حلول SIEM: الحلول الجاهزة مقابل الحلول المضبوطة بدقة
كيف يمكنك معرفة ما إذا كان الوقت قد حان للانتقال إلى حل SIEM آخر؟ يتبادر هذا السؤال إلى أذهان مسؤولي الأمن عندما لا تعوض كفاءة نظام SIEM الحالي الخاص بهم عن الأموال التي يتم إنفاقها. لا يعتبر معظم مستخدمي منتجات SIEM أن الضبط الدقيق مفيد في ترقية حل SIEM الخاص بهم ويختارون استبدال الأنظمة تمامًا.
ولتغطية كل ذلك، سعيًا وراء عملاء جدد، يواصل بائعو SIEM تحريف السكين، والدفع للأمام بنظام SIEM “الفريد” أو “الرائع” أو حتى “السحري” الجاهز الذي سيضمن أمان الشبكة بنسبة 100% مرة واحدة الجميع. وبطبيعة الحال، يتلاشى برنامج SIEM الحالي الخاص بك مقارنةً بالوافدين الجدد إلى السوق.
ومع ذلك، لا تقفز إلى الاستنتاجات وتصنف حل SIEM الخاص بك على أنه “غير فعال”. قد ينهض مثل طائر الفينيق من الرماد إذا تم تخصيصه بشكل صحيح، وهذا يتطلب القليل من عمل الاستشاريين.
القائمة المرجعية: لا تتخلص من نظام SIEM الخاص بك إذا…
استخدم قائمة التحقق التالية لمعرفة ما إذا كان يجب عليك استبدال برنامج SIEM الحالي ببرنامج جديد.
- جميع مصادر السجل الرئيسية متصلة.
لا تقلل من شأن قوة مصادر السجل. يعطون إجابات على أسئلة مهمة: من يهاجم؟ كيف يفعلون ذلك؟ كلما زاد عدد مصادر السجل المتصلة ببرنامج SIEM الخاص بك، زادت المعلومات التي تحصل عليها من نظامك. لا يوجد حل SIEM جاهز يمكنه رؤية جميع العناصر الأساسية لشبكتك، لذلك لا يمكنه ضمان اتصال جميع مصادر السجلات الحيوية.
فيما يلي قائمة بالمجالات المهمة لمراقبة مصدر السجل:
تسجل أنظمة المصادقة كل محاولة مصادقة، وتوفر تفاصيل عن المصدر واسم المستخدم ونجاح المصادقة أو فشلها والتاريخ والوقت. بدون هذه المعلومات، هناك فرص لتفويت متسلل محتمل قام بتسجيل الدخول إلى شبكتك دون أن يتم ملاحظته.
توفر السجلات من جدران الحماية الطرفية معلومات حول ما إذا كانت حركة مرور الشبكة مسموحة أم محظورة، مما يساعد على اكتشاف نية إرسال حركة مرور ضارة.
إذا لم يحصل نظام SIEM على سجلات من خادم DNS، فلن يتمكن من تتبع طلبات المستخدمين إلى المضيفين الخارجيين. وبالتالي، لن يتمكن من فهم عناوين IP الواردة في الطلبات وسيفتقد عناوين IP سيئة السمعة.
إذا لم يحصل نظام SIEM على أي سجلات من خادم DHCP، فلن يتلقى مسؤولو الأمان أي معلومات حول النظام أو المستخدم الذي يحصل على عنوان IP ديناميكي.
- مواقع الويب المستضافة على الخادم المحلي لشركتك.
إذا كانت شركتك تستضيف موقع الويب الخاص بها على الشبكة المحلية/ المنطقة المجردة من السلاح والتي يمكن الوصول إليها من الإنترنت، فقد يكتشف المتسللون نقاط الضعف هناك ويهاجمونها. سيساعد جمع سجلات الوصول إلى موقع الويب في اكتشاف هجمات مثل حقن SQL والبرمجة النصية عبر المواقع (XSS) والقوة الغاشمة.
تسمح السجلات من موارد DMZ باكتشاف محاولات القرصنة على الخدمات العامة في هذه المنطقة العازلة. وبالتالي، حتى لو تم اختراق خدمات DMZ، ستظل شبكتك الموثوقة محمية بسبب عزلتها الكاملة عن التهديدات.
يضمن تحليل الأحداث الناجح أن نظام SIEM يفهم الأحداث ويستطيع تصنيفها. على سبيل المثال، يقوم نظام IBM® Security QRadar® SIEM بتوزيع الأحداث بمساعدة وحدات دعم الأجهزة (DSMs). نظرًا لأسباب مختلفة، هناك احتمال لتحليل أو رسم خرائط للأحداث بشكل غير صحيح باستخدام وحدات DSM الجاهزة. ونتيجة لذلك، تظل الأحداث المهمة غير محللة وتنتقل إلى الفئة “المخزنة”، حيث لا يمكن استخدامها بواسطة قواعد الارتباط لاكتشاف الجريمة. لحل هذه المشكلة، يقوم مستشارو أمن المعلومات بإنشاء تحسينات تحليلية (LSE) لوحدات DSM الجاهزة وتكاملات LSX/DSM QRadar المخصصة لوحدات DSM غير المدعومة.
- تتم معالجة جميع مشكلات الأداء.
هذه هي الأسباب الشائعة لضعف أداء نظام SIEM:
- تجاوز حد ترخيص EPS.
تتم معالجة الأحداث الأولية بواسطة أنظمة SIEM وفقًا لترخيص EPS. إذا تجاوز عدد الأحداث حد الترخيص، فسيقوم QRadar بإسقاط تلك الأحداث وتصنيفها على أنها “مخزنة”.
يقوم Regex (التعبيرات العادية) “باستخراج” المعلومات من السجل باستخدام مجموعات المطابقة. بدون التحسين، تصبح التعبيرات العادية غير فعالة وتبطئ أداء نظام SIEM الخاص بك.
نظرًا لعدد الأحداث المسجلة وتنوعها، قد يعتمد تقرير نظام SIEM على بيانات زائدة، وهو أمر غير فعال إلى حد ما. يوصى بتحديد نطاق البحث من خلال استبعاد جميع الأحداث العادية وتلك التي تغطيها التقارير الأخرى.
- قواعد الارتباط غير فعالة.
قد يستغرق تنفيذ قاعدة الارتباط وقتًا طويلاً، وقد يؤدي الأداء المنخفض إلى حدوث مشكلات في الكشف. مستشارو أمن المعلومات هم من يقومون بتعيين قواعد الارتباط المخصصة لمنصة SIEM الخاصة بك والتأكد من وجود خيارات التصفية.
يتم استخدام الفهارس لتحديد موقع البيانات بسرعة دون الحاجة إلى البحث في كل صف في جدول قاعدة البيانات في كل مرة يتم الوصول إليها. في حالة احتواء قاعدة بيانات البحث والتقارير على حقول غير مفهرسة، فقد تستغرق معالجة الأحداث للتقارير وقتًا طويلاً.
- يتم إنشاء قواعد الارتباط المخصصة.
دائمًا ما يكون عدد قواعد الارتباط في حلول SIEM الجاهزة محدودًا، وبالتالي غير كافٍ لتغطية جميع حالات التهديد. اكتشف المزيد حول طرق تخصيص قواعد الارتباط في مقالتنا.
- يتم أخذ APT بعين الاعتبار.
نظرًا لكونها جيدة في جمع إدخالات السجل وتحليلها وإعداد التقارير عنها، فإن أنظمة SIEM الجاهزة غير مصممة الحماية ضد أبت. والسبب هو أن أنظمة SIEM هذه تراقب الشبكات بناءً على نطاق محدود من قواعد الارتباط. يتضمن الضبط الدقيق لحل SIEM الخاص بك تطوير قواعد الارتباط المخصصة لإضافة طبقة أخرى من الدفاع. علاوة على ذلك، مستشارو SIEM ذوي الخبرة سيعزز قدرات أي نظام SIEM على اكتشاف إصابات البرامج الضارة والتصيد الاحتيالي وفحص أنشطة الشبكة واكتشاف الحركة الجانبية للمهاجمين وتسريب البيانات الحساسة.
هل السحر ممكن؟
بالتأكيد، هو كذلك. لكن لا تتوقع ذلك من نظام SIEM جاهز. إن مستشاري أمن المعلومات هم الذين يقومون بإنشاء حل SIEM مخصص مصمم خصيصًا لشبكتك. لن يؤدي الترحيل إلى منصة SIEM أخرى جاهزة إلى حل جميع مشكلات الأمان لديك على أي حال، ومن المرجح أن تستمر في سعيك للحصول على “السحر الجاهز”. لا تقع في شرك هذه الحلقة المفرغة.