زمان تخمینی مطالعه: 3 دقیقه
SIEM یا مدیریت رویدادها و امنیت اطلاعات، گزارشها و رویدادها را جمعآوری کرده و این دادهها را برای تجزیه و تحلیل بیشتر نرمال میکند که میتوان از آنها به صورت تجسم، هشدار، جستجو، گزارش و موارد دیگر استفاده کرد. تیمهای امنیتی اغلب از SIEM خود به عنوان داشبورد مرکزی استفاده میکنند و بسیاری از عملیات روزانه خود را خارج از پلتفرم انجام میدهند. تحلیلگران امنیتی میتوانند از راهحلهای SIEM برای مقابله با استفادههای پیشرفته از امنیت سایبری مانند نظارت مستمر، شکار تهدید، و بررسی حادثه و واکنش استفاده کنند.
تاریخچه SIEM
این مفهوم بیش از 20 سال است که وجود دارد و از اولین روزهای ایجاد خود به عنوان یک پایگاه داده متمرکز به طور قابل توجهی تکامل یافته است. اولین نسخههای SIEM – که از رویکردهای مدیریت امنیت اطلاعات ترکیبی (SIM) و مدیریت رویدادهای امنیتی (SEM) نشأت میگرفتند – محدودیتهای زیادی در مقیاسبندی، عملکرد هشدار اولیه و قابلیتهای همبستگی دادههای اندک داشتند. در طول سالها، این فناوری به طور قابل توجهی قابلیتهایی که قبلاً ضعیف عمل میکردند، پیشرفت کرد، در حالی که توانایی انجام بازنگری تاریخی در دادههای بایگانی را نیز اضافه میکرد که یک عملکرد مفید برای تحلیلگران برای به دست آوردن زمینه در مورد یک تهدید بالقوه است.
SIEM چگونه کار میکند؟
یک پلتفرم SIEM با جمعآوری دادههای گزارش و رویداد تولید شده توسط فناوریهای مختلف کار میکند و به تحلیلگران امنیتی دید جامعی از محیط فناوری اطلاعات سازمانشان ارائه میدهد. یک SIEM موثر به طور خودکار تهدیدهای شناخته شده را در یک سیستم اصلاح میکند، در حالی که موقعیتهای ظریفتری را برای کمک به تحلیلگران امنیتی شناسایی میکند که آیا تحقیقات و اقدامات بیشتر لازم است یا خیر. دستگاهها، شبکهها، سرورها، برنامهها، سیستمها و اکوسیستم یک سازمان دادههای زیادی را از عملیات روزانه تولید میکند. زمینههای فراوانی در این دادهها وجود دارد که میتواند برای ایمن نگه داشتن اکوسیستم مفید باشد.
چرا SIEM مهم است؟
این مفهوم جزء حیاتی هر تیم امنیتی است. این به عنوان یک هاب متمرکز عمل میکند که از طریق آن میتوان مقادیر عظیمی از دادهها را برای تجزیه و تحلیل، گردآوری کرد و با خدمت به عنوان پایگاه کنترل ماموریت متمرکز، تجربه تحلیلگر را متحد کرد. با SIEM، یک تیم امنیتی میتواند تهدیدهایی را که ممکن است از فناوریهای امنیتی محیطی فرار کرده و در اکوسیستم سازمان فعال باشند را شناسایی کرده و در برابر آنها دفاع کرد.