در این مقاله تصمیم داریم در رابطه با اینکه SIEM چیست و نحوه عملکرد و کاربرد آن در شناسایی تهدیدات پیشرفته چگونه می باشد توضیحاتی را ارائه نماییم.
راهکارهای امنیت اطلاعات و مدیریت رویدادها یا به اختصار SIEM با استفاده از قوانین و همبستگیهای موجود در رخدادها، گزارشها و رویدادهای سیستمهای امنیتی را به اطلاعات کاربردی تبدیل میکنند. این اطلاعات در شناسایی تهدیدها بهصورت Real-Time، مدیریت واکنش به حوادث، تحقیقات جرمشناسی دربارهی حوادث امنیتی گذشته و آمادهسازی Auditها برای اهداف تطبیقپذیری، به تیمهای امنیتی کمک میکند.
مارک نیکولت و امریت ویلیامز در سال 2005 اصطلاح SIEM را در گزارش شرکت تحقیقاتی گارتنر، به نام Improve IT Security with Vulnerability Management ساختند و بر مبنای دو نسل قبلتر یک سیستم اطلاعات امنیتی عرضه کردند.
نسل اول است که بر مبنای مجموعهی قدیمی جمعآوری گزارشها و سیستمهای مدیریتی ساخته شده بود و امکاناتی از این قبیل را ارائه میکرد: حافظهی بلند مدت، تجزیه و تحلیل و گزارش دربارهی دیتای Log و ترکیب Logها با هوش تهدیدات.
SIEM چیست؟ مزایای استفاده از Splunk Enterprise Security در سازمان ها
مشاهده ویدیوهای بیشتر
نسل دوم است که به مواردی از قبیل جمع آوری رویدادهای امنیتی، برقراری ارتباط و انتشار اطلاعیه دربارهی رویدادهای سیستمهای امنیتی از جمله آنتیویروسها، فایروالها و IDSها میپردازد. همچنین به رویدادهایی توجه میکند که مستقیما از طریق Authentication، SNMP Trapها، سرورها و دیتابیسها گزارش میشوند.