فناوری “مدیریت وقایع و امنیت اطلاعات” (SIEM) یک فناوری بسیار مهم در دنیای دیجیتال است. این فناوری با ایجاد همبستگی مابین سیستمها، دید جامعتری نسبت به امنیت فناوری اطلاعات فراهم میکند. اهمیت بسیار زیاد فناوری SIEM در فرایند شناسایی و پاسخگویی به تهدیدات سایبری موجب اختصاص بخش قابل ملاحظهای از بازار امنیت سایبری به این فناوری شده است. با این حال، با توجه به فراوانی ابزارهای موجود، انتخاب ابزار SIEM مناسب که به درستی قادر به برطرف نمودن نیازهای سازمان باشد، همواره از دغدغههای مدیران امنیت است. با توجه به این مهم، در ادامه این مطلب به بررسی برخی از بهترین ابزارهای SIEM موجود و ویژگیهای اساسی آنها خواهیم پرداخت.
شماره ۱۰: RSA NetWitness
RSA NetWitness یک راهکار کامل برای تجزیه و تحلیل شبکه است. با توجه به وجود مولفههای زیاد برای سادهسازی استراتژی امنیتی، این راهکار یک راهکار ایدهآل برای شرکتهای بزرگ است.
این نرمافزار، با جمعآوری اطلاعات از طریق Capture pointهای مختلف، راهکارهای هوش تهدید و همچنین پلتفرمهای محاسباتی، قادر به ارائه اطلاعاتی گسترده درباره کسبوکارها است.
از دیگر مزایای این راهکار بهرهمندی از یک مولفه تشخیص تهدید پیشرفته است که بر اساس ترکیبی از تکنیکهای علوم داده و تجزیه و تحلیل رفتاری عمل میکند.
شماره ۹: AlienVault USM
این راهکار مناسب کسبوکارهای با اندازه کوچک تا متوسط است.
سیستم AlienVault SIEM در نسخههای سختافزاری، مجازی و مبتنی بر Cloud در دسترس بوده و شرکتها میتوانند با توجه به نیاز خود از نسخه مناسب استفاده کنند.
علاوهبراین، این سیستم دارای ۱۵۰ گزارش قابل سفارشیسازی آماده و مطابق با استانداردهایی مانند SOX و HIPAA است. AlienVault USM یک راهکار بسیار انعطافپذیر است که میتواند با نیازهای موجود در طول زمان سازگار شود.
شماره ۸: ELK
ELK یا Elastic Stack نیز یک راهکار SIEM کامل است که با ترکیب مجموعهای از محصولات از ۳ ارائهدهنده Logstash، Elasticsearch و Kibana ایجاد شده است.
در این راهکار، Elasticsearch موتور مورد نیاز برای ذخیرهسازی آسان دادهها را فراهم میکند، LogStash به جمعآوری اطلاعات از تمام محلهای ممکن میپردازد و Kibana مصورسازیهای موردنیاز را فراهم میکند.
ترکیب این ابزارها با یکدیگر، منجر به ایجاد یکی از برترین سیستمهای تجزیه و تحلیل موجود در بازار شده است.
شماره ۷: IBM Security Qradar
Qradar دارای ماژولهای جانبی متنوعی است که میتوان آنها را در آزمایشات برای data ingestion، مدیریت آسیب پذیری و کنترل ریسک به کار گرفت. Qradar یک راهکار عالی برای نظارت بر سرعت انتقال و حجم داده است.
علاوهبراین، این راهکار قابلیت جستجوی قدرتمندی دارد که ممکن است استفاده از مزایای آن، نیازمند کسب اطلاعات بیشتری درباره SIEM باشد.
شماره ۶: MicroFocus ArcSight ESM
این ابزار یک محصول مدیریت امنیت سازمانی (ESM) است که اغلب به عنوان یک راهکار SIEM به فروش میرسد و دارای قابلیت به کارگیری مبتنی بر Cloud میباشد.
با استفاده از امکانات اصلی SIEM شرکت نرمافزاری MicroFocus میتوان طیف گستردهای از منابع داده را به صورت بلادرنگ نظارت کرده و به مدیریت آنها پرداخت.
از دیگر مزایای ابزار ArcSight این است که علاوه بر شناسایی تهدیدهای احتمالی موجود در سیستمها، ابزارهای لازم برای رفع آن مشکلات را نیز در اختیار قرار میدهد.
شماره ۵: LogRhythm
LogRhythm از امکانات زیادی از جمله شناسایی تهدیدات بر اساس موقعیت جغرافیایی بهره میبرد، قابلیتی که رقبا فاقد آن هستند.
این ابزار شامل بازرسی امنیت شبکه بوده و دارای ۸۰۰ قالب گزارشدهی آماده میباشد.
این راهکار در کنار معماری انعطافپذیر و غیرمتمرکز، قدرتمندترین و متنوعترین امکانات امنیتی موجود در بازار را ارائه میدهد.
شماره ۴: McAfee Enterprise Security Manager
سرویس McAfee SIEM به آسانی امکان جمع آوری طیف گستردهای از دادههای Log را از سیستمهایی متنوع فراهم میکند. در ادامه، موتور همبستهسازی McAfee به سازماندهی موثر منابع دادهای مختلف در قالب گزارشهایی دقیق و کامل میپردازد.
همچنین با استفاده از مجموعه کامل McAfee میتوان به Business Technical Support و Enterprise Tech Support دست یافت.
شماره ۳ : Splunk
با توجه به سهولت در کاربری و یادگیری، Splunk یکی دیگر از راهکارهای خارقالعاده در امنیت است. تمام نسخههای این نرمافزار به صورت پیشفرض شامل یک تحلیلگر داده است ک
ه امکان مرتبسازی و فیلتر رکوردهای خوانده شده از فایلها را به صورت کارامد فراهم میکند.
علاوهبراین، در این ابزار یک ماژول Asset Investigator برای هشداردهی وجود دارد که بر اساس یک دید سیستمی جامع و دقیق عمل میکند.
شماره ۲: SolarWinds Log and Event Manager
ابزار مدیریت حرفهای Log شرکت SolarWinds، در نوع خود یکی از بهترینها در دنیا است که ابزار Log and Event Manager این شرکت نیز بر پایه آن است.
این راهکار بررسی دقیق فایلهای Log و دریافت هشدار فوری در صورت وقوع هر اتفاق مشکوکی را آسان میکند. این ویژگی از پاک کردن رد نفوذگران و رکوردهای Log توسط آنها جلوگیری میکند.
شماره ۱: Securonix
Securonix یک پلتفرم SIEM نسل بعدی است که راهکارهای مدیریت Log را با ردیابی دادهها ترکیب میکند. این راهکار تمام امکانات موردنیاز برای تجزیه و تحلیل از مقیاسپذیری نامحدود (که با توجه به آن میتوان سیستم را با توجه به رشد کسبوکار سازگار کرد) تا تجزیه و تحلیل رفتاری و یادگیری ماشینی تعبیه شده را فراهم میکند
که با توجه به این ویژگیها میتوان آرامش خاطر کاملی نسبت به امنیت سازمان داشت. از مزایای این راهکار میتوان به امکان دسترسی به SIEM به عنوان یک راهکار Cloud as a service اشاره کرد.
سخن پایانی
با توجه به موقعیت حساس و کلیدی جمهوری اسلامی ایران در منطقه و جهان و ضرورت توجه به امنیت در حوزه فضای سایبری، به ویژه در مراکز حساس و حیاتی، کارشناسان شرکت APK امن پردازان کویر در راستای تولید داخلی و بومیسازی محصولات امنیتی حوزه فناوری اطلاعات، با بهرهگیری از تجارب خود در پروژههای امنیتی بزرگ کشور، اقدام به تولید و عرضه سامانه مدیریت وقایع و امنیت اطلاعات بومی تحت عنوان APKSIEM نموده است. امکانات بارز این ابزار از جمله سیستم تحلیل کننده رفتار شبکه، موتور همبستگی رویداد، سیستم پاسخدهی به تهدیدات، تحلیل Big Data و سیستم مانیتورینگ متمرکز، آن را قادر به رقابت با برترین ابزارهای مطرح شده در این حوزه مینماید. برای کسب اطلاع بیشتر در مورد ویژگیهای APKSIEM میتوانید از طریق شماره ۰۲۱۴۲۲۷۳ با کارشناسان شرکت امنپردازان کویر تماس حاصل نمایید.