سیستم مدیریت اطلاعات و رویدادهای امنیتی

از ویکی‌پدیا، دانشنامهٔ آزاد

سیستم مدیریت اطلاعات و رویدادهای امنیتی (انگلیسی: Security information and event management) یا (SIEM) زیرمجموعه‌ای از امنیت رایانه است. در این سیستم این امکان فراهم می‌شود که برای برنامه‌ها و شبکه مورد استفاده هشدارهای خطر امنیتی به‌طور بی‌درنگ فراهم شود. [۱] فروشندگان محصولات امنیتی، سامانه مدیریت اطلاعات و رویدادهای امنیتی را به صورت نرم‌افزار یا برنامه‌های کاربردی یا سرویس‌ها به فروش می‌رسانند. این سامانه برای گزارش‌گیری و ثبت رویدادها و اطلاعات امنیتی نیز استفاده می‌شود.[۲]

اولین بار این اصطلاح توسط مارک نیکولت و امریت ویلیامز استفاده شد.[۳]

نمای کلی[ویرایش]

سامانه مدیریت اطلاعات و رویدادهای امنیتی به‌طور جزیی شامل موارد و تعاریف زیر می‌شود[۴]:

  • مدیریت ورود به سیستم: تمرکز بر جمع‌آوری و ذخیره‌سازی پیام‌های ورود به سیستم و مسیرهای ورود به سیستم
  • مدیریت اطلاعات امنیتی: ذخیره‌سازی بلند مدت و همچنین ذخیره‌سازی اطلاعات گزارش‌گیری
  • مدیریت رویداد امنیتی: نظارت بی‌درنگ، همبستگی و ارتباط بین وقایع
  • سامانه مدیریت اطلاعات و رویدادهای امنیتی: ترکیبی از دو مورد بالا است و به صورت بی‌درنگ هشدارهای امنیتی که در سطح برنامه‌ها و نرم‌افزار و شبکه وجود دارد را تحلیل می‌کند.
  • سرویس امنیت مدیریت شده: یک تعادلی برقرار می‌کند بین پهنای باند و اتصال شبکه، نظارت بر شبکه، امنیت، مجازی سازی و بازسازی در اتفاقات ناگوار.

قابلیت‌ها[ویرایش]

  • تجمیع داده‌ها: در این سامانه بخشی به نام مدیریت ورود به سیستم وجود دارد که داده‌ها را از منابع مختلف از جمله شبکه، امنیت، سرورها، پایگاه داده‌ها، نرم‌افزارها جمع‌آوری می‌کند و همچنین قابلیت تلفیق داده‌های نظارت شده را فراهم می‌کند تا راحت تر بتوان تمام ارتباطات به گزارش‌گیری‌ها را مشاهده نمود.
  • همبستگی: سامانه به دنبال ویژگی‌های مشترک می‌گردد و سعی می‌کند رویدادهای مختلف را از طرق معنی‌داری با هم مرتبط کند. این فناوری توانایی انجام انواع تکنیک‌های همبستگی را برای ادغام منابع مختلف برای تبدیل داده‌ها خام به اطلاعات را ایجاد می‌کند.
  • هشدار: تجزیه و تحلیل خودکار وقایع مرتبط
  • داشبورد: ابزارهایی فراهم شده‌اند که می‌توانند داده‌ها را دریافت کند و آن‌ها را به نمودارهای اطلاعاتی تبدیل کند تا به سهولت بتوان الگوها و فعالیت‌ها را تماشا کرد و تشخیص داد.
  • انطباق: از برنامه‌های کاربردی فراهم شده می‌توان برای جمع‌آوری داده‌های انطباق به صورت خودکار استفاده کرد و گزارش‌هایی تهیه کرد که برای فرایندهای خط مشی سازمان به کار رود.
  • نگهداری: از ذخیره‌سازی بلندمدت داده می‌توان استفاده کرد تا بتوان به مدت طولانی رویدادها و گزارش‌ها را بررسی کرد و همبستگی داده را بعدها مورد تحلیل قرار داد.
  • تحقیقات قانونی: توانایی جستجو در میان گزارش‌ها در فاصله زمانی‌های مختلف. این ابزارها کمک می‌کند تا جستجو در میان انبوهی از داده‌های اطلاعاتی و گزارش‌گیری ساده‌تر شود[۵].

منابع[ویرایش]

  1. «Security information and event management». Wikipedia.
  2. «اسلاید درس امنیت داده و شبکه دانشگاه صنعتی شریف» (PDF). ۱۳۹۹. بایگانی‌شده از اصلی (PDF) در ۸ آوریل ۲۰۲۲. دریافت‌شده در ۲۹ ژانویه ۲۰۲۱.
  3. Williams, Amrit. «Security information and event management (SIEM)».
  4. Swift، John (۲۶ دسامبر ۲۰۰۶). A Practical Application of SIM/SEM/SIEM, Automating Threat Identification. SANS Institute.
  5. «Compliance Management and Compliance Automation – How and How Efficient». accelops.net. بایگانی‌شده از اصلی در ۲۳ ژوئیه ۲۰۱۱. دریافت‌شده در ۲۹ ژانویه ۲۰۲۱.