SIEM التسجيل: نظرة عامة وأفضل الممارسات
- الوجبات الرئيسية:
-
ما هي SIEM أفضل ممارسات تسجيل البيانات؟
جمع السجلات من الأنظمة المهمة، وتطبيع التنسيقات، وضمان الرؤية المركزية. -
لماذا يجب على المنظمات إعطاء الأولوية لجودة السجل على الكمية؟
تساعد السجلات ذات الصلة عالية الدقة على تقليل الضوضاء وتعزيز دقة اكتشاف التهديدات. -
ما هي الاعتبارات الرئيسية للاحتفاظ بالسجلات؟
متطلبات الامتثال، وكفاءة التخزين، والمتطلبات الجنائية. -
لماذا يعد إثراء السجل مهمًا؟
ويضيف سياقًا إلى البيانات الخام، مما يجعل الكشف والتحقيق أكثر فعالية. -
ما هي الأخطاء الشائعة في التسجيل؟
الإفراط في التجميع دون تطبيع، وتجاهل المصادر الحرجة، وسياسات الاحتفاظ الضعيفة. -
كيف يُحسّن Stellar Cyber أداءه؟ SIEM تسجيل الدخول؟
ويستخدم Interflow™ لإثراء السجلات بالبيانات الوصفية وتخزينها بكفاءة في بحيرة بيانات مركزية.
معلومات الأمن وإدارة الأحداث (SIEMيُعدّ نظام إدارة أمن المعلومات أداةً محوريةً في مجال الأمن السيبراني، حيث يُركّز معلومات الأمان المتداولة بين آلاف نقاط النهاية والخوادم والتطبيقات داخل مؤسستك. ومع تفاعل المستخدمين النهائيين والأجهزة مع كل نقطة اتصال بالتطبيق، فإنهم يتركون بصمات رقمية على شكل سجلات. لطالما لعبت هذه الملفات دورًا كبيرًا في إصلاح الأخطاء ومراقبة الجودة، فهي تُوفّر معلومات الأخطاء مباشرةً من المصدر.
لكن في عام 2005، بدأ متخصصو الأمن يدركون الإمكانات الحقيقية الكامنة في هذه الملفات الصغيرة. فهي توفر مجموعة كبيرة من البيانات الآنية التي يمكن إدخالها في SIEM تُستخدم أنظمة تسجيل البيانات لمراقبة البنية التحتية لتكنولوجيا المعلومات. ومنذ ذلك الحين، يحرص متخصصو الأمن على دراسة المفاضلة بين وضوح التهديدات وحجم سجلات الأحداث بعناية. ستتناول هذه المقالة العديد من أفضل الممارسات في هذا المجال. SIEM إدارة السجلات – التي من خلالها يمكن لأدوات الأمان الخاصة بك أن تصل إلى كامل إمكاناتها
الجيل التالي SIEM
الجيل القادم من التكنولوجيا السيبرانية النجمية SIEM، كمكون أساسي ضمن الأمن السيبراني النجمي Open XDR منصة...
تجربة الأمن المدعوم بالذكاء الاصطناعي في العمل!
اكتشف الذكاء الاصطناعي المتطور من Stellar Cyber للكشف الفوري عن التهديدات والاستجابة لها. جدولة العرض التوضيحي الخاص بك اليوم!
لماذا SIEM المسائل
الأهمية الرئيسية لـ SIEM تكمن إدارة السجلات في قدرتها على تحليل كميات هائلة من هذه السجلات بكفاءة، مما يُمكّن محللي الأمن من التركيز على التهديدات الحرجة. علاوة على ذلك، SIEM تعمل الأنظمة على توحيد البيانات في بيئات المؤسسات غير المتجانسة لتسهيل التحليل، وتوفر تحليلاً فورياً وتاريخياً للتهديدات استناداً إلى بيانات السجلات، وترسل تنبيهات تلقائية مصنفة حسب درجة الخطورة عند اكتشاف تهديدات أمنية محتملة، وتحتفظ بسجلات مفصلة بالغة الأهمية للاستجابة للحوادث والتحقيقات الجنائية الرقمية. باختصار، SIEM تُعد إدارة السجلات أمراً بالغ الأهمية لإنشاء والحفاظ على وضع أمني قوي وسريع الاستجابة في المشهد المعقد لبيئات تكنولوجيا المعلومات المعاصرة.
ما هو SIEM التسجيل وكيف يعمل؟
من أجل توفير الأمن في الوقت الفعلي، SIEM يقوم البرنامج بجمع السجلات من مصادر متعددة وإرسالها إلى نظام تسجيل مركزي. ما هو SIEM؟ بعد الإجابة، من الممكن التعمق أكثر في الأساليب المتنوعة التي تستخدمها SIEM تزيين
مجموعة السجلات المستندة إلى الوكيل
اتصال مباشر
بروتوكولات تدفق الأحداث
بينما تُقدم كلٌّ من طرق التسجيل القائمة على الوكلاء وغير القائمة على الوكلاء طرقًا مُختلفة لجمع البيانات، تُعيد هندسة الأحداث صياغة هذه العملية على أنها تدفقات أحداث تنتقل عبر مجرى نهر. يُمكن للمستهلكين في المصب التقاط كل حدث ومعالجته لاحقًا. يُعدّ بروتوكول NetFlow، الذي ابتكرته شركة Cisco، مثالًا على هذا النهج. يجمع هذا البروتوكول حركة مرور شبكة IP عند الدخول إلى أي واجهة أو الخروج منها. يُمكّن تحليل بيانات NetFlow مسؤولي الشبكة من تمييز المعلومات المهمة، بما في ذلك مصدر ووجهة حركة المرور، والبروتوكولات المُستخدمة، ومدة الاتصال. تُجمع هذه البيانات من خلال مُجمّع NetFlow، الذي لا يلتقط تفاصيل حركة المرور الأساسية فحسب، بل يُسجّل أيضًا الطوابع الزمنية، والحزم المطلوبة، وواجهات الدخول والخروج لحركة مرور IP.
في مواجهة الهجمات المتطورة بشكل متزايد، يلعب بث الأحداث دورًا حاسمًا من خلال توجيه معلومات شاملة حول حركة مرور الشبكة إلى أجهزة الأمان، بما في ذلك جدران الحماية من الجيل التالي (NGFW)، وأنظمة الكشف عن التطفل والوقاية منه (IDS/IPS)، وبوابات الويب الأمنية (SWG).
وبشكل عام، SIEM يُعدّ تسجيل الأحداث عنصرًا محوريًا في الأمن السيبراني الحديث، إذ يُتيح تحليل التهديدات في الوقت الفعلي وفي التاريخ استنادًا إلى بيانات السجلات. ومع ذلك، من الضروري مراعاة الاختلافات بين إدارة السجلات التقليدية و SIEM.
SIEM مقارنة بإدارة السجلات: الاختلافات الرئيسية
بينما تشكل جذوع الأشجار العمود الفقري لـ SIEM هناك فرق جوهري بين عمليات القدرات SIEM وإدارة السجلات. تتضمن إدارة السجلات جمع بيانات السجلات وتخزينها وتحليلها بشكل منهجي، وهي بيانات مستقاة من مصادر متنوعة. توفر هذه العملية رؤية مركزية شاملة لجميع بيانات السجلات، وتُستخدم بشكل أساسي لأغراض مثل الامتثال، واستكشاف أخطاء النظام وإصلاحها، وتحسين كفاءة التشغيل. مع ذلك، لا تُجري أنظمة إدارة السجلات تحليلاً تلقائياً لبيانات السجلات، بل يقع على عاتق محلل الأمن مسؤولية تفسير هذه المعلومات وتقييم مدى صحة التهديدات المحتملة.
SIEM تُطوّر هذه العملية خطوةً أخرى من خلال الربط بين سجلات الأحداث والمعلومات السياقية المتعلقة بالمستخدمين والأصول والتهديدات ونقاط الضعف. ويتحقق ذلك عبر مجموعة متنوعة من الخوارزميات والتقنيات لتحديد التهديدات.
- علاقة الحدث يتضمن استخدام خوارزميات متطورة لتحليل الأحداث الأمنية وتحديد الأنماط أو العلاقات التي تشير إلى التهديدات المحتملة وإنشاء تنبيهات في الوقت الفعلي.
- تحليلات سلوك المستخدم والكيان (UEBA) يعتمد على خوارزميات التعلم الآلي لإنشاء خط أساس للأنشطة العادية الخاصة بالمستخدمين والشبكة. يتم وضع علامة على أي انحرافات عن خط الأساس هذا على أنها تهديدات أمنية محتملة، مما يسمح بتحديد التهديدات المعقدة واكتشاف الحركة الجانبية.
- التنسيق الأمني والاستجابة الآلية (SOAR) تمكن SIEM أدوات للاستجابة التلقائية للتهديدات، مما يلغي الحاجة إلى انتظار فني أمن لمراجعة التنبيهات. تعمل هذه الأتمتة على تبسيط الاستجابة للحوادث، وهي عنصر أساسي في SIEM.
- الطب الشرعي للمتصفح وتحليل بيانات الشبكة الاستفادة من SIEMتتمتع الشركة بقدرات متقدمة في كشف التهديدات لتحديد المتسللين الداخليين ذوي النوايا الخبيثة. ويشمل ذلك فحص الأدلة الجنائية للمتصفح، وبيانات الشبكة، وسجلات الأحداث للكشف عن خطط الهجمات الإلكترونية المحتملة.
هجوم عرضي من الداخل
مثال على كيفية وضع كل مكون موضع التنفيذ هو الهجوم العرضي من الداخل.
تحدث هذه الهجمات عندما يُساعد الأفراد، دون قصد، جهات خارجية خبيثة في التقدم أثناء الهجوم. على سبيل المثال، إذا قام موظف بضبط إعدادات جدار الحماية بشكل خاطئ، فقد يُعرّض ذلك المؤسسة لمزيد من المخاطر. وإدراكًا للأهمية البالغة لإعدادات الأمان، SIEM يستطيع النظام إنشاء حدث في كل مرة يتم فيها إجراء تغيير. ثم يُحال هذا الحدث إلى محلل أمني لإجراء فحص دقيق، للتأكد من أن التغيير كان مقصودًا ونُفذ بشكل صحيح، وبالتالي تحصين المؤسسة ضد الاختراقات المحتملة الناجمة عن تصرفات داخلية غير مقصودة.
في حالات الاستيلاء الكامل على الحساب، UEBA يُتيح هذا النظام اكتشاف الأنشطة المشبوهة، مثل وصول الحساب إلى الأنظمة خارج نمطه المعتاد، أو الحفاظ على جلسات نشطة متعددة، أو إجراء أي تغييرات على صلاحيات الجذر. وفي حال محاولة جهة تهديد رفع مستوى صلاحياتها، فإن SIEM يقوم النظام على الفور بتصعيد هذه المعلومات إلى فريق الأمن، مما يسهل الاستجابات السريعة والفعالة للتهديدات الأمنية المحتملة.
SIEM أفضل ممارسات التسجيل
#1. حدد متطلباتك مع إثبات المفهوم
عند تجربة شيء جديد SIEM توفر أداة إثبات المفهوم بيئة اختبار. خلال مرحلة إثبات المفهوم، من الضروري توجيه السجلات شخصيًا إلى SIEM يُستخدم النظام لتقييم قدرة الحل على توحيد البيانات وفقًا لمتطلبات محددة. ويمكن تعزيز هذه العملية من خلال دمج الأحداث من أدلة غير قياسية ضمن عارض الأحداث.
يتيح لك هذا الدليل تحديد ما إذا كان جمع السجلات باستخدام وكيل هو الأنسب لك. إذا كنت ترغب في جمع السجلات عبر شبكات المنطقة الواسعة (WAN) وعبر جدران الحماية، فإن استخدام وكيل لجمع السجلات قد يُسهم في تقليل استخدام وحدة المعالجة المركزية (CPU) للخادم. من ناحية أخرى، يُغنيك الجمع بدون وكيل عن تثبيت البرامج، ويُقلل من تكاليف الصيانة.
#2. اجمع السجلات الصحيحة بالطريقة الصحيحة
#3. سجلات نقطة النهاية الآمنة
من العوائق الشائعة في سجلات نقاط النهاية تغيرها المستمر، عند انقطاع اتصال الأنظمة بالشبكة بشكل متقطع، كما هو الحال عند إيقاف تشغيل محطات العمل أو استخدام أجهزة الكمبيوتر المحمولة عن بُعد. علاوة على ذلك، يُضيف العبء الإداري لجمع سجلات نقاط النهاية درجةً كبيرةً من التعقيد. ولمعالجة هذا التحدي، يمكن استخدام إعادة توجيه سجل أحداث Windows لنقل نظام مركزي دون الحاجة إلى تثبيت وكيل أو ميزات إضافية، نظرًا لتوفره بشكل أساسي ضمن نظام تشغيل Windows الأساسي.
يدعم نهج Stellar Cyber لسجلات نقاط النهاية مجموعة متنوعة من سجلات نقاط النهاية، بما في ذلك اكتشاف نقاط النهاية والاستجابة لها (EDR). ومن خلال تطبيق مسارات تنبيه مختلفة على مجموعات فرعية محددة عبر منتجات EDR المختلفة، يُصبح من الممكن تنظيف معلومات سجلات نقاط النهاية بدقة وإتقان.
#4. راقب PowerShell
أصبح PowerShell، المتوفر الآن في كل مكان على كل مثيل لنظام التشغيل Windows بدءًا من نظام التشغيل Windows 7 وما بعده، أداة مشهورة للمهاجمين. ومع ذلك، من الضروري ملاحظة أن PowerShell، افتراضيًا، لا يسجل أي أنشطة - ويجب تمكين هذا بشكل صريح.
أحد خيارات التسجيل هو تسجيل الوحدات النمطية، الذي يوفر معلومات تنفيذ مفصلة حول خط الأنابيب، بما في ذلك تهيئة المتغيرات واستدعاء الأوامر. في المقابل، يراقب تسجيل كتل النصوص البرمجية جميع أنشطة PowerShell بشكل شامل، حتى عند تنفيذها داخل النصوص البرمجية أو كتل التعليمات البرمجية. يجب مراعاة كلا الأمرين لإنتاج بيانات دقيقة عن التهديدات والسلوك.
#5. الاستفادة من سيسمون
#6. التنبيه والرد
على الرغم من القدرة التحليلية التي يمنحها التعلم الآلي لـ SIEM من الضروري وضع الأدوات في سياقها المناسب.
نطاق أوسع لأمنكم الشامل. ويتولى محللو الأمن زمام الأمور في هذا المجال، حيث توفر خطة الاستجابة للحوادث إرشادات واضحة لكل جهة معنية، مما يسمح بعمل جماعي سلس وفعال.
ينبغي أن تُعيّن الخطة قائدًا رفيع المستوى كجهة رئيسية مسؤولة عن معالجة الحوادث. مع أنه يجوز لهذا الشخص تفويض صلاحياته إلى آخرين مشاركين في عملية معالجة الحوادث، يجب أن تُحدد السياسة صراحةً منصبًا مُحددًا يكون مسؤولاً رئيسيًا عن الاستجابة للحوادث.
من هنا، يأتي دور فرق الاستجابة للحوادث. في حالة الشركات العالمية الكبيرة، قد تتعدد الفرق، كل منها مخصص لمناطق جغرافية محددة، ويعمل بها موظفون متخصصون. من ناحية أخرى، قد تختار المؤسسات الصغيرة فريقًا مركزيًا واحدًا، يضم أعضاءً من مختلف أقسام المؤسسة بدوام جزئي. وقد تقرر بعض المؤسسات أيضًا الاستعانة بمصادر خارجية لبعض أو جميع جوانب جهود الاستجابة للحوادث.
يُعدّ الحفاظ على تعاون جميع الفرق بمثابة قواعد أساسية تُشكّل أساسًا لاستجابات فعّالة للحوادث. ورغم الطبيعة الفريدة لكل حادث أمني، فإن غالبية الحوادث تميل إلى الالتزام بأنماط عمل قياسية، مما يجعل الاستجابات القياسية مفيدة للغاية. وفي هذا السياق، تُحدّد خطة تواصل الاستجابة للحوادث كيفية تواصل مختلف المجموعات أثناء وقوع حادث نشط، بما في ذلك متى ينبغي تدخل السلطات.
5. تحديد وتحسين قواعد ارتباط البيانات
A SIEM تُعدّ قاعدة الربط بمثابة توجيه للنظام، حيث تُشير إلى تسلسلات الأحداث التي قد تُوحي بوجود خلل، أو نقاط ضعف أمنية محتملة، أو هجوم إلكتروني. وتُفعّل هذه القاعدة إشعارات للمسؤولين عند استيفاء شروط مُحددة، مثل وقوع الحدثين "س" و"ص" أو الأحداث "س" و"ص" و"ع" معًا. ونظرًا للكم الهائل من السجلات التي توثّق أنشطة تبدو عادية، فإنّ وجود قاعدة ربط مُصممة جيدًا يُعدّ أمرًا بالغ الأهمية. SIEM تُعد قاعدة الارتباط أمراً بالغ الأهمية لغربلة الضوضاء وتحديد تسلسلات الأحداث التي تشير إلى هجوم إلكتروني محتمل.
SIEM قواعد الارتباط، كأي خوارزمية لمراقبة الأحداث، لديها القدرة على إنتاج نتائج إيجابية خاطئة. يمكن أن تؤدي النتائج الإيجابية الخاطئة المفرطة إلى إهدار وقت وجهد مسؤولي الأمن، ولكن تحقيق صفر نتائج إيجابية خاطئة في نظام يعمل بشكل صحيح SIEM غير عملي. لذلك، عند التكوين SIEM في قواعد الربط، من الضروري تحقيق التوازن بين تقليل الإنذارات الكاذبة وضمان عدم إغفال أي شذوذ محتمل يشير إلى هجوم إلكتروني. والهدف هو تحسين إعدادات القواعد لتعزيز دقة اكتشاف التهديدات مع تجنب التشتيت غير الضروري الناتج عن الإنذارات الكاذبة.
الجيل التالي SIEM وإدارة السجلات باستخدام Stellar Cyber
تدمج منصة Stellar Cyber الجيل التالي SIEM باعتبارها قدرة متأصلة، توفر حلاً موحداً من خلال دمج أدوات متعددة، بما في ذلك NDR، UEBAدمجنا منصات Sandbox وTIP وغيرها في منصة واحدة. يُبسّط هذا التكامل العمليات من خلال لوحة تحكم متماسكة وسهلة الوصول، مما يؤدي إلى خفض كبير في التكاليف الرأسمالية. SIEM تعتمد إدارة السجلات على الأتمتة التي تُمكّن الفرق من البقاء متقدمة على التهديدات، بينما يُركز تصميم الجيل التالي SIEM يُمكّن فرق العمل من التصدي بفعالية للهجمات الحديثة. لمعرفة المزيد، يُرجى حجز عرض توضيحي لمنتجاتنا. الجيل التالي SIEM المنظومة.
