تسجيل SIEM: نظرة عامة وأفضل الممارسات
إدارة معلومات الأمن والأحداث (SIEM) أداةٌ محوريةٌ للأمن السيبراني، تُركّز معلومات الأمن المُتداولة بين آلاف نقاط النهاية والخوادم والتطبيقات داخل مؤسستك. مع تفاعل المستخدمين النهائيين والأجهزة مع كل نقطة اتصال بالتطبيق، يتركون بصماتٍ رقميةً على شكل سجلات. لطالما لعبت هذه الملفات دورًا هامًا في إصلاح الأخطاء ومراقبة الجودة: فهي، في نهاية المطاف، تُوفّر معلومات الأخطاء مباشرةً من المصدر.
في عام ٢٠٠٥، بدأ متخصصو الأمن يدركون الإمكانات الحقيقية الكامنة في هذه الملفات الصغيرة. فهي توفر بيانات آنية يمكن إدخالها في سجلات SIEM التي تراقب هذه البنية التحتية لتكنولوجيا المعلومات. ومنذ ذلك الحين، درس متخصصو الأمن بعناية التوازن بين رؤية التهديدات وحجم سجلات الأحداث. ستغطي هذه المقالة العديد من أفضل الممارسات لإدارة سجلات SIEM، والتي يمكن من خلالها لأدوات الأمن الخاصة بك تحقيق أقصى إمكاناتها.
الجيل القادم من SIEM
Stellar Cyber Next-Generation SIEM، كمكون أساسي ضمن منصة Stellar Cyber Open XDR...
تجربة الأمن المدعوم بالذكاء الاصطناعي في العمل!
اكتشف الذكاء الاصطناعي المتطور من Stellar Cyber للكشف الفوري عن التهديدات والاستجابة لها. جدولة العرض التوضيحي الخاص بك اليوم!
لماذا يهم SIEM
تكمن الأهمية الرئيسية لإدارة سجلات SIEM في قدرتها على تحليل كميات هائلة من هذه السجلات بكفاءة، مما يُمكّن محللي الأمن من التركيز على التهديدات الحرجة. علاوة على ذلك، تُوحّد أنظمة SIEM البيانات في بيئات مؤسسية متنوعة لتسهيل التحليل، وتوفر تحليلات آنية وتاريخية للتهديدات استنادًا إلى بيانات السجلات، وتُرسل تنبيهات آلية مُرتبة حسب درجة الخطورة عند اكتشاف تهديدات أمنية محتملة، وتحتفظ بسجلات مُفصلة ضرورية للاستجابة للحوادث والتحقيقات الجنائية. باختصار، تُعدّ إدارة سجلات SIEM أمرًا بالغ الأهمية لبناء واستدامة نظام أمني قوي وفعال في ظل بيئة تكنولوجيا المعلومات المُعقدة والمُعقدة.
ما هو تسجيل SIEM وكيف يعمل؟
من أجل توفير الأمان في الوقت الفعلي، يقوم برنامج SIEM بجمع السجلات من مصادر متعددة ونقلها إلى نظام تسجيل مركزي. مع "ما هو SIEM؟" الإجابة، من الممكن التعمق أكثر في الأساليب المتنوعة التي تستخدمها أدوات SIEM
مجموعة السجلات المستندة إلى الوكيل
اتصال مباشر
بروتوكولات تدفق الأحداث
بينما تُقدم كلٌّ من طرق التسجيل القائمة على الوكلاء وغير القائمة على الوكلاء طرقًا مُختلفة لجمع البيانات، تُعيد هندسة الأحداث صياغة هذه العملية على أنها تدفقات أحداث تنتقل عبر مجرى نهر. يُمكن للمستهلكين في المصب التقاط كل حدث ومعالجته لاحقًا. يُعدّ بروتوكول NetFlow، الذي ابتكرته شركة Cisco، مثالًا على هذا النهج. يجمع هذا البروتوكول حركة مرور شبكة IP عند الدخول إلى أي واجهة أو الخروج منها. يُمكّن تحليل بيانات NetFlow مسؤولي الشبكة من تمييز المعلومات المهمة، بما في ذلك مصدر ووجهة حركة المرور، والبروتوكولات المُستخدمة، ومدة الاتصال. تُجمع هذه البيانات من خلال مُجمّع NetFlow، الذي لا يلتقط تفاصيل حركة المرور الأساسية فحسب، بل يُسجّل أيضًا الطوابع الزمنية، والحزم المطلوبة، وواجهات الدخول والخروج لحركة مرور IP.
في مواجهة الهجمات المتطورة بشكل متزايد، يلعب بث الأحداث دورًا حاسمًا من خلال توجيه معلومات شاملة حول حركة مرور الشبكة إلى أجهزة الأمان، بما في ذلك جدران الحماية من الجيل التالي (NGFW)، وأنظمة الكشف عن التطفل والوقاية منه (IDS/IPS)، وبوابات الويب الأمنية (SWG).
بشكل عام، يبرز تسجيل SIEM كعنصر محوري في الأمن السيبراني الحديث، إذ يوفر تحليلًا آنيًا وتاريخيًا للتهديدات استنادًا إلى بيانات السجلات. ومع ذلك، من الضروري مراعاة الفروقات بين إدارة السجلات التقليدية وSIEM.
SIEM مقابل إدارة السجل: الاختلافات الرئيسية
في حين تُشكّل السجلات العمود الفقري لقدرات SIEM، إلا أن هناك فرقًا جوهريًا بين عمليات SIEM وإدارة السجلات. تتضمن إدارة السجلات جمع بيانات السجلات المُستمدة من قنوات مُختلفة وتخزينها وتحليلها بشكل منهجي. تُوفر هذه العملية منظورًا مركزيًا لجميع بيانات السجلات، وتُستخدم بشكل رئيسي لأغراض مثل الامتثال، واستكشاف أخطاء النظام وإصلاحها، وكفاءة التشغيل. مع ذلك، لا تُجري أنظمة إدارة السجلات تحليلًا على بيانات السجلات بالضرورة، بل يقع على عاتق مُحلل الأمن مسؤولية تفسير هذه المعلومات وتقييم مدى صحة التهديدات المُحتملة.
يُطوّر نظام إدارة معلومات الأحداث والحوادث (SIEM) هذه العملية من خلال ربط سجلات الأحداث بالمعلومات السياقية المتعلقة بالمستخدمين والأصول والتهديدات والثغرات الأمنية. ويتحقق ذلك من خلال مجموعة متنوعة من الخوارزميات والتقنيات لتحديد التهديدات:
- علاقة الحدث يتضمن استخدام خوارزميات متطورة لتحليل الأحداث الأمنية وتحديد الأنماط أو العلاقات التي تشير إلى التهديدات المحتملة وإنشاء تنبيهات في الوقت الفعلي.
- تحليلات سلوك المستخدم والكيان (UEBA) يعتمد على خوارزميات التعلم الآلي لإنشاء خط أساس للأنشطة العادية الخاصة بالمستخدمين والشبكة. يتم وضع علامة على أي انحرافات عن خط الأساس هذا على أنها تهديدات أمنية محتملة، مما يسمح بتحديد التهديدات المعقدة واكتشاف الحركة الجانبية.
- التنسيق الأمني والاستجابة الآلية (SOAR) يمكّن أدوات SIEM من الاستجابة تلقائيًا للتهديدات، مما يلغي الحاجة إلى انتظار فني الأمان لمراجعة التنبيهات. تعمل هذه الأتمتة على تبسيط الاستجابة للحوادث وهي جزء لا يتجزأ من SIEM.
- الطب الشرعي للمتصفح وتحليل بيانات الشبكة الاستفادة من إمكانات الكشف عن التهديدات المتقدمة في SIEM لتحديد المتسللين الضارين. يتضمن ذلك فحص الأدلة الجنائية للمتصفح وبيانات الشبكة وسجلات الأحداث للكشف عن خطط الهجوم السيبراني المحتملة.
هجوم عرضي من الداخل
مثال على كيفية وضع كل مكون موضع التنفيذ هو الهجوم العرضي من الداخل.
تحدث هذه الهجمات عندما يُساعد الأفراد، عن غير قصد، جهات خارجية خبيثة على التقدم أثناء الهجوم. على سبيل المثال، إذا أخطأ أحد الموظفين في تكوين جدار الحماية، فقد يُعرّض ذلك المؤسسة لمزيد من الثغرات الأمنية. إدراكًا للأهمية الحاسمة لتكوينات الأمان، يُمكن لنظام إدارة معلومات الأمن والأحداث (SIEM) توليد حدث في كل مرة يتم فيها إجراء تغيير. يُرفع هذا الحدث بعد ذلك إلى محلل أمني لإجراء فحص شامل، لضمان أن التغيير كان مقصودًا ومُنفّذًا بشكل صحيح، مما يُحصّن المؤسسة ضد أي اختراقات محتملة ناجمة عن أفعال داخلية غير مقصودة.
في حالات الاستيلاء المباشر على الحسابات، يسمح نظام UEBA بكشف الأنشطة المشبوهة، مثل وصول الحسابات إلى الأنظمة بشكل غير معتاد، أو الاحتفاظ بجلسات نشطة متعددة، أو إجراء أي تغييرات على وصول الجذر. في حال محاولة جهة تهديد تصعيد الصلاحيات، يُبلغ نظام SIEM هذه المعلومات فورًا إلى فريق الأمن، مما يُسهّل الاستجابة السريعة والفعالة للتهديدات الأمنية المحتملة.
أفضل ممارسات تسجيل SIEM
#1. حدد متطلباتك مع إثبات المفهوم
عند تجربة أداة SIEM جديدة، تُوفر اختبارات إثبات المفهوم أرضيةً للاختبار. خلال مرحلة إثبات المفهوم، من الضروري توجيه السجلات شخصيًا إلى نظام SIEM لتقييم قدرة الحل على تطبيع البيانات وفقًا للمتطلبات المحددة. يمكن تعزيز هذه العملية من خلال دمج أحداث من أدلة غير قياسية في عارض الأحداث.
يتيح لك هذا الدليل تحديد ما إذا كان جمع السجلات باستخدام وكيل هو الأنسب لك. إذا كنت ترغب في جمع السجلات عبر شبكات المنطقة الواسعة (WAN) وعبر جدران الحماية، فإن استخدام وكيل لجمع السجلات قد يُسهم في تقليل استخدام وحدة المعالجة المركزية (CPU) للخادم. من ناحية أخرى، يُغنيك الجمع بدون وكيل عن تثبيت البرامج، ويُقلل من تكاليف الصيانة.
#2. اجمع السجلات الصحيحة بالطريقة الصحيحة
#3. سجلات نقطة النهاية الآمنة
من العوائق الشائعة في سجلات نقاط النهاية تغيرها المستمر، عند انقطاع اتصال الأنظمة بالشبكة بشكل متقطع، كما هو الحال عند إيقاف تشغيل محطات العمل أو استخدام أجهزة الكمبيوتر المحمولة عن بُعد. علاوة على ذلك، يُضيف العبء الإداري لجمع سجلات نقاط النهاية درجةً كبيرةً من التعقيد. ولمعالجة هذا التحدي، يمكن استخدام إعادة توجيه سجل أحداث Windows لنقل نظام مركزي دون الحاجة إلى تثبيت وكيل أو ميزات إضافية، نظرًا لتوفره بشكل أساسي ضمن نظام تشغيل Windows الأساسي.
يدعم نهج Stellar Cyber لسجلات نقاط النهاية مجموعة متنوعة من سجلات نقاط النهاية، بما في ذلك اكتشاف نقاط النهاية والاستجابة لها (EDR). ومن خلال تطبيق مسارات تنبيه مختلفة على مجموعات فرعية محددة عبر منتجات EDR المختلفة، يُصبح من الممكن تنظيف معلومات سجلات نقاط النهاية بدقة وإتقان.
#4. راقب PowerShell
أصبح PowerShell، المتوفر الآن في كل مكان على كل مثيل لنظام التشغيل Windows بدءًا من نظام التشغيل Windows 7 وما بعده، أداة مشهورة للمهاجمين. ومع ذلك، من الضروري ملاحظة أن PowerShell، افتراضيًا، لا يسجل أي أنشطة - ويجب تمكين هذا بشكل صريح.
أحد خيارات التسجيل هو تسجيل الوحدات النمطية، الذي يوفر معلومات تنفيذ مفصلة حول خط الأنابيب، بما في ذلك تهيئة المتغيرات واستدعاء الأوامر. في المقابل، يراقب تسجيل كتل النصوص البرمجية جميع أنشطة PowerShell بشكل شامل، حتى عند تنفيذها داخل النصوص البرمجية أو كتل التعليمات البرمجية. يجب مراعاة كلا الأمرين لإنتاج بيانات دقيقة عن التهديدات والسلوك.
#5. الاستفادة من سيسمون
#6. التنبيه والرد
على الرغم من القوة التحليلية التي يمنحها التعلم الآلي لأدوات SIEM، فمن الضروري وضعها في سياقها
نطاق أوسع لأمنكم الشامل. ويتولى محللو الأمن زمام الأمور في هذا المجال، حيث توفر خطة الاستجابة للحوادث إرشادات واضحة لكل جهة معنية، مما يسمح بعمل جماعي سلس وفعال.
ينبغي أن تُعيّن الخطة قائدًا رفيع المستوى كجهة رئيسية مسؤولة عن معالجة الحوادث. مع أنه يجوز لهذا الشخص تفويض صلاحياته إلى آخرين مشاركين في عملية معالجة الحوادث، يجب أن تُحدد السياسة صراحةً منصبًا مُحددًا يكون مسؤولاً رئيسيًا عن الاستجابة للحوادث.
من هنا، يأتي دور فرق الاستجابة للحوادث. في حالة الشركات العالمية الكبيرة، قد تتعدد الفرق، كل منها مخصص لمناطق جغرافية محددة، ويعمل بها موظفون متخصصون. من ناحية أخرى، قد تختار المؤسسات الصغيرة فريقًا مركزيًا واحدًا، يضم أعضاءً من مختلف أقسام المؤسسة بدوام جزئي. وقد تقرر بعض المؤسسات أيضًا الاستعانة بمصادر خارجية لبعض أو جميع جوانب جهود الاستجابة للحوادث.
يُعدّ الحفاظ على تعاون جميع الفرق بمثابة قواعد أساسية تُشكّل أساسًا لاستجابات فعّالة للحوادث. ورغم الطبيعة الفريدة لكل حادث أمني، فإن غالبية الحوادث تميل إلى الالتزام بأنماط عمل قياسية، مما يجعل الاستجابات القياسية مفيدة للغاية. وفي هذا السياق، تُحدّد خطة تواصل الاستجابة للحوادث كيفية تواصل مختلف المجموعات أثناء وقوع حادث نشط، بما في ذلك متى ينبغي تدخل السلطات.
5. تحديد وتحسين قواعد ارتباط البيانات
تُعدّ قاعدة ارتباط SIEM بمثابة توجيه للنظام، إذ تُشير إلى تسلسلات الأحداث التي قد تُشير إلى وجود شذوذ، أو ثغرات أمنية مُحتملة، أو هجوم إلكتروني. وتُرسل إشعارات إلى المسؤولين عند استيفاء شروط مُحددة، مثل وقوع الحدثين "x" و"y" أو "x" و"y" و"z" معًا. ونظرًا للكم الهائل من السجلات التي تُوثّق أنشطة تبدو عادية، فإن قاعدة ارتباط SIEM مُصممة جيدًا تُعدّ أمرًا بالغ الأهمية لتحليل البيانات المُتضاربة وتحديد تسلسلات الأحداث التي تُشير إلى هجوم إلكتروني مُحتمل.
قواعد ارتباط SIEM، كأي خوارزمية لمراقبة الأحداث، لديها القدرة على إنتاج نتائج إيجابية خاطئة. الإفراط في النتائج الإيجابية الخاطئة قد يُهدر وقت وجهد مسؤولي الأمن، ولكن تحقيق صفر من النتائج الإيجابية الخاطئة في نظام SIEM يعمل بكفاءة أمر غير عملي. لذلك، عند تهيئة قواعد ارتباط SIEM، من الضروري تحقيق التوازن بين تقليل تنبيهات النتائج الإيجابية الخاطئة وضمان عدم تجاهل أي شذوذ محتمل يُشير إلى هجوم إلكتروني. الهدف هو تحسين إعدادات القواعد لتعزيز دقة اكتشاف التهديدات مع تجنب التشتيتات غير الضرورية التي تسببها النتائج الإيجابية الخاطئة.
الجيل التالي من SIEM وإدارة السجل مع Stellar Cyber
تعمل منصة Stellar Cyber على دمج Next-Gen SIEM كقدرة متأصلة، مما يوفر حلاً موحدًا من خلال دمج أدوات متعددة، بما في ذلك NDR وUEBA وSandbox وTIP والمزيد في منصة واحدة. يعمل هذا التكامل على تبسيط العمليات في لوحة معلومات متماسكة ويمكن الوصول إليها، مما يؤدي إلى انخفاض كبير في تكاليف رأس المال. يتم تشغيل إدارة سجل SIEM لدينا من خلال الأتمتة التي تمكن الفرق من البقاء في صدارة التهديدات، في حين أن تصميم Next Gen SIEM يمكّن الفرق من مكافحة الهجمات الحديثة بشكل فعال. لمعرفة المزيد، فنحن نرحب بك لحجز عرض توضيحي لنا منصة الجيل التالي من SIEM.
