معرفی کاربردی‌ترین پلاتفرم‌های تحلیل و تجزیه امنیتی

SIEM چیست؟

SIEM یک راه‌حل نرم‌افزاری برای جمع‌آوری و تجزیه و تحلیل رویداد‌های امنیتی است که لاگ رویدادهای امنیتی را به صورت در لحظه (Real-Time) از چندین منبع جمع‌آوری و تجزیه و تحلیل می‌کند.

عملکرد SIEM به سازمان‌ها دید جامعی از وضعیت امنیتی خود ارائه می‌دهد و آنها را قادر می‌سازد حوادث امنیتی را به سرعت شناسایی و به آنها پاسخ دهند. راهکار های SIEM با توانایی مرتبط کردن داده‌ها از منابع مختلف، می‌توانند دید کاملی از وضعیت امنیت شبکه ارائه دهند که به سازمان‌ها در تصمیم‌گیری آگاهانه در مورد امنیت خود کمک می‌کند.

ویژگی های استفاده از SIEM :

1. جمع آوری لاگ‌ها از منابع مختلف: با استفاده از SIEM می­توان داده‌های منابع مختلف مانند سرورها، شبکه، دستگاه‌های امنیتی، سیستم عامل‌ها و …. را جمع آوری کرد.
2. ذخیره لاگ‌ها : داده های جمع آوری شده می­توانند در پایگاه داده مرکزی جهت تجزیه و تحلیل ذخیره گردند.
3. تجزیه و تحلیل لاگ‌ها : داده‌ها می­توانند برای شناسایی الگو ها و رویدادها تجزیه و تحلیل شوند.
4. ایجاد هشدار: می­توان با استفاده از این فناوری هشدارهایی برای مقابله با تهدیدات امنیتی جهت مطلع کردن تیم امنیتی سازمان ها تهیه و تعبیه نمود.
5. گزارش گیری: می­توان گزارش‌های مختلفی در حوزه فعالیت‌های امنیتی ایجاد نمود تا بتوان وضعیت امنیتی یک سازمان را پیگیری نمود.

مزایای استفاده از SIEM :

1. افزایش دقت در تشخیص تهدید: قبل از آسیب رسانی به یک سازمان، می­توان تهدیدهای مختلف امنیتی را شناسایی کرد و از بروز مشکل و آسیب جلوگیری نمود.
2. قابلیت پاسخ به تهدیدات : با امکاناتی که در این بستر وجود دارد می­توان در سریع ترین زمان و به صورت موثر به تهدیدات امنیتی پاسخ داد.
3. کاهش هزینه ها : تامین امنیت در ابعاد بزرگ تر مخصوصا سازمان‌ها و شرکت‌ها همیشه هزینه بر بوده است. با استفاده از این فناوری می­توان با کاهش ابزار های مختلف امنیت در بستر شبکه، عملکرد بسیار خوبی را تامین نمود.  

مزایای زیادی در پیاده سازی راهکار SIEM در سازمان‌ها وجود دارد. یکی از مهم‌ترین آن‌ها بهبود تشخیص و پاسخ تهدید است. با SIEM، می‌توانید شبکه و Node های متصل به آن را به دنبال نشانه‌هایی از تهدیدات احتمالی، مانند فعالیت‌های مشکوک روی سیستم‌ها یا الگوهای ترافیکی غیرمعمول نظارت کنید تا بتوانید به سرعت به حوادث امنیتی واکنش نشان دهید و تأثیر آنها را بر سازمان به حداقل برسانید.

یکی دیگر از مزایای SIEM بهبود گزارش های انطباق است. بسیاری از سازمان ها تابع الزامات نظارتی مختلفی مانند HIPAA و PCI-DSS هستند، راه‌حل‌های SIEM می‌توانند با ارائه گزارش‌های دقیق در مورد وضعیت امنیتی و واکنش حادثه به شما کمک کنند تا این الزامات انطباق را برآورده کنید.

چند نمونه از SIEM های رایج در دنیا عبارتند از:

1. Splunk
2. Microsoft Sentinel
3. IBM QRadar
4. Elastic
5. Wazuh

در ادامه به بررسی پلتفرم Wazuh بپردازیم.

Wazuh چیست ؟

Wazuh یک پلتفرم امنیتی رایگان و متن باز است که برای پیشگیری، شناسایی و پاسخ به تهدیدات استفاده می شود. Wazuh همچنین می تواند از داده ها در محیط های داخلی، مجازی، کانتینری و مبتنی بر Cloud محافظت کند.

 Wazuh شامل یکAgent  امنیتی است که روی سیستم‌های Endpoint جهت نظارت نصب می‌شود. همچنین دارای یک سرور مدیریتی است که داده های جمع آوری شده توسط Agentها را تجزیه و تحلیل می کند. علاوه بر این،  Wazuh به طور کامل با Elastic Stack یکپارچه شده است، و یک موتور جستجو و ابزار تجسم داده ارائه می‌دهد که به کاربران اجازه می‌دهد تا از طریق هشدارهای امنیتی خود عمل کنند.

قابلیت Wazuh

• Intrusion Detection:  Agent های Wazuh سیستم‌های نظارت شده را به منظور شناسایی Malware، Rootkit و Anomalyهای مشکوک اسکن می‌کند.
• Log Data Analysis:  Agentهای Wazuh، لاگ‌های برنامه و سیستم‌عامل را می‌خوانند و جهت تجزیه و تحلیل و ذخیره‌سازی به صورت امن به سرور مرکزی ارسال می‌کنند. زمانی که هیچ Agent ای نصب نشده باشد، سرور می‌تواند داده‌ها را از طریق Syslog از تجهیزات و برنامه‌های شبکه دریافت کند.
• File Integrity Monitoring: Wazuh فایل سیستم‌ها را کنترل می‌کند تا تغییرات ایجاد شده در محتوا، دسترسی‌ها، مالکیت و رفتار فایل های مهم را تشخیص دهد.
• Vulnerability Detection: Agent های Wazuh داده‌های موجود در نرم‌افزار را جمع آوری کرده و این اطلاعات را به سمت سرور ارسال می‌کنند، جایی که پایگاه‌داده CVE به طور مداوم بروز رسانی می‌شود تا نرم افزار آسیب‌پذیر شناخته شده را شناسایی کنند. ارزیابی خودکار آسیب‌پذیری به شما کمک می‌کند تا نقاط ضعف دارایی‌های مهم سازمان را پیدا کرده و قبل از اینکه مهاجمان از آن‌ها برای سرقت داده‌های محرمانه سوء استفاده کنند، اقدامات امنیتی و اصلاحی انجام دهید.
• Configuration Assessment: این قابلیت بر تنظیمات پیکربندی سیستم و برنامه‌ها نظارت می‌کند تا اطمینان حاصل کند که با پالیسی‌های امنیتی و استانداردها مطابقت داشته باشد. Agentها به صورت دوره‌ای اسکن انجام می‌دهند تا برنامه‌های آسیب‌پذیر و Patch نشده و پیکربندی‌های ناامن را شناسایی کنند. علاوه بر این، می‌توان بررسی‌های پیکربندی را سفارشی کرده و آن‌ها را با سازمان شما هماهنک کرد تا جهت پیکربندی بهتر هشدار دهد.
• Incident Response: Wazuh یک‌سری پاسخ برای انجام اقدامات متقابل مختلف برای مقابله با تهدیدات مانند مسدود کردن دسترسی به یک سیستم از منبع ارائه می‌کند. علاوه بر این، Wazuh می‌تواند برای اجرای دستورات سیستمی از راه دور و IOC ها استفاده شود.
• انطباق با مقررات (Regulatory compliance): Wazuh برخی از کنترل های امنیتی لازم را برای مطابقت با استانداردها و مقررات صنعت فراهم می کند. این ویژگی‌ها، همراه با مقیاس‌پذیری و پشتیبانی چند پلتفرمی، به سازمان‌ها کمک می‌کنند تا الزامات انطباق فنی را برآورده کنند. Wazuh به طور گسترده توسط شرکت های پردازش پرداخت و موسسات مالی برای برآوردن الزامات PCI DSS (استاندارد امنیت داده صنعت کارت پرداخت) استفاده می شود.
• Cloud Security: Wazuh با استفاده از ماژول‌های یکپارچه‌سازی که قادر به جمع‌آوری داده‌های امنیتی از ارائه‌دهندگان Cloud مانند Amazon AWS، Azure یا Google Cloud هستند، به نظارت بر زیرساخت‌های Cloud در سطح API کمک می‌کند. علاوه بر این، Wazuh قوانینی را برای ارزیابی پیکربندی محیط Cloud ارائه می‌دهد و به راحتی نقاط ضعف را شناسایی می‌کند.
• Containers security: Wazuh دید امنیتی را در هاست‌ها و کانتینرهای Docker فراهم آورده و بر رفتار آن‌ها نظارت می‌کند تا تهدیدها، آسیب‌پذیری‌ها و Anomaly ها را شناسایی ‌کند. Wazuh به طور مداوم اطلاعات دقیق زمان اجرا را جمع‌آوری و تجزیه‌و‌تحلیل می‌کند.به عنوان مثال: هشدار برای برنامه‌های آسیب‌پذیر، شل در حال اجرا در یک کانتینر و سایر تهدیدات امنیتی.

یکی از مهم ترین مزایای Wazuh داشتن قابلیت های یک سامانه XDR است که همواره در تلاش بوده است که سامانه SIEM و XDR را با هم ترکیب کند.