روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ در برههای، دپارتمان امنیت اطلاعاتِ هر سازمان بزرگی ناگزیر شروع به معرفی یک سیستم SIEM میکند- یا فعلی را با جدید جایگزین مینماید و باید از این رو بودجه لازم برای بکارگیریاش را ارزیابی کند. اما SIEM محصول سبکی نیست که بشود آن را داخل زیرساخت فعلی گنجاند. تقریباً همه راهحلهای این دستهبندی به سختافزار اضافی نیاز دارند بدین معنا که این تجهیزات باید یا خریداری شوند و یا اجاره. پس برای بودجهبندی دقیق، لازم است پیکربندی سختافزاری مورد انتظار را مد نظر قرار داد. در این مقاله قرار است توضیح دهیم چطور بسته به پروفایل سازمان و معماری سیستم، الزامات سختافزاری SIEM تغییر مییابد؛ همینطور پارامترهایی سختگیرانه برای کمک به برآورد هزینه اولیه چنین تجهیزاتی ارائه میدهیم. با ما همراه باشید.
ارزیابی جریان داده
اساساً یک سیستم SIEM دادههای رخداد را از منابع داخلی و خارجی جمعآوری و تهدیدهای امنیتی را با همبستگی این دادهها شناسایی میکند. بنابراین، قبل از در نظر گرفتن اینکه چه سختافزاری مورد نیاز است، ضروری است که ابتدا حجم اطلاعاتی را که سیستم پردازش و ذخیره میکند، ارزیابی کنید. برای این منظور، ابتدا باید خطرات حیاتی زیرساخت را شناسایی و سپس منابع دادهای را که باید برای کمک به شناسایی و رسیدگی به تهدیدات مرتبط با این خطرات تجزیه و تحلیل شوند، تعیین کنید. اینها منابع دادهای هستند که باید روی آنها تمرکز کرد. چنین ارزیابی نه تنها برای تعیین سخت افزار، بلکه برای برآورد هزینه صدور مجوز نیز ضروری است. به عنوان مثال، هزینه صدور مجوز برای سیستم SIEM پلتفرم یکپارچه نظارت و تجزیه و تحلیل کسپرسکی ما به طور مستقیم به تعداد رخدادها در ثانیه (EPS) بستگی دارد. جنبه مهم دیگر این است که بررسی کنید فروشنده چگونه تعداد رخدادها را برای صدور مجوز محاسبه میکند. در مورد ما، رخدادها را در هر ثانیه پس از فیلتر کردن و تجمیع، محاسبه و میانگین تعداد آنها را در 24 ساعت گذشته به جای اوج مقادیر آنها محاسبه میکنیم - اما همه فروشندگان از این رویکرد پیروی نمیکنند.
رایجترین منابع عبارتند از نقاط پایانی (رخدادهای ویندوز، Sysmon، لاگ های PowerShell و لاگهای آنتیویروس)، دستگاههای شبکه (فایروالها، IDS/IPS، سوئیچها، نقاط دسترسی)، سرورهای پروکسی (مانند Squid و Cisco WSA)، اسکنرهای آسیبپذیری، پایگاه های داده. ، سیستمهای کلود(مانند AWS CloudTrail یا Office 365) و سرورهای مدیریت زیرساخت (دامنه) کنترلرها، سرورهای DNS و غیره). به عنوان یک قاعده، برای تشکیل انتظارات اولیه در مورد جریان رخداد متوسط، اندازه سازمان میتواند به عنوان یک راهنما باشد. با این حال، ویژگیهای معماری زیرساختهای خاص فناوری اطلاعات میتواند اندازه شرکت را به پارامتری با میزان اهمیت کمتر تبدیل کند.
به طور کلی، برای سازمانهای کوچک و متوسط با تنها یک دفتر - یا حداکثر چندین دفتر با کانالهای ارتباطی خوب در میان آنها و زیرساختهای فناوری اطلاعات واقع در یک مرکز داده - میتوان میانگین جریان رویداد 5000-10000 EPS را انتظار داشت. برای شرکتهای بزرگ، تخمین زدن چالش برانگیزتر است: بسته به پیچیدگی زیرساخت و وجود شعب، EPS میتواند از 50 000 تا 200 000 EPS متغیر باشد.
اجزای ساختاری یک سیستم SIEM
یک سیستم SIEM به طور کلی از چهار جزء اصلی تشکیل شده است: زیر سیستم مدیریت، زیر سیستم جمع آوری رخداد، زیر سیستم همبستگی و زیر سیستم ذخیره سازی.
هسته (زیر سیستم مدیریت). شما میتوانید آن را به عنوان مرکز کنترل سیستم در نظر بگیرید. این امکان مدیریت اجزای دیگر و ابزارهای تجسمی را برای تحلیلگران SOC فراهم میکند - به آنها امکان میدهد به راحتی پارامترهای عملیاتی را پیکربندی کنند، وضعیت سیستم SIEM را نظارت کنند و مهمتر از همه، مشاهده، تجزیه و تحلیل، مرتب سازی و جستجوی رویدادها، پردازش هشدارها و کار با رخدادها را داشته باشند. این مرکز کنترل باید از مشاهده گزارش از طریق ویجتها و داشبوردها نیز پشتیبانی و جستجو و دسترسی سریع به داده ها را فعال کند. هسته یک جزء ضروری است و می تواند به عنوان یک نمونه یا به عنوان یک خوشه برای ارائه سطح بالاتری از انعطاف پذیری نصب شود.
زیرسیستم مجموعه رویداد. همانطور که از نام آن پیداست، این زیرسیستم داده ها را از منابع مختلف جمع آوری کرده و از طریق تجزیه و نرمالسازی به یک فرمت یکپارچه تبدیل می کند. برای محاسبه ظرفیت مورد نیاز این زیرسیستم، باید هم شدت جریان رویداد و هم فرمت گزارشی را که رویدادها از منابع دریافت میکنند، در نظر گرفت. بارگذاری سرور به نحوه پردازش لاگها توسط زیرسیستم بستگی دارد. به عنوان مثال، حتی برای گزارشهای ساختاریافته (مقدار کلیدی، CSV، JSON، XML)، میتوانید از عبارات منظم (که به سختافزار قویتری نیاز دارند) یا تجزیهکنندههای داخلی فروشنده استفاده کنید.
زیر سیستم همبستگی. این زیرسیستم دادههای جمعآوریشده از گزارشها را تجزیه و تحلیل میکند، توالیهای توصیفشده در منطق قوانین همبستگی را شناسایی و در صورت لزوم، هشدارها را تولید میکند، سطوح تهدید آنها را تعیین میکند و موارد مثبت کاذب را به حداقل میرساند. مهم است که به خاطر داشته باشید که بار همبسته نه تنها توسط جریان رویداد بلکه توسط تعداد قوانین همبستگی و روشهای مورد استفاده برای توصیف منطق تشخیص نیز تعیین میشود.
زیر سیستم ذخیرهسازی. یک سیستم SIEM نه تنها باید تجزیه و تحلیل کند، بلکه باید دادهها را برای تحقیقات داخلی، تجزیه و تحلیل، تجسم و گزارشدهی، و در صنایع خاص - برای انطباق با مقررات و تجزیه و تحلیل هشدار گذشتهنگر، ذخیره کند. بنابراین، یک سوال مهم دیگر در مرحله طراحی سیستم SIEM این است که چه مدت می خواهید گزارشهای جمع آوری شده را ذخیره کنید. از دیدگاه یک تحلیلگر، هر چه داده ها بیشتر ذخیره شوند، بهتر است. با این حال، یک دوره نگهداری طولانیتر گزارش، نیازمندیهای سختافزاری را افزایش میدهد. یک سیستم SIEM بالغ توانایی ایجاد تعادل را با تنظیم دوره های نگهداری مختلف برای انواع مختلف گزارش فراهم میکند. به عنوان مثال، 30 روز برای گزارش های NetFlow، 60 روز برای رویدادهای اطلاعاتی ویندوز، 180 روز برای رویدادهای احراز هویت ویندوز، و غیره. این اجازه میدهد تا داده ها به طور بهینه در منابع سرور موجود تخصیص داده شوند.
همچنین مهم است که بدانیم چه حجمی از داده ها با استفاده از ذخیرهسازی داغ (اجازه دسترسی سریع) و ذخیره سازی سرد (مناسب برای نگهداری طولانی مدت) ذخیره می شود. زیرسیستم ذخیره سازی باید عملکرد بالا، مقیاس پذیری، قابلیت جستجوی ذخیرهسازی متقابل (هم سرد و هم گرم) و گزینه های مشاهده دادهها را ارائه دهد. علاوه بر این، توانایی بکآپ داده های ذخیرهشده ضروری است.
ویژگیهای ساختاری SIEM کسپرسکی
بنابراین، ما الزامات ایده آل برای یک سیستم SIEM را ارائه کردهایم. احتمالاً شما را متعجب نخواهد کرد که پلتفرم نظارت و تحلیل یکپارچه ما این الزامات را برآورده کند. سیستم SIEM ما با قابلیت داخلی خود برای مقیاسبندی برای جریان دادههایی که در یک نمونه به صدها هزار EPS میرسند، از بارهای بالا نمیترسند. نکته مهم این است که بر خلاف بسیاری از سیستمهای جایگزین، نیازی به تقسیم شدن به چند نمونه با نتایج همبستگی پس از آن نیست. زیرسیستم مجموعه رویدادهای سیستم پلتفرم مانیتورینگ و تحلیل یکپارچه کسپرسکی مجهز به مجموعه ای غنی از تجزیه کنندهها است که برای پردازش گزارشها در هر قالب بهینه شده اند. علاوه بر این، قابلیت های چند رشته ای Go به این معنی است که جریان رخداد را می توان با استفاده از تمام منابع سرور موجود پردازش کرد.
زیرسیستم ذخیره سازی داده مورد استفاده در سیستم SIEM ما متشکل از سرورهایی است که دادهها را ذخیره و سرورهایی با نقش clickhouse-keeper که خوشه را مدیریت میکنند (این سرورها خودشان دادهها را ذخیره نمی کنند اما هماهنگی بین نمونه ها را تسهیل میکنند). برای جریان دادههای 20000 EPS با تعداد نسبتاً کم درخواست های جستجو، این سرویس ها می توانند روی همان سرورهایی کار کنند که داده ها را ذخیره میکنند. برای جریان دادههای بالاتر، توصیه میشود این سرویس ها را جدا کنید. به عنوان مثال، آنها را می توان در ماشینهای مجازی مستقر کرد (حداقل یک مورد نیاز است، هر چند سه مورد توصیه میشود).
سیستم ذخیرهسازی SIEM مانیتورینگ و تحلیل یکپارچه Kaspersky انعطافپذیر است - به شما اجازه میدهد تا جریان رویداد در چندین فضا توزیع و عمق ذخیرهسازی برای هر فضا مشخص شود. به عنوان مثال، از دیسکهای ارزان قیمت میتوان برای ایجاد فضای ذخیره سازی سرد استفاده کرد (جایی که جستجو هنوز امکان پذیر است، فقط کندتر). این ذخیره سازی سرد می تواند داده هایی را در خود جای دهد که بعید به نظر می رسد نیاز به تجزیه و تحلیل داشته باشند اما به دلیل الزامات قانونی باید ذخیره شوند. چنین اطلاعاتی را می توان به معنای واقعی کلمه یک روز پس از جمع آوری به سردخانه منتقل کرد. بنابراین، رویکرد ذخیرهسازی دادههای پیادهسازیشده در سیستم SIEM ما، به لطف قابلیتهای ذخیرهسازی سرد و گرم، امکان نگهداری طولانیمدت دادهها را بدون تجاوز از بودجه تجهیزات گرانقیمت فراهم میکند.
بکارگیری معماری SIEM با استفاده از SIEM ما به عنوان نمونه
پلتفرم نظارت و تجزیه و تحلیل یکپارچه کسپرسکی از چندین گزینه استقرار پشتیبانی میکند، بنابراین مهم است که ابتدا نیازهای معماری سازمان خود را تعیین کنید. این را میتوان بر اساس جریان تخمینی EPS و ویژگیهای شرکت شما انجام داد. برای فهم سادهتر، اجازه دهید دوره نگهداری داده های مورد نیاز را 30 روز فرض کنیم.
جریان داده: 5000 تا 10000 EPS
برای یک سازمان کوچک، سیستم SIEM می تواند بر روی یک سرور منفرد مستقر شود. به عنوان مثال، سیستم SIEM ما از گزینه نصب All-in-One پشتیبانی میکند. در این مورد، پیکربندی سرور مورد نیاز 16 CPU، 32 گیگابایت رم و 2.5 ترابایت فضای دیسک است.
جریان داده: 30000 EPS
برای سازمانهای بزرگتر، سرورهای جداگانه برای هر جزء SIEM مورد نیاز است. اختصاص یک سرور به طور انحصاری برای ذخیرهسازی تضمین میکند که پرس و جوهای جستجو بر پردازش رویدادها توسط جمع کننده و همبسته تأثیر نمی گذارد. با این حال، خدمات جمع آوریکننده و همبسته همچنان می توانند با هم (یا به طور جداگانه، در صورت تمایل) مستقر شوند. پیکربندی تقریبی تجهیزات برای این سناریو به شرح زیر است:
هسته: 10 پردازنده، 24 گیگابایت رم، 0.5 ترابایت فضای دیسک
مجموعه: 8 پردازنده، 16 گیگابایت رم، 0.5 ترابایت فضای دیسک
رابط: 8 پردازنده، 32 گیگابایت رم، 0.5 ترابایت فضای دیسک
فضای ذخیره سازی: 24 پردازنده، 64 گیگابایت رم، 14 ترابایت فضای دیسک
جریان داده: 50 000-200 000 EPS
برای شرکت های بزرگ، هنگام تعریف معماری باید عوامل اضافی در نظر گرفته شود. اینها عبارتند از اطمینان از انعطافپذیری (زیرا جریان دادههای قابل توجه خطر شکست را افزایش می دهد) و وجود بخش های شرکت (شعبه). در چنین مواردی، ممکن است به سرورهای بیشتری برای نصب سیستم SIEM نیاز باشد، زیرا ترجیح داده میشود که خدمات جمعآوری و همبسته در سرورهای مختلف برای چنین جریانهای EPS بالایی توزیع شود.
جریان داده: 200000 EPS
همانطور که جریانهای EPS رشد میکنند و زیرساخت به واحدهای مستقل جداگانه تقسیم میشود، مقدار تجهیزات مورد نیاز بر این اساس افزایش مییابد. سرورهای اضافی برای جمعآوران، ذخیرهسازی، همبستهها و نگهدارندهها مورد نیاز خواهد بود. علاوه بر این، در سازمانهای بزرگ، الزامات در دسترس بودن داده ها ممکن است اولویت داشته باشند. در این مورد، خوشه ذخیرهسازی پلتفرم نظارت و تجزیه و تحلیل یکپارچه کسپرسکی همه رویدادهای جمعآوریشده را به خردههایی تقسیم میکند. هر خرده از یک یا چند کپی داده تشکیل شده است. و هر replica خرده یک گره خوشه ای، به معنای یک سرور جداگانه است. برای اطمینان از انعطافپذیری و عملکرد، توصیه میکنیم خوشه را با دو کپی در هر خرده اجرا کنید. برای پردازش چنین حجم های EPS بزرگ، ممکن است به سه سرور جمع کننده نیاز باشد که در دفاتری با بالاترین جریان رخداد نصب شده باشند.
SIEM کسپرسکی در شرکت های هلدینگ
در شرکتهای بزرگ، هزینه پیادهسازی یک سیستم SIEM نه تنها با حجم داده، بلکه بسته به مشخصات استفاده نیز افزایش مییابد. به عنوان مثال، در برخی موارد (مانند محیط های MSP و MSSP و همچنین شرکتهای هلدینگ بزرگ با چندین شرکت تابعه یا شعبه)، چند اجاره ای مورد نیاز است. این بدان معنی است که شرکت باید چندین "mini-SIEM" را که به طور مستقل کار میکنند، حفظ کند. راه حل ما این امکان را از طریق یک نصب واحد در دفتر مرکزی، بدون نیاز به نصب سیستم های جداگانه در/در هر شعبه/ مستاجر فراهم میکند. این به طور قابل توجهی هزینه تجهیزات را کاهش میدهد.
بیایید (i) یک شرکت هلدینگ، (ii) یک شرکت عمودی یکپارچه، یا (iii) یک شرکت با توزیع جغرافیایی با تیمهای مختلف امنیتی مستقل یا نیاز به جداسازی دسترسی به دادهها در میان شاخهها را تصور کنیم. مدل پلتفرم مانیتورینگ و تحلیل یکپارچه کسپرسکی امکان دسترسی مجزا به همه منابع، رویدادها و تنظیمات یکپارچهسازی طرفسوم را فراهم میکند. این بدان معنی است که یک نصب به عنوان چندین سیستم SIEM جداگانه عمل میکند. در این مورد، در حالی که هر بخش میتواند محتوای خود را توسعه دهد (قوانین همبستگی)، همچنین گزینه توزیع یک مجموعه واحد از منابع در تمام بخش ها وجود دارد. به عبارت دیگر، هر بخش میتواند جمعآوران، همبستگان و قوانین خاص خود را داشته باشد، اما تیم امنیتی HQ همچنین میتواند بستههای استانداردی از محتوای امنیتی را برای همه تخصیص دهد - تضمین حفاظت مداوم در سراسر سازمان. بنابراین، استفاده از پلتفرم نظارت و تحلیل یکپارچه کسپرسکی عملکرد لازم را با منابع محاسباتی نسبتاً متوسط تضمین میکند. در برخی موارد، صرفه جویی در سخت افزار میتواند تا 50٪ برسد.
برای درک دقیقتر منابع مورد نیاز و هزینههای پیادهسازی، توصیه میکنیم با متخصصین یا شرکای ادغام خود صحبت کنید. ما (یا شرکای ما) همچنین میتوانیم پشتیبانی ممتازی ارائه دهیم، بر توسعه ادغامهای اضافی (از جمله استفاده از قابلیتهای API برای محصولات متصل) کمک کرده و بر استقرار راهحل کلید در دستی که طراحی سیستم، تخمین تجهیزات، بهینهسازی پیکربندی و موارد دیگر را پوشش میدهد، نظارت کنیم. در صفحه رسمی محصول درباره سیستم SIEM ما، پلتفرم مانیتورینگ و تحلیل یکپارچه کسپرسکی، بیشتر بیاموزید.
کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.