روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ از آنجایی که شرکتی با ابعاد متوسط، هدفی جذاب برای مجرمان سایبری است، نمی‌تواند تنها با ابزارهای پایه محافظت شود. پس به دفاعی لایه لایه نیاز دارد. و سیستم SIEM که سیستم مدیریت رخداد و اطلاعات امنیتی است، انتخابی است منطقی برای کانون اصلی چنین مکانیزم لایه‌ای با محافظت چندگانه. اما چطور یک SIEM تمام‌عیار در شرکتی که بین 500 تا 3000 کارمند دارد می‌توان آن را پیاده کرد؟ امروز توضیح خواهیم داد چطور این کار، شدنی است. همانطور که از عنوان این مقاله پیداست، پیشنهاد ما اجرای مرحله‌ به مرحله است.

اول از همه: راهکار SIEM را انتخاب کنید

این یکی آسان است: یکی از محصولات تجاری نسبتاً ارزان مناسب برای کسب و کارهایی با ابعاد متوسط را بردارید. راهکار منبع باز «رایگان» هم می‌تواند کمک‌کننده باشد. می‌پرسید چرا رایگان را در علامت نقل قول گذاشتیم. چون گرچه لایسنس قیمیت ندارد اما پیاده‌سازی‌اش کلی منبع می‌برد و از تیم امنیت اطلاعات وقت می‌گیرد. برای اجرای یک محصول تجاری - چه قبل و چه بعد از لایو رفتن، به زمان بسیار زیادی (چند برابر) نسبت به زمانی که نیاز دارید احتیاج خواهید داشت. نمی‌خواهیم مفصل به آن بپردازیم. فقط به همین بسنده کنیم که: هیچ راهکار SIEM منبع باز حاضر آماده‌ای وجود ندارد. باید یکی را از اجزای موجود اسمبل کرده، آن‌ها را به گونه‌ای تنظیم کنید که قابلیت همکاری داشته باشند: یک استک ELK یا ذخیره‌گاه OpenSearch، کالکتورها و نمایندگان مبتنی بر یک یا چند ابزار OSSEC/Snort/Suricata، ابزارهای تحقیق و واکنش (Mozdef) و غیره. پروژه‌های OSSIM و Prelude نیز هر کدام کامپایلی هستند از ابزارهای مختلف؛ پس پشتیبانی از اینها هرگز راحت نیست؛ هرچند مقیاس‌بندی گزینه‌ها به زمان و مهارت تیم امنیت اطلاعات/آی‌تی شما محدود می‌شود. سخت‌افزار عنصر دیگری است که باید جدا از هزینه‌های مستقیم نرم‌افزار و ساعات کاری فرد لحاظ گردد. به جز معدود سیستم‌های SIEM، بقیه همه تماماً به سخت‌افزار نیاز دارند و باید مشخصاً برای لایو رفتن سروری بخرید یا اجاره کنید. پلت‌فرم SIEM تحلیل و نظارت یکپارچه کسپرسکی با بهترین عملکرد می‌تواند یک استثنا باشد. این پلت‌فرم دارای الزامات سخت‌افزاری است و نیز از بکارگیری‌های مجازی نیز پشتیبانی می‌کند. همچنین می‌توانید آن را روی سرور واحد به کار بسته یا اگر کالکتوری در هر یک از دفاتر بدان نیاز داشت، در کل سازمان توزیعش کنید.

منابع داده را برای SIEM تعریف کنید

باید برای شناسایی اینکه با SIEM چه چیز را باید نظارت کرد با کسب و کار خود کار کنید. آنقدرها هم که فکر می‌کنید پیش‌پا افتاده نیست: جدا از اینکه کمک می‌کند هکرها را بگیرید، SIEM روی کلی رویداد نظارت دارد. برای مثال اورلود سرور یا حتی برخی ملاک‌های عملیاتیِ کسب و کارها همچون نرخ صدور موجودی از انبار. دستگاه‌های شبکه، سرورها، کامپیوترهای معمولی و اپ‌ها می‌توانند همگی منابع داده باشند. برنامه‌ریزی دقیق منابع داده تضمین می‌دهد راهکار SIEM به درستی پیکردبندی شده و می‌تواند همه دارایی‌های مهم را نظارت کند. EDR معمولاً منبع اولیه است زیرا اطلاعاتی پرجزئیات در مورد سرور و رخدادهای ایستگاه کاری – که طوری ساختاربندی شدند که با سلیقه تیم امنیت اطلاعات جور درآید- ارائه می‌دهد و در عین حال هشدارهای نامربوط کمتری تولید می‌کند. ما بدیهی است که Kaspersky EDR Expert را توصیه می‌کنیم چون می‌تواند SIEM را با داده های رویدادهای خام و شناسایی های مرتبط با حملات پیچیده تغذیه کند.

پیکربندی راهکار SIEM

با تأیید لیست منابع داده، اکنون باید راهکار SIEM خود را برای جمع‌آوری و تجزیه و تحلیل داده‌های امنیتی از آن منابع پیکربندی کنید. این شامل نصب عوامل جمع آوری دادهها و تنظیم قوانین همبستگی برای شناسایی تهدیدهای امنیتی بالقوه می‌شود.  تقریباً هر سیستم SIEM با قوانین همبستگی پیش‌فرض بسته‌بندی شده است - اما آنها باید با واقعیت‌های شرکت تنظیم شوند. پس از تنظیم اولیه، برخی از قوانین نیاز به اصلاح دارند: شما باید شرایط بیش از حد و عدم هشدار را به طور کامل آزمایش کنید.

آموزش به کارمندان

راهکارهای SIEM برای مدیریت و نظارتی مؤثر به پرسنلی آموزش‌دیده نیاز دارند. تیم امنیت اطلاعات در یک شرکت کوچک معمولاً شامل ژنرالیست‌ها که همه‌کاره‌اند می‌شوند. از این رو هر عضو تیم باید مهارت‌های پایه مربوط به SIEM را داشته باشد. خوشبختانه، یک سیستم SIEM به صرفه‌جویی انجام کارهای روتین کمک می‌کند. برای مثال سرچ اپ‌هایی که پسوردهای از رده خارج را ذخیره می‌کنند یا تریاژ کردن بک‌لاگ نوتیفیکیشن‌های داخل اینباکس. SIEM  به هر کسی انگیزه می‌دهد تا از این ابزار جدید استفاده کند.

حمایت از سیستم SIEM و به روز نگه داشتن آن

SIEM ابزاری است زنده و به روز و نیاز دارد به تناسب و همگام با رشد و تکامل سازمان، به طور منظم پشتیبانی و تنظیمات بگیرد. قوانین ناکارامد باید از اولویت خارج شده و یا کلاً غیرفعال گردند و نیز قوانین مؤثر که برای شناخت تهدیدهای جدید طراحی شدند باید تست شوند.

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.