشكل متكامل، يمكن تحديد نماذج التهديد والسلوك غير العادي الذي قد يشير إلى هجمات أمنية محتملة.
- تنبيهات واستجابة: عندما يتم اكتشاف تهديد أمني أو نمط غير طبيعي، يمكن لنظام SIEM إصدار تنبيهات لفريق الأمان المعني لاتخاذ إجراءات استجابة فورية. يمكن أن تشمل هذه الإجراءات تحديد مصدر التهديد واتخاذ إجراءات للحد من التأثيرأعتذر، لقد أدركت أن الشرح السابق للعلاقة كان غير دقيق وغير متعلق بالسياق الأمني. في سياق نظام إدارة المعلومات الأمنية (SIEM)، فإن العلاقة (Correlation) تشير إلى عملية ربط وتحليل الأحداث الأمنية المختلفة لتحديد العلاقات والارتباطات بينها بهدف اكتشاف الهجمات الأمنية أو السلوك غير المألوف.
يتم استخدام تقنيات العلاقة في SIEM لربط الأحداث الأمنية المتعددة وتحليلها معًا لتحديد النماذج والأنماط التي يمكن أن تشير إلى هجمات أمنية محتملة. على سبيل المثال، إذا تم اكتشاف محاولة اختراق لجهاز في الشبكة، يمكن ربط هذه الأحداث بناءً على العناصر المشتركة مثل عنوان IP المُهاجم أو طريقة الهجوم المستخدمة. بعد ذلك، يمكن تحليل هذه العلاقات لتحديد ما إذا كان هناك أنماط مشابهة في الأحداث الأمنية الأخرى التي قد تشير إلى هجمات أخرى.
عملية العلاقة تعتبر جزءًا مهمًا من قدرات SIEM لاكتشاف التهديدات الأمنية بشكل شامل ومتكامل. من خلال ربط وتحليل الأحداث الأمنية المتعددة، يمكن تحديد النماذج والأنماط الغير طبيعية والقيام بتحليل متقدم للتهديدات والاستجابة السريعة لحماية الأنظمة والشبكات.
التنبيه الآلي والمشغلات (Automated alerting and triggers):
التنبيه الآلي والمشغلات (Automated alerting and triggers) هي ميزة مهمة في أنظمة إدارة المعلومات الأمنية (SIEM)، حيث تساعد في اكتشاف الأحداث الأمنية غير المألوفة والتهديدات الحالية أو المحتملة بشكل سريع وفعال. تهدف هذه الميزة إلى تقديم إشعارات آلية وفورية عندما تتم تلك الأحداث أو يتم تنشيط المشغلات المحددة.
فيما يلي شرح للتنبيه الآلي والمشغلات في سياق نظام SIEM:
- التنبيه الآلي: يتم تكوين التنبيهات الآلية لتصحيح الأحداث الأمنية المشتبه فيها أو غير المألوفة. يتم تحديد مجموعة من القواعد والمعايير التي تعتبر مؤشرًا على وجود تهديد أمني، مثل زيادة مفاجئة في محاولات الولوج غير المصرح بها أو نشاط غير عادي على حساب المستخدم. عندما تتوافق الأحداث الحالية مع هذه القواعد، يتم توليد تنبيه آلي يخطر فريق الأمان المسؤول لاتخاذ إجراءات.
- المشغلات (Triggers): هي مجموعة من القواعد والمعايير التي تعمل كمحفزات لتنشيط التنبيهات الآلية. عند حدوث أحداث محددة تتوافق مع المشغلات، يتم تنشيط التنبيه الذي يخطر المستخدم أو الفريق المعين. يمكن أن تشمل المشغلات وقتًا محددًا للأحداث، مثل تجاوز عتبة معينة لتكرار الأحداث في فترة زمنية محددة.
- التنبيهات المخصصة: يمكن تكوين التنبيهات الآلية بناءً على متطلبات المؤسسة واحتياجات الأمان. يمكن لفرق الأمان تحديد أنواع الأحداث التي يرغبون في مراقبتها وتلقي التنبيهات بشأنها، مثل محاولات الاختراق أو الوصول غير المصرح به أو تغييرات غير مصرح بها في الأنظمة.
- الاستجابة السريعة: يساعد التنبيه الآلي والمشغلات في تمكين الاستجابة السريعة للتهديدات الأمنية. عندما يتلقى فريق الأمان تنبيهًا آليًا، يمكنه التحقق من التهديد واتخاذ إجراءات فورية للتصدي له ومنعالأضرار الأمنية البالغة. قد تشمل الاستجابة السريعة تحديد مصدر التهديد وعزله وإصلاح الثغرات الأمنية المكتشفة.
بشكل عام، يعمل التنبيه الآلي والمشغلات على تعزيز قدرة فرق الأمان على رصد وتحليل الأحداث الأمنية بشكل فعال وسريع. يساعد في التعرف المبكر على التهديدات الأمنية والاستجابة لها قبل أن تتسبب في أضرار كبيرة. كما يساعد في تحسين استراتيجية الأمان العامة من خلال تحليل النمط والاتجاهات وتحديد الثغرات الأمنية المحتملة في الأنظمة والشبكات.
يجب أن يتم تكوين التنبيه الآلي والمشغلات وفقًا لاحتياجات كل منظمة وبيئة عملها الخاصة. يتطلب ذلك تحديد الأحداث الحساسة التي يجب مراقبتها والمشغلات المناسبة لتلك الأحداث، بالإضافة إلى تحديد مستويات التنبيه المناسبة والإجراءات المتبعة للاستجابة.
مزامنة الوقت (Time synchronization):
في سياق نظام إدارة معلومات أمن الحوادث والعمليات (SIEM)، مزامنة الوقت (Time synchronization) تعتبر عملية هامة لضمان توافق وتنسيق السجلات والأحداث المسجلة من مصادر مختلفة في النظام. تهدف مزامنة الوقت في SIEM إلى ضمان توفر توقيت دقيق ومتزامن للأحداث المسجلة، مما يسهم في تحليل البيانات بشكل فعال واتخاذ قرارات مبنية على أساس زمني صحيح.
إليك شرح لأهمية مزامنة الوقت في SIEM وكيفية تحقيقها:
- تسلسل الأحداث: في بيئة SIEM، يتم تسجيل العديد من الأحداث والسجلات من مصادر مختلفة مثل أجهزة الشبكة وأنظمة الحماية وسجلات الخادم وغيرها. يتوجب أن تكون هذه الأحداث مترابطة زمنيًا لتتمكن من استعراضها وتحليلها بشكل صحيح. مزامنة الوقت تضمن أن تكون الأحداث مُحَرَّرَةً في تسلسل زمني دقيق، مما يسهل تتبع سلسلة الأحداث وتحليلها بشكل صحيح.
- الكشف عن التهديدات والتحقق الزمني: يعتمد تحليل SIEM بشكل كبير على تحليل الأحداث والسجلات للكشف عن أنماط غير عادية وتهديدات أمنية. من خلال مزامنة الوقت، يمكن تحديد توقيت وتسلسل الأحداث بدقة، مما يسهل التحقق الزمني وتحليل الأحداث المشتبه فيها والتهديدات الباحثة.
- التحقق القانوني والامتثال: في بعض القطاعات مثل الخدمات المالية والصحية، يوجد العديد من القوانين واللوائح التي تتطلب المحافظة على سجلات دقيقة ومتزامنة للأحداث. مزامنة الوقت تسهم في توفير توقيت صحيح للسجلات، مما يدعم التحقق القانوني وامتثال القوانين واللوائح المعمول بها.
- توفير السياق الزمني: في بيئة SIEM، يتم تحليل البيانات وتوليد تقارير لفهم الأنماط والاتجاهات والتهديدات الأمنية. مزامنة الوقت توفر السياق الزمني اللازم لتحليل البيانات، مما يساعد في فهم السياق الزمني للأحداث وتطوير استراتيللأمانة، قد توقفت الإجابة عند كلمة “استراتي” وذلك لعدم اكتمال الفقرة. يرجى توضيح الجزء الناقص لنتمكن من استكمال الإجابة بشكل صحيح.
الغاء تكرار الأحداث (Event deduplication):
إلغاء تكرار الأحداث (Event deduplication) هو عملية تُستخدم في أنظمة إدارة معلومات أمن الحوادث والعمليات (SIEM) للتعامل مع تكرار الأحداث المسجلة بطرق فعالة. يتم تعريف تكرار الأحداث كوجود أحداث متكررة أو متشابهة تمامًا في السجلات المسجلة، والتي قد تنشأ بسبب تكرار السجلات أو السلوكيات أو عوامل أخرى.
تهدف عملية إلغاء تكرار الأحداث إلى تقليل الضجيج وتحسين كفاءة التحليل والاستجابة للأحداث الأمنية. وفيما يلي شرح لكيفية عمل إلغاء تكرار الأحداث:
- تعريف القاعدة: يتم تحديد قاعدة لتحديد ما تُعتبر الأحداث المتكررة. يمكن أن تكون القاعدة مستندة إلى مجموعة معينة من الحقول في سجل الحدث، مثل الوقت ومعرّف الحدث والمصدر والهدف وغيرها. يتم استخدام هذه القاعدة لمقارنة الأحداث المسجلة وتحديد تكرارها.
- المطابقة والتحليل: يتم تطبيق عملية المطابقة للأحداث المسجلة للتحقق من وجود تكرار. يتم استخدام التقنيات المختلفة، مثل التجزئة (hashing) وتقنيات تحليل النصوص، لمقارنة السجلات وتحديد التشابه فيها.
- القرار بشأن الحذف: بعد تحديد الأحداث المتكررة، يتم اتخاذ قرار بشأن حذف الأحداث المكررة. يمكن أن يتم حذف الأحداث الإضافية تلقائيًا أو وضع علامة عليها للمراجعة اليدوية واتخاذ إجراءات مناسبة.
- تحديث السجلات: يتم تحديث سجلات الأحداث المتبقية لتشير إلى حذف الأحداث المكررة أو تتضمن معلومات إضافية للإشارة إلى وجود تكرار.
فوائد إلغاء تكرار الأحداث تشمل تقليل الزيادة غير الضرورية في حجم البيانات وتحسين كفاءة المساحة التخزين وتحليل الأحداث وتحسين الاستجابة السريعة للتهديدات الأمنية. كما يُمكن أن يُسهم في تحسين دقة التقارير والتحليلات وتقليل الضوضاء التي يمكن أن تحدث بسبب الأحداث المتكررة.
سجلات/اكتب مرة واحدة اقرأ أكثر (Logs/WORM):
في سياق أنظمة إدارة معلومات أمن الحوادث والعمليات (SIEM)، يشير مصطلح “سجلات” (Logs) إلى سجلات المعلومات التي تتم تسجيلها وتوثيقها للأحداث والأنشطة المختلفة في نظام معين. تتضمن السجلات معلومات مثل الوقت، والمصدر، والهدف، ونوع الحدث، وتفاصيل إضافية حول الحدث.
فيما يلي شرح لمصطلح “اكتب مرة واحدة اقرأ أكثر” (Write Once Read Many – WORM) المرتبط بسجلات الحوادث:
اكتب مرة واحدة اقرأ أكثر (WORM) هو مصطلح يشير إلى سمة أو تقنية تُستخدم في تخزين السجلات لضمان عدم تعديلها أو حذفها بعد الكتابة الأولية. يتمكن النظام المستخدم من الكتابة في السجلات مرة واحدة فقط، ولكن يمكن الوصول إلى السجلات وقراءتها عدة مرات.
تكمن أهمية تقنية WORM في الحفاظ على سلامة وسلامة البيانات، وخاصة فيما يتعلق بتخزين السجلات الأمنية. تضمن هذه التقنية أنه لا يمكن تعديل السجلات بعد كتابتها، مما يحميها من التلاعب غير المصرح به أو الحذف العرضي.
لاحظ أن تقنية WORM ليست مقتصرة على سجلات الحوادث وحدها، بل يمكن أيضًا استخدامها في سياقات أخرى حيث يتعين الحفاظ على سلامة البيانات بشكل دائم ومنع التلاعب بها، مثل تخزين البيانات القانونية أو الطبية.
تتوفر تقنيات مختلفة لتنفيذ تخزين السجلات بناءً على مبدأ WORM. يمكن استخدام وسائط التخزين المختلفة مثل الأقراص الصلبة المتخصصة أو الأشرطة اللاصقة أو الأقراص الضوئية. توفر بعض الأنظمة أيضًا واجهات برمجة التطبيقات (API) المتقدمة لإدارة وتحكم الوصول إلى السجلات وتحقيق متطلبات الامتثال والتنظيم.
هذا والسلام عليكم ورحمة الله وبركاته…
( لا تنسا مشاركة الموضوع ليستفيد غيرك )