سخت‌افزار برای سیستم‌های SIEM

02 دی 1403 سخت‌افزار برای سیستم‌های SIEM

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ در برهه‌ای، دپارتمان امنیت اطلاعاتِ هر سازمان بزرگی ناگزیر شروع به معرفی یک سیستم SIEM می‌کند- یا فعلی را با جدید جایگزین می‌نماید و باید از این رو بودجه لازم برای بکارگیری‌اش را ارزیابی کند. اما SIEM محصول سبکی نیست که بشود آن را داخل زیرساخت فعلی گنجاند. تقریباً همه راه‌حل‌های این دسته‌بندی به سخت‌افزار اضافی نیاز دارند بدین معنا که این تجهیزات باید یا خریداری شوند و یا اجاره. پس برای بودجه‌بندی دقیق، لازم است پیکربندی سخت‌افزاری مورد انتظار را مد نظر قرار داد. در این مقاله قرار است توضیح دهیم چطور بسته به پروفایل سازمان و معماری سیستم، الزامات سخت‌افزاری SIEM تغییر می‌یابد؛ همینطور پارامترهایی سخت‌گیرانه برای کمک به برآورد هزینه اولیه چنین تجهیزاتی ارائه می‌دهیم. با ما همراه باشید.

ارزیابی جریان داده

اساساً یک سیستم SIEM داده‌های رخداد را از منابع داخلی و خارجی جمع‌آوری و تهدیدهای امنیتی را با همبستگی این داده‌ها شناسایی می‌کند. بنابراین، قبل از در نظر گرفتن اینکه چه سخت‌افزاری مورد نیاز است، ضروری است که ابتدا حجم اطلاعاتی را که سیستم پردازش و ذخیره می‌کند، ارزیابی کنید. برای این منظور، ابتدا باید خطرات حیاتی زیرساخت را شناسایی و سپس منابع داده‌ای را که باید برای کمک به شناسایی و رسیدگی به تهدیدات مرتبط با این خطرات تجزیه و تحلیل شوند، تعیین کنید. اینها منابع داده‌ای هستند که باید روی آنها تمرکز کرد. چنین ارزیابی نه تنها برای تعیین سخت افزار، بلکه برای برآورد هزینه صدور مجوز نیز ضروری است. به عنوان مثال، هزینه صدور مجوز برای سیستم SIEM پلت‌فرم یکپارچه نظارت و تجزیه و تحلیل کسپرسکی ما به طور مستقیم به تعداد رخدادها در ثانیه  (EPS)  بستگی دارد. جنبه مهم دیگر این است که بررسی کنید فروشنده چگونه تعداد رخدادها را برای صدور مجوز محاسبه می‌کند. در مورد ما، رخدادها را در هر ثانیه پس از فیلتر کردن و تجمیع، محاسبه و میانگین تعداد آن‌ها را در 24 ساعت گذشته به جای  اوج مقادیر آنها محاسبه می‌کنیم - اما همه فروشندگان از این رویکرد پیروی نمی‌کنند.

رایج‌ترین منابع عبارتند از نقاط پایانی (رخدادهای ویندوز، Sysmon، لاگ های PowerShell و لاگ‌های آنتی‌ویروس)، دستگاه‌های شبکه (فایروال‌ها، IDS/IPS، سوئیچ‌ها، نقاط دسترسی)، سرورهای پروکسی (مانند Squid و Cisco WSA)، اسکنرهای آسیب‌پذیری، پایگاه های داده. ، سیستم‌های کلود(مانند AWS CloudTrail یا Office 365) و سرورهای مدیریت زیرساخت (دامنه) کنترلرها، سرورهای DNS و غیره). به عنوان یک قاعده، برای تشکیل انتظارات اولیه در مورد جریان رخداد متوسط، اندازه سازمان می‌تواند به عنوان یک راهنما باشد. با این حال، ویژگی‌های معماری زیرساخت‌های خاص فناوری اطلاعات می‌تواند اندازه شرکت را به پارامتری با میزان اهمیت کمتر تبدیل کند.

به طور کلی، برای سازمان‌های کوچک و متوسط ​​با تنها یک دفتر - یا حداکثر چندین دفتر با کانال‌های ارتباطی خوب در میان آنها و زیرساخت‌های فناوری اطلاعات واقع در یک مرکز داده - می‌توان میانگین جریان رویداد 5000-10000 EPS را انتظار داشت. برای شرکت‌های بزرگ، تخمین زدن چالش برانگیزتر است: بسته به پیچیدگی زیرساخت و وجود شعب، EPS می‌تواند از 50 000 تا 200 000 EPS متغیر باشد.

اجزای ساختاری یک سیستم SIEM

یک سیستم SIEM به طور کلی از چهار جزء اصلی تشکیل شده است: زیر سیستم مدیریت، زیر سیستم جمع آوری رخداد، زیر سیستم همبستگی و زیر سیستم ذخیره سازی.

هسته (زیر سیستم مدیریت). شما می‌توانید آن را به عنوان مرکز کنترل سیستم در نظر بگیرید. این امکان مدیریت اجزای دیگر و ابزارهای تجسمی را برای تحلیلگران SOC فراهم می‌کند - به آنها امکان می‌دهد به راحتی پارامترهای عملیاتی را پیکربندی کنند، وضعیت سیستم SIEM را نظارت کنند و مهمتر از همه، مشاهده، تجزیه و تحلیل، مرتب سازی و جستجوی رویدادها، پردازش هشدارها و کار با رخدادها را داشته باشند. این مرکز کنترل باید از مشاهده گزارش از طریق ویجت‌ها و داشبوردها نیز پشتیبانی  و جستجو و دسترسی سریع به داده ها را فعال کند. هسته یک جزء ضروری است و می تواند به عنوان یک نمونه یا به عنوان یک خوشه برای ارائه سطح بالاتری از انعطاف پذیری نصب شود.

زیرسیستم مجموعه رویداد. همانطور که از نام آن پیداست، این زیرسیستم داده ها را از منابع مختلف جمع آوری کرده و از طریق تجزیه و نرمال‌سازی به یک فرمت یکپارچه تبدیل می کند. برای محاسبه ظرفیت مورد نیاز این زیرسیستم، باید هم شدت جریان رویداد و هم فرمت گزارشی را که رویدادها از منابع دریافت می‌کنند، در نظر گرفت. بارگذاری سرور به نحوه پردازش لاگ‌ها توسط زیرسیستم بستگی دارد. به عنوان مثال، حتی برای گزارش‌های ساختاریافته (مقدار کلیدی، CSV، JSON، XML)، می‌توانید از عبارات منظم (که به سخت‌افزار قوی‌تری نیاز دارند) یا تجزیه‌کننده‌های داخلی فروشنده استفاده کنید.

 زیر سیستم همبستگی. این زیرسیستم داده‌های جمع‌آوری‌شده از گزارش‌ها را تجزیه و تحلیل می‌کند، توالی‌های توصیف‌شده در منطق قوانین همبستگی را شناسایی و در صورت لزوم، هشدارها را تولید می‌کند، سطوح تهدید آن‌ها را تعیین می‌کند و موارد مثبت کاذب را به حداقل می‌رساند. مهم است که به خاطر داشته باشید که بار همبسته نه تنها توسط جریان رویداد بلکه توسط تعداد قوانین همبستگی و روش‌های مورد استفاده برای توصیف منطق تشخیص نیز تعیین می‌شود.

زیر سیستم ذخیره‌سازی. یک سیستم SIEM نه تنها باید تجزیه و تحلیل کند، بلکه باید داده‌ها را برای تحقیقات داخلی، تجزیه و تحلیل، تجسم و گزارش‌دهی، و در صنایع خاص - برای انطباق با مقررات و تجزیه و تحلیل هشدار گذشته‌نگر، ذخیره کند. بنابراین، یک سوال مهم دیگر در مرحله طراحی سیستم SIEM این است که چه مدت می خواهید گزارش‌های جمع آوری شده را ذخیره کنید. از دیدگاه یک تحلیلگر، هر چه داده ها بیشتر ذخیره شوند، بهتر است. با این حال، یک دوره نگهداری طولانی‌تر گزارش، نیازمندی‌های سخت‌افزاری را افزایش می‌دهد. یک سیستم SIEM بالغ توانایی ایجاد تعادل را با تنظیم دوره های نگهداری مختلف برای انواع مختلف گزارش فراهم می‌کند. به عنوان مثال، 30 روز برای گزارش های NetFlow، 60 روز برای رویدادهای اطلاعاتی ویندوز، 180 روز برای رویدادهای احراز هویت ویندوز، و غیره. این اجازه می‌دهد تا داده ها به طور بهینه در منابع سرور موجود تخصیص داده شوند.

 همچنین مهم است که بدانیم چه حجمی از داده ها با استفاده از ذخیره‌سازی داغ (اجازه دسترسی سریع) و ذخیره سازی سرد (مناسب برای نگهداری طولانی مدت) ذخیره می شود. زیرسیستم ذخیره سازی باید عملکرد بالا، مقیاس پذیری، قابلیت جستجوی ذخیره‌سازی متقابل (هم سرد و هم گرم) و گزینه های مشاهده داده‌ها را ارائه دهد. علاوه بر این، توانایی بک‌آپ داده های ذخیره‌شده ضروری است.

ویژگی‌های ساختاری SIEM کسپرسکی

بنابراین، ما الزامات ایده آل برای یک سیستم SIEM را ارائه کرده‌ایم. احتمالاً شما را متعجب نخواهد کرد که پلت‌فرم نظارت و تحلیل یکپارچه ما این الزامات را برآورده کند. سیستم SIEM ما با قابلیت داخلی خود برای مقیاس‌بندی برای جریان داده‌هایی که در یک نمونه به صدها هزار EPS می‌رسند، از بارهای بالا نمی‌ترسند. نکته مهم این است که بر خلاف بسیاری از سیستم‌های جایگزین، نیازی به تقسیم شدن به چند نمونه با نتایج همبستگی پس از آن نیست. زیرسیستم مجموعه رویدادهای سیستم پلت‌فرم مانیتورینگ و تحلیل یکپارچه کسپرسکی مجهز به مجموعه ای غنی از تجزیه کننده‌ها است که برای پردازش گزارش‌ها در هر قالب بهینه شده اند. علاوه بر این، قابلیت های چند رشته ای Go به این معنی است که جریان رخداد را می توان با استفاده از تمام منابع سرور موجود پردازش کرد.

 زیرسیستم ذخیره سازی داده مورد استفاده در سیستم SIEM ما متشکل از سرورهایی است که داده‌ها را ذخیره و سرورهایی با نقش clickhouse-keeper که خوشه را مدیریت می‌کنند (این سرورها خودشان داده‌ها را ذخیره نمی کنند اما هماهنگی بین نمونه ها را تسهیل می‌کنند). برای جریان داده‌های 20000 EPS با تعداد نسبتاً کم درخواست های جستجو، این سرویس ها می توانند روی همان سرورهایی کار کنند که داده ها را ذخیره می‌کنند. برای جریان داده‌های بالاتر، توصیه می‌شود این سرویس ها را جدا کنید. به عنوان مثال، آنها را می توان در ماشین‌های مجازی مستقر کرد (حداقل یک مورد نیاز است، هر چند سه مورد توصیه می‌شود).

 سیستم ذخیره‌سازی SIEM مانیتورینگ و تحلیل یکپارچه Kaspersky انعطاف‌پذیر است - به شما اجازه می‌دهد تا جریان رویداد در چندین فضا توزیع و عمق ذخیره‌سازی برای هر فضا مشخص شود. به عنوان مثال، از دیسک‌های ارزان قیمت می‌توان برای ایجاد فضای ذخیره سازی سرد استفاده کرد (جایی که جستجو هنوز امکان پذیر است، فقط کندتر). این ذخیره سازی سرد می تواند داده هایی را در خود جای دهد که بعید به نظر می رسد نیاز به تجزیه و تحلیل داشته باشند اما به دلیل الزامات قانونی باید ذخیره شوند. چنین اطلاعاتی را می توان به معنای واقعی کلمه یک روز پس از جمع آوری به سردخانه منتقل کرد. بنابراین، رویکرد ذخیره‌سازی داده‌های پیاده‌سازی‌شده در سیستم SIEM ما، به لطف قابلیت‌های ذخیره‌سازی سرد و گرم، امکان نگهداری طولانی‌مدت داده‌ها را بدون تجاوز از بودجه تجهیزات گران‌قیمت فراهم می‌کند.

بکارگیری معماری SIEM با استفاده از SIEM ما به عنوان نمونه

پلت‌فرم نظارت و تجزیه و تحلیل یکپارچه کسپرسکی از چندین گزینه استقرار پشتیبانی می‌کند، بنابراین مهم است که ابتدا نیازهای معماری سازمان خود را تعیین کنید. این را می‌توان بر اساس جریان تخمینی EPS و ویژگی‌های شرکت شما انجام داد. برای فهم ساده‌تر، اجازه دهید دوره نگهداری داده های مورد نیاز را 30 روز فرض کنیم.

جریان داده: 5000 تا 10000 EPS

برای یک سازمان کوچک، سیستم SIEM می تواند بر روی یک سرور منفرد مستقر شود. به عنوان مثال، سیستم SIEM ما از گزینه نصب All-in-One پشتیبانی می‌کند. در این مورد، پیکربندی سرور مورد نیاز 16 CPU، 32 گیگابایت رم و 2.5 ترابایت فضای دیسک است.

جریان داده: 30000 EPS

برای سازمان‌های بزرگتر، سرورهای جداگانه برای هر جزء SIEM مورد نیاز است. اختصاص یک سرور به طور انحصاری برای ذخیره‌سازی تضمین می‌کند که پرس و جوهای جستجو بر پردازش رویدادها توسط جمع کننده و همبسته تأثیر نمی گذارد. با این حال، خدمات جمع آوری‌کننده و همبسته همچنان می توانند با هم (یا به طور جداگانه، در صورت تمایل) مستقر شوند. پیکربندی تقریبی تجهیزات برای این سناریو به شرح زیر است:

 

هسته: 10 پردازنده، 24 گیگابایت رم، 0.5 ترابایت فضای دیسک

مجموعه: 8 پردازنده، 16 گیگابایت رم، 0.5 ترابایت فضای دیسک

رابط: 8 پردازنده، 32 گیگابایت رم، 0.5 ترابایت فضای دیسک

فضای ذخیره سازی: 24 پردازنده، 64 گیگابایت رم، 14 ترابایت فضای دیسک

جریان داده: 50 000-200 000 EPS

برای شرکت های بزرگ، هنگام تعریف معماری باید عوامل اضافی در نظر گرفته شود. اینها عبارتند از اطمینان از انعطاف‌پذیری (زیرا جریان داده‌های قابل توجه خطر شکست را افزایش می دهد) و وجود بخش های شرکت (شعبه). در چنین مواردی، ممکن است به سرورهای بیشتری برای نصب سیستم SIEM نیاز باشد، زیرا ترجیح داده می‌شود که خدمات جمع‌آوری و همبسته در سرورهای مختلف برای چنین جریان‌های EPS بالایی توزیع شود.

جریان داده: 200000 EPS

همانطور که جریان‌های EPS رشد می‌کنند و زیرساخت به واحدهای مستقل جداگانه تقسیم می‌شود، مقدار تجهیزات مورد نیاز بر این اساس افزایش می‌یابد. سرورهای اضافی برای جمع‌آوران، ذخیره‌سازی، همبسته‌ها و نگهدارنده‌ها مورد نیاز خواهد بود. علاوه بر این، در سازمان‌های بزرگ، الزامات در دسترس بودن داده ها ممکن است اولویت داشته باشند. در این مورد، خوشه ذخیره‌سازی پلت‌فرم نظارت و تجزیه و تحلیل یکپارچه کسپرسکی همه رویدادهای جمع‌آوری‌شده را به خرده‌هایی تقسیم می‌کند. هر خرده از یک یا چند کپی داده تشکیل شده است. و هر replica خرده یک گره خوشه ای، به معنای یک سرور جداگانه است. برای اطمینان از انعطاف‌پذیری و عملکرد، توصیه می‌کنیم خوشه را با دو کپی در هر خرده اجرا کنید. برای پردازش چنین حجم های EPS بزرگ، ممکن است به سه سرور جمع کننده نیاز باشد که در دفاتری با بالاترین جریان رخداد نصب شده باشند.

 

SIEM کسپرسکی در شرکت های هلدینگ

در شرکت‌های بزرگ، هزینه پیاده‌سازی یک سیستم SIEM نه تنها با حجم داده، بلکه بسته به مشخصات استفاده نیز افزایش می‌یابد. به عنوان مثال، در برخی موارد (مانند محیط های MSP و MSSP و همچنین شرکت‌های هلدینگ بزرگ با چندین شرکت تابعه یا شعبه)، چند اجاره ای مورد نیاز است. این بدان معنی است که شرکت باید چندین "mini-SIEM" را که به طور مستقل کار می‌کنند، حفظ کند. راه حل ما این امکان را از طریق یک نصب واحد در دفتر مرکزی، بدون نیاز به نصب سیستم های جداگانه در/در هر شعبه/ مستاجر فراهم می‌کند. این به طور قابل توجهی هزینه تجهیزات را کاهش می‌دهد.

بیایید (i) یک شرکت هلدینگ، (ii) یک شرکت عمودی یکپارچه، یا (iii) یک شرکت با توزیع جغرافیایی با تیم‌های مختلف امنیتی مستقل یا نیاز به جداسازی دسترسی به داده‌ها در میان شاخه‌ها را تصور کنیم. مدل  پلت‌فرم مانیتورینگ و تحلیل یکپارچه کسپرسکی امکان دسترسی مجزا به همه منابع، رویدادها و تنظیمات یکپارچه‌سازی طرف‌سوم را فراهم می‌کند. این بدان معنی است که یک نصب به عنوان چندین سیستم SIEM جداگانه عمل می‌کند. در این مورد، در حالی که هر بخش می‌تواند محتوای خود را توسعه دهد (قوانین همبستگی)، همچنین گزینه توزیع یک مجموعه واحد از منابع در تمام بخش ها وجود دارد. به عبارت دیگر، هر بخش می‌تواند جمع‌آوران، همبستگان و قوانین خاص خود را داشته باشد، اما تیم امنیتی HQ همچنین می‌تواند بسته‌های استانداردی از محتوای امنیتی را برای همه تخصیص دهد - تضمین حفاظت مداوم در سراسر سازمان. بنابراین، استفاده از پلت‌فرم نظارت و تحلیل یکپارچه کسپرسکی عملکرد لازم را با منابع محاسباتی نسبتاً متوسط ​​تضمین می‌کند. در برخی موارد، صرفه جویی در سخت افزار می‌تواند تا 50٪ برسد.

برای درک دقیق‌تر منابع مورد نیاز و هزینه‌های پیاده‌سازی، توصیه می‌کنیم با متخصصین یا شرکای ادغام خود صحبت کنید. ما (یا شرکای ما) همچنین می‌توانیم پشتیبانی ممتازی ارائه دهیم، بر توسعه ادغام‌های اضافی (از جمله استفاده از قابلیت‌های API برای محصولات متصل) کمک کرده و بر استقرار راه‌حل کلید در دستی که طراحی سیستم، تخمین تجهیزات، بهینه‌سازی پیکربندی و موارد دیگر را پوشش می‌دهد، نظارت کنیم. در صفحه رسمی محصول درباره سیستم SIEM ما، پلتفرم مانیتورینگ و تحلیل یکپارچه کسپرسکی، بیشتر بیاموزید.

 

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

 

 

 

 

محصولات مرتبط

  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    8,916,500 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    13,379,000 ریال
    خرید
  • Kaspersky Safe Kids

    اپلیکیشن همه‌کاره برای فرزندپروریِ دیجیتال و سلامت خانواده نرم افزار امنیت کودکان کسپرسکی، نظارت‌های والدین را آسان می‌کند. ردیابی مکان و عادات دستگاه، محدودسازی محتوا، متعادل‌سازی ...

    13,379,000 ریال
    خرید
  • Kaspersky Security Cloud Personal

    تمام اپ‌های امنیتیِ ما در دستانتان. به کل خانواده‌ی اپ‌های ما برای دسکتاپ و موبایل دسترسی پیدا کنید. از آنتی‌ویروس گرفته تا ابزارهای حریم خصوصی و اجرایی، هر کدام را به میل ...

    89,241,500 ریال
    خرید
  • Kaspersky Standard

    سیستم امنیتی بهبودیافته به همراه تقویت‌کننده عمکرد دستگاه طرح امنیتی استاندارد ما، نه تنها سیستم امنیتی قدرتمندی را برای انواع ویروس‌ها، بدفزارها و باج‌افزارها ارائه می‌دهد ...

    25,245,000 ریال
    خرید
  • Kaspersky Plus

    امنیت. کارایی. حریم خصوصی. همه در یک برنامه با کاربری آسان کسپرسکی پلاس با ارائه امنیت سایبری نسل بعد، شما در برابر ویروس‌ها، باج‌افزارها و بدافزارهای جدید محافظت کند - بدون ...

    36,201,500 ریال
    خرید
  • Kaspersky Premium

    حفاظت کامل از دستگاه ها، حریم خصوصی و هویت شما با محصول Kaspersky Premium تمام نیازهای امنیتی خود و خانواده‌تان را پوشش دهید. حفاظت پیشرفته ...

    38,726,000 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    160,641,500 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    257,031,500 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    192,771,500 ریال
    خرید
  • Kaspersky Small Office Security

    308,796,500 ریال
    خرید
  • Kaspersky Small Office Security

    224,901,500 ریال
    خرید
  • Kaspersky Small Office Security

    359,669,000 ریال
    خرید
  • Kaspersky Small Office Security

    257,031,500 ریال
    خرید
  • Kaspersky Small Office Security

    411,434,000 ریال
    خرید
  • Kaspersky Small Office Security

    289,161,500 ریال
    خرید
  • Kaspersky Small Office Security

    462,306,500 ریال
    خرید
  • Kaspersky Small Office Security

    294,516,500 ریال
    خرید
  • Kaspersky Small Office Security

    471,231,500 ریال
    خرید
  • Kaspersky Small Office Security

    415,004,000 ریال
    خرید
  • Kaspersky Small Office Security

    664,011,500 ریال
    خرید
  • Kaspersky Small Office Security

    535,491,500 ریال
    خرید
  • Kaspersky Small Office Security

    856,791,500 ریال
    خرید
  • Kaspersky Small Office Security

    647,054,000 ریال
    خرید
  • Kaspersky Small Office Security

    1,035,291,500 ریال
    خرید
  • Kaspersky Small Office Security

    1,227,179,000 ریال
    خرید
  • Kaspersky Small Office Security

    1,963,491,500 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد