⚙️📌 نظام إدارة المعلومات الأمنية والحوادث SIEM
❇️ الجزء الأول : تعريف SIEM أجزائه ووظائفه.
✅️ ما هو نظام إدارة المعلومات الأمنية والحوادث SIEM؟ وما هي استخداماته؟
🔺️يرمز SIEM إلى تكنولوجيا لحلول أمن المعلومات وإدارة الأحداث ويتكون من جزأين ، إدارة أمن المعلومات (SIM) وإدارة الأحداث (SEM).
🔺️التطبيق الأول والأكثر أساسية لأي SIEM هو جمع جميع إشعارات الأمان Notification مختلف تقنيات الأمان المستخدمة في المؤسسات ، مثل جدران الحماية وأنظمة IDS / IPS وبرامج مكافحة الفيروسات وما إلى ذلك.
🔺️الاستخدام الرئيسي الثاني لـ SIEM هو توفير التسجيل loging وتشكيل تقارير أمنية لأغراض تكيفية.
🔺️لكل شرط امتثال تقريبا ، هناك متطلبات لتسجيل وصول المستخدم ، وتتبع تغييرات النظام ، ومراقبة الالتزام بالسياسات التنظيمية.
🔺️يمكن أن يجعل SIEM هذه المهام أسهل بكثير ، ويقوم بذلك عن طريق جمع البيانات من أنظمتك. عندما يحين وقت التدقيق أو الاختبار ، يمكنك بسهولة إنشاء تقارير جميع التوافق الصحيحة وإرسالها إلى الأشخاص المناسبين. بالطبع ، لكي يكون SIEM الخاص بك فعالاً ، يجب أن يحتوي على تقارير مضمنة ووظيفة قابلة للتكيف.
🔺️التطبيق الثالث لـ SIEM ، وهو أحد أهم تطبيقاته ، الارتباط المتبادل والتحليل الآلي لجميع سجلات الأحداث الأولية عبر شبكتك أو ما يعرف ب Cross-Correlation
⚙️🔰 نظام إدارة المعلومات الأمنية والحوادث SIEM.
✅️ الجزء الثاني : طريقة عمل وقدرات SIEM .
📌المرحلة الأولى : مرحلة تجميع السجلات والأحداث (Event & Log Collection)
📌المرحلة الثانية : مرحلة تصنيف السجلات والأحداث (Normalization)
📌المرحلة الثالثة : مرحلة تحليل السجلات والأحداث (Analysis)
📌المرحلة الرابعة : مرحلة الترابط (Correlation)
📌المرحلة الخامسة : التقارير (Reporting)
❇️ بأذن الله بيكون في شرح مفصل عن هذي المراحل في الجزء الثالث. 🤩
❇️ قدرات ومزايا الـ SIEM :
👈 تجميع البيانات Data aggregation :
وهي القدرة على إدارة البيانات المجمعة من الأجهزة و الخوادم و قواعد البيانات والتطبيقات و الأنظمة المختلفة لمساعدة الفريق الأمني المختص في الشركة على توحيد تلك البيانات من أجل تحليلها فيما بعد.
👈 الارتباط Correlation :
وهي القدرة على ربط الأحداث المجمعة واستنباط السمات المشتركة فيما بينها وتحويلها الى معلومات مفيدة بعد معالجتها لتسهل فهم علاقة البيانات المتدفقة وتحديد الخرق الأمني.
👈 التنبيه Alerting :
القدرة على إرسال التنبيهات بعد كل حدث يحدث في مركز العمليات الأمنية من أجل تحليله لإعلام الفريق الامني بالنتائج.
👈 لوحة Dashboards :
وهي القدرة على تحويل البيانات التي تم تجميعها وتحليلها لمخططات مرئية مفهومة لتعطي الفريق الامني القدرة على رؤية الأحداث والأنماط وتحديد الأحداث المشبوهة بشكل سريع ومن ثم تقديم تقرير للمسؤول بشكل سلس وبسيط.
👈 الامتثال Compliance :
وهي القدرة على تجميع البيانات وإنتاج التقارير بشكل أوتوماتيكي ليتم استخدامها كمراجع الامتثال للتأكد من أن الجهة تطبق سياسات الحوكمة والامتثال الأمنية وأيضاً من أجل الإستفادة من الدروس والعبر من التعامل مع خروقات وهجمات كانت قد حدثت بالسابق للمؤسسة.
👈 الاحتفاظ Retention :
القدرة على تخزين البيانات والسجلات على مدى طويل من أجل عمليات التحقيق في المستقبل في حال كان هناك خرق أمني أو هجوم سيبراني.
#الأمن_السيبراني #أمن_المعلومات #Microsoft
تعليقات
إرسال تعليق