تحسين الوضع الأمني من خلال بيانات سجلات الأحداث “SIEM”

شارك هذا الخبر

تعد SIEM أداة قوية لتحسين الوضع الأمني للمؤسسات من خلال جمع وتحليل بيانات سجلات الأحداث. مع تطور التكنولوجيا، تستمر SIEM في التكيف لمواجهة التهديدات السيبرانية المعقدة، مما يجعلها عنصرًا أساسيًا في أي استراتيجية أمان حديثة.

وقد كانت برمجيات إدارة معلومات وأحداث الأمان (SIEM) جزءًا دائمًا من برمجيات المؤسسات منذ إنشاء هذه الفئة عام 2005 من قبل محللي غارتنر. SIEM هو مصطلح شامل يحدد طريقة لإدارة الكم الهائل من بيانات سجلات الأحداث للمساعدة في مراقبة الوضع الأمني للمؤسسة وكشف الإنذار المبكر عن التطبيقات المخترقة أو التي تتصرف بشكل غير طبيعي.

نشأت SIEM من ثقافة أدوات إدارة السجلات التي كانت موجودة منذ عقود، وأعيد تصميمها للتركيز على حالات الأمان. تجمع منتجات SIEM الحديثة بين بيانات السجلات والوصول المحلية والسحابية، بالإضافة إلى استخدام استعلامات API المختلفة للمساعدة في تحري أحداث الأمان ودفع الاستجابة التلقائية للحوادث. تقول آلي ميلين، محللة في فورستر: “السحابة والمحلية تكملان بعضهما هنا، حيث توفر السحابة توسعًا فعالًا مع زيادة احتياجات البيانات، بينما تكون العروض المحلية مفيدة للمؤسسات التي ترغب في توفير المال من خلال إدارة الجوانب التشغيلية لنشراتها.”

 

كيفية عمل SIEM

تعمل منتجات SIEM عادةً عبر ثلاث مراحل رئيسية:

جمع البيانات: تجمع SIEM البيانات من مجموعة متنوعة من مصادر البنية التحتية للأمان والشبكات والتطبيقات. توسعت برمجيات SIEM على مر السنين لتشمل جمع البيانات من الأنظمة المحلية والسحابية.

التحليل والإبلاغ: تقوم SIEM بتحليل البيانات والإبلاغ عن التهديدات أو الشذوذات المكتشفة في الوقت الفعلي تقريبًا.

 

التوجيه والاستجابة: توجه SIEM الاستجابات والتخفيف من الحوادث وتوصي بأنشطة الامتثال.

المزايا الرئيسية ومكونات SIEM

تحسين كشف التهديدات: توفر SIEM رؤية أوسع لما يحدث عبر المؤسسة من خلال دمج مصادر مختلفة لبيانات الأحداث مع تحليل السجلات.

تحليلات سلوك المستخدم والكيان (UEBA): تبحث UEBA في أنماط عمليات المستخدمين والنقاط الطرفية لتحديد خطوط أساس يمكن التنبؤ بها.

تحسين الامتثال والإبلاغ: توفر SIEM مسارات تدقيق أفضل وتقييمات لهذه الأحداث.

إدارة الأمان المركزية: تدمج SIEM مع أنظمة أمان موجودة مثل SOAR وEDR وأدوات الأتمتة الأخرى.

التحديات والقيود

التكامل مع الأدوات الحالية: يعد توصيل SIEM بمجموعة أدوات الأمان الحالية تحديًا كبيرًا.

الحاجة إلى كوادر ماهرة: يتطلب تشغيل SIEM واستخدام ميزاته العديدة كوادر ذات مهارات عالية.

تكاليف جمع البيانات: يمكن أن تكون تكاليف جمع البيانات وتحليلها مرتفعة، خاصة مع الحاجة إلى فحص البيانات التاريخية.

التسعير: يعد العثور على تسعير دقيق تحديًا، حيث تختلف الأسعار بين البائعين.

مستقبل SIEM

مع تطور التكنولوجيا، تستمر SIEM في التوسع لتحسين قدراتها من خلال دعم UEBA وطرق التحليل السلوكي الأخرى. كما أدخلت العديد من الأدوات تحسينات في قواعد الارتباط والتنبيه، مما يجعلها أكثر إنتاجية وسهولة في النشر.

مع تزايد الاعتماد على التعلم الآلي والذكاء الاصطناعي، أضافت العديد من أدوات SIEM نماذج مثل GPT-4 من OpenAI لتعمل مع أوامر اللغة الطبيعية أو لإنشاء استعلامات تساعد في البحث عن أنماط التهديدات.

من هم البائعون الرائدون في مجال SIEM؟

تشمل قائمة البائعين الرائدين في SIEM وفقًا لتقرير غارتنر الأخير: Exabeam LogRhythm، IBM QRadar، Splunk، Microsoft Sentinel، وSecuronix Unified Defense. تشمل قائمة البائعين الآخرين Datadog Cloud، Fortinet FortiSIEM، Logpoint، وOpenText ArcSight Enterprise Security Manager.

أسئلة لمساعدتك في تقييم ومقارنة حلول SIEM:

هل يوفر المنتج ميزات حماية وأتمتة أكثر من استخدام أدوات XDR أو SOAR؟

ما مدى دعم وتكامل المنتج مع بائعي الأمان من جهات خارجية؟

كيف يتم تمكين أتمتة سير العمل والتنسيق في SIEM لزيادة إنتاجية محللي SOC؟

ما هي أدوات الذكاء الاصطناعي والتعلم الآلي المستخدمة لتعزيز الميزات؟

هل يمكن تشغيل SIEM في جميع الأنماط: السحابة العامة والخاصة والمحلية؟

 

 

وسوم
محمد وهبى
محمد وهبى
المقالات: 106

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة