מערכת SIEM עומדת לראשי תיבות של Security Information and Event Management ומדובר במערכת סייבר שיודעת לקבץ ולאחד מידע (לוגים) מכל מיני מערכות הקיימות בארגון (מערכות אבטחה, רכיבי רשת, מחשבי קצה) ומנתחת את המידע הזה לפי תנאים המוגדרים מראש (חוקים) על מנת לזהות התנהגות חשודה המעידה על מתקפות פוטנציאליות או על אנומאליה מכל סוג.
פתרון SIEM מספק מקום מרכזי שבו נוכל לראות אירועים והתראות וכמובן מספק נראות על שלמות הרשת הארגונית ומצבה.
מערכת SIEM תאסוף לוגים מהמערכות השונות (מכשירי רשת, שרתים, דומיין וכמובן כל סוג של מערכת אבטחה שנחבר אליה), היא תנרמל את אותם האירועים שיגיעו ותקבץ את כל המידע שהתקבל.
המערכת תדע לנתח את המידע הזה על מנת לגלות איומים פוטנציאליים ולאתר במדויק פרצות אבטחה, ועל מנת לאפשר לארגונים לחקור אותם וליצור מיטיגציות ודרכי פעולה לתרחישים שונים, בהתאם למודל הסיכון והאיומים של אותה החברה.
מערכת הסייבר SIEM, מספקת שתי יכולות מרכזיות לצוותי התגובה בארגון:
דוחות מפורטים ופורנזיקה על אירועי אבטחה.
התראות מבוססות אנליטיקה שיתאימו לסט חוקים מסוים, שנבנה מראש באופן מותאם לצרכי הארגון והאיומים המרחפים מעליו.
בקצה – מדובר במערכת שמקבצת דיווחים (לוגים) מכל מיני מכשירים שונים ברחבי הרשת, מחפשת בהם לפי חוקים המוגדרים מראש ועוזרת לצוותי הסייבר (אנליסטים) ליצור תמונת מצב מלאה.
אפשר להתקין את מערכת SIEM במכונה וירטואלית, בשרת אמיתי במתחם הארגון (On Prem) או בשרת ענני.
ישנם ספקי SIEM שונים וכולם מוכרים מאוד בתעשייה העולמית ועומדים כחוד החנית הטכנולוגית.
הספקים המוכרים והגדולים ביותר הם :
מערכת Sentinel מבית Microsoft
מערכת Splunk
מערכת Qradar מבית IBM
ארכיטקטורת SIEM
מעבר לניתוח לוגים וקורלציה בין נתונים שונים שאפשר לעשות במערכת, ניתן להשתמש בפיצ’רים נוספים שיתנו אינדיקציות נוספות (למשל במערכת Qradar נוכל להשתמש באפליקציות כמו :
Qradar Risk Manager
Vulnerability Manager
Incident Forensics
השימושים ב QRADAR יכולים להיות למטרות שונות:
Log Management – איסוף לוגים של אירועי רשת על מנת לבצע חקירה פורנזית בשלב מאוחר יותר במידה ויש צורך בכזו.
Regulation Compliance – לחלק מהחברות יש צורך בעמידה ברגולציה שונה (במיוחד חברות ביטוח, חברות ממשלתיות או בנקים).
מטעם עמידה ברגולציה של שמירת לוגים לטווח זמנים מסוים לפי הגדרת התקן או למטרת איסוף מידע בשביל לייצר דוחות קבועים למטרות מעקב וביצוע Audit פנימי או חיצוני.
Internal Monitoring – איסוף, ניתוח וביצוע קורלציה על מידע שנאסף למטרת חשיפת אירועי אבטחה בסביבת הרשת הארגונית.
Breach Detection – ניתוח מידע על מנת לזהות בעיות אבטחה שיכולות להוביל לנזק ארגוני ופגיעה בנכסי החברה.
ישנן צורות שונות ומגוונות של ארכיטקטורות SIEM וכל ארגון בונה את הסביבה שלו בהתאם לצרכיו האישיים.
האפשרויות הן :
Mssp – בעוד ש SIEM הוא מוצר, MSSP הוא שירות מנוהל, משמע שכל ארגון יצטרך לבחור אם הוא לוקח פתרון SIEM שישב בבית (פיזית בחברה) או שירות SIEM מנוהל שתאורטית יכול לשבת במקום אחר ולהיות מנוהל ע”י ספק חיצוני.
במצב כזה, שעדיף לרוב הארגונים, נותן השירות גם מתחייב לספק את האנליסטים שינתחו את המידע ויגיבו לאיומים הצפויים, ינטרו את הרשת הארגונית של הלקוח ויספקו המלצות מבוססות מחקר.
On Premise – לארגונים הבוחרים בפתרון הזה, יש שליטה מלאה על המידע שלהם מאחר וכולו מאוחסן בחברה (השרת פיזית נמצא בשטחי החברה והם דואגים לו, לכל המשתמע מכך).
פתרון ענן הוא לא On Prem מאחר והמידע “יוצא החוצה” מהידיים של החברה ומגיע אל ספק הענן, הוא נמצא מחוץ לשרת ה SIEM של החברה.
High Availability – מדובר במצב המתאר “הכנה לנפילה”.
מדובר באחזקה של שרת SIEM מרכזי שאחראי לתפעול המערכת ושרת שני לו שיתפקד בתור גיבוי למקרה חירום.
אם משהו קורה לשרת הראשי מסיבה מסוימת (כשל, מתקפה…), המערכת השניה תזהה מיד את הסיטואציה ו “תחליף” את אותו השרת שכשל בשביל למנוע איבוד מידע ואיבוד עיניים על הארגון.
על מנת לחבר מערכת כלשהי שתוכל לדווח ל SIEM עצמו (כמו למשל Firewall, Waf או NAC), ישנם פרוטוקולים שונים שיודעים לעבוד עם המוצרים השונים ובכך ליצור הסכמה על דרך העברה משותפת לאותם רכיבים.
נתאר חלק מהפרוטוקולים:
Syslog – הפרוטוקול הכי מוכר שנמצא הכי הרבה בשימוש למטרת חיבור רכיבים למערכת ה SIEM.
הוא נועד לדיאגנוסטיקה וניטור של מידע שמגיע מהמערכות השונות אל שרת מסוים (אחד משרתי ה SIEM) שמאזין בפורט 514 ב UDP לאותה כתובת השרת השולח.
הבעיה ב Syslog הוא שצורת השילוח היא UDP, משמע המידע לא מוצפן.
MSRPC – מדובר בפרוטוקול אקטיבי שיודע לאסוף לוגים של מערכות Windows בצורה מוצפנת מבלי הצורך בהתקנת Agent על השרת עצמו.
API – מדובר במעין גישה או דרך לקבל מידע שאתר או שירות מסוים מחזיקים.
מי שמספק את ה API הוא מי שמחזיק באותו המידע ומעוניין לשתף אותו עם אחרים, ומי שמשתמש ב API הוא מי שירצה שרוצה לקבל את אותו המידע בצד השני.
Wincollect – מדובר בתוכנת קצה מבית Microsoft שנועדה לשמש כ Event Forwarder מתחנות Windows שונות (עמדות קצה, שרתים) לשרתי מערכת ה
הפרוטוקול מאפשר איסוף לוגים ממערכת לוקאלית או להיות מקונפג בשביל לאסוף לוגים ממערכת מרוחקת.
Syslog TLS – הוא הפתרון האבטחתי לבעיית ההצפנה שיש ב Syslog הרגיל.
מדובר בהכלאה בין Syslog רגיל לבין פרוטוקול SSH על מנת לייצר שכבת הצפנה שתגן על המידע בתווך.
הפרוטוקול מתאר גישה פסיבית מצד השרת המאזין (אחד משרתי ה SIEM) שמחכה לקבל תקשורת מצד השרת השולח (כל מערכת שנרצה לחבר ולהעביר ממנה אירועים תחת Syslog TLS).
כתב – שי ממן
מקור : SEE SECURITY