ثريد اليوم بتكلم عن نظام (SIEM)
(security information and event management)
اول شي ماهو نظام (SIEM):
هو نظام يقوم بجمع سجلات الاحداث من اكثر من مصدر و يتم عرضها لك و تحليلها و اتخاذ الاجراء الازم .
(security information and event management)
اول شي ماهو نظام (SIEM):
هو نظام يقوم بجمع سجلات الاحداث من اكثر من مصدر و يتم عرضها لك و تحليلها و اتخاذ الاجراء الازم .
في اغلب الشركات يوجد لديهم انظمة تعمل مع بعضها البعض مثل:
Fairwall
IPS&IDS
Routers and Switches
SAN&NAS
فيصبح من الصعب مرقابة جميع السجلات و الأحداث لذالك تم إنشاء نظام(SIEM), يقوم هذا النظام بجمع السجلات و الاحداث و إعطاء التنبيهات الامنية(Security alerts)وإتخاذ الإجراء المناسب.
Fairwall
IPS&IDS
Routers and Switches
SAN&NAS
فيصبح من الصعب مرقابة جميع السجلات و الأحداث لذالك تم إنشاء نظام(SIEM), يقوم هذا النظام بجمع السجلات و الاحداث و إعطاء التنبيهات الامنية(Security alerts)وإتخاذ الإجراء المناسب.
الهدف من نظام (SIEM):
من الاهداف الاساسية هو ان يتم تسهيل عرضها ومتابعتها من قبل الفريق المسؤول لمتابعة هذه الأحداث وتحليلها و فرز الاحداث الخطرة عن الاحداث المألوفة .
و من اهداف نظام (SIEM) هو تسهيل عملية جمع احداث الانظمة المختلفة .
من الاهداف الاساسية هو ان يتم تسهيل عرضها ومتابعتها من قبل الفريق المسؤول لمتابعة هذه الأحداث وتحليلها و فرز الاحداث الخطرة عن الاحداث المألوفة .
و من اهداف نظام (SIEM) هو تسهيل عملية جمع احداث الانظمة المختلفة .
كيف يعمل نظام (SIEM):
عمل هذا النظام يقوم بخمس خطوات و هم:
1- جمع السجلات والأحداث (Event & Log Collection)
2- تصنيف السجلات والأحداث(Normalization)
3- تحليل السجلات والأحداث (Analysis)
4- الترابط والإستنتاج (Correlation)
عمل هذا النظام يقوم بخمس خطوات و هم:
1- جمع السجلات والأحداث (Event & Log Collection)
2- تصنيف السجلات والأحداث(Normalization)
3- تحليل السجلات والأحداث (Analysis)
4- الترابط والإستنتاج (Correlation)
شرح الخطوات:
1- جمع الأحداث والتنبيهات الأمنية من جميع الأجهزة والأنظمة المختلفة مثل (Firewall,ips&ids,routers&switches...)
----
2- تصنيف الأحداث والتنبيهات الأمنية وتحديد مصدر هذه الأحداث.......
1- جمع الأحداث والتنبيهات الأمنية من جميع الأجهزة والأنظمة المختلفة مثل (Firewall,ips&ids,routers&switches...)
----
2- تصنيف الأحداث والتنبيهات الأمنية وتحديد مصدر هذه الأحداث.......
3 - يتم وضع قواعد خاصة من قبل الفريق الامني او الموظف ليتم تنفيذها عند الحدث الامني أو تنبيه محدد.
----
4- ربط الأحداث الأمنية التي تم تجميعها من مختلف الأنظمة مع بعضها البعض وتحديد العلاقات فيما بينها .
----
4- ربط الأحداث الأمنية التي تم تجميعها من مختلف الأنظمة مع بعضها البعض وتحديد العلاقات فيما بينها .
أشهر أنظمة SIEM:
1-LogRhythm
2-McAfee Enterprise Security Manager
3-IBM Security QRadar
4-AlienVault Unified Security Management (USM)
1-LogRhythm
2-McAfee Enterprise Security Manager
3-IBM Security QRadar
4-AlienVault Unified Security Management (USM)
بكذا اكون انتهيت من الثريد و اتمنى تشاركوني معلوماتكم الاضافية و شكرا للجميع.
جاري تحميل الاقتراحات...