معرفی پروژه مهار© (SIEM)

امروزه بکارگیری مراکز داده برای مدیریت داده‌ها، خدمات و اتصال به اینترنت توسط شرکت‌ها و سازمان‌های مختلف در سراسر دنیا به یک نیاز اساسی تبدیل شده است. مدیریت رویدادهای امنیتی در چنین محیط‌های بزرگ و پیچیده‌ای یک مسأله اساسی برای کارشناسان امنیت است. اگرچه بکارگیری راهکارهای امنیتی نظیر استفاده از ضدبدافزارها، سامانه های احراز هویت، IDSها و IPSها، فایروال‌ها، و کنترل دسترسی تا حدی می‌تواند شبکه را از حالت انفعالی و بدون نظارت نجات داده و به تأمین امنیت آن کمک نماید. اما باید به این نکته مهم توجه نمود که بکارگیری این تجهیزات امنیتی، خود باعث تولید حجم عظیمی از رخدادهای امنیتی در قالب‌های متفاوت می‌شود. این حجم بالای داده‌های امنیتی تولید شده باعث سردرگمی و سلب امکان مدیریت و استفاده از آنها می‌شود. در نتیجه نیاز به راهکاری هوشمند پدیدار می شود که فراتر از فناوری‌های قدیمی امنیت مانند دیوار آتش، ضدبدافزار، تشخیص هجمه و امثال آنها عمل کند. راهکار مذکور با نام تجاری SIEM یا سامانه مدیریت رخدادهای امنیتی شناخته می شود. مهار نام پروژه طراحی و راه اندازی SIEM بومی شرکت فرازاندیشان سامانه گستر صبا می باشد که هدف آن ترکیب اطلاعات رخدادهای امنیتی و اجرای تحلیل‌های عميق‌تر و شناسایی حملات پیچیده امنیتی می باشد.

متدلوژی پیاده سازی مرکز عملیات امنیت
• شناخت شبکه سازمان، طراحی معماری منطقی و فیزیکی سیستم SIEM
• نصب و راه اندازی تجهیزات سخت افزاری و ذخیره سازها و پیکربندی آنها جهت ارسال لاگ به SIEM
• طراحی و بررسی عملکرد نرمالسازی لاگ های خام و ارسال ایمن به سرور همبسته ساز مرکزی
• توسعه قوانین همبسته سازی رخدادها در سیستم و به روز رسانی داشبوردهای سیستم
• شناسایی فرآیندهای مورد نیاز جهت گزارش دهی و تیکتینگ حوادث امنیتی شناسایی شده
• به روز رسانی ماژولها و پایگاه های دانش سامانه و پشتیبانی سیستم
• ارایه دوره های آموزشی تخصصی سامانه در سطح مدیران و کارشناسان سازمان

برخی از امکانات مهار ۱ (MAHAR ɱ¹)

• داشبورد پایش جهت نمایش بلادرنگ وضعیت امنیتی شبکه
• جمع‌آوری رخدادها و هشدارها از تجهیزات مختلف شبکه‌ای و حسگرهای امنیتی
• پشتیبانی از کلیه سیستم‌عامل‌های رایج مانند ویندوز ، لینوکس و …
• یکنواخت نمودن قالب تمامی گزارش‌ها، رخدادنماها و هشدارها و نرمال‌سازی معنایی
• پشتيباني از طيف وسيعي از منابع log از جمله تجهيزات بومي شرکت‌هاي داخلي
• امکان پیکربندی محصول از طریق واسط گرافیکی و واسط خط فرمان
• قابلیت جستجوی پیشرفته بر اساس پارامترهای زمان، آدرس مبدا، آدرس مقصد، پورت مبدا، پورت مقصد و محتوای بسته
• قابلیت محاسبه ریسک بر اساس پارامترها مختلف در لاگ ها و دارایی های سیستمی و شبکه¬ای
• مديريت رخدادها و حوادث
• وجود پایگاه دانش آسیب پذیری ها و بروز رسانی آن
• قابلیت اسکن و تحلیل پیشرفته وضعیت امنیت شبکه و برنامه های کاربردی تحت وب
• مدیریت گزارشات event ها منطبق با استانداردهاي PCI DSS و ISO 27001
• پیشتیبان گیری از رویدادها، لاگ های خام و تنظیمات
• قابلیت ارسال خودکار گزارشات از طریق ایمیل به مدیران
• مشاهده و تعریف لیست و جزئیات اطلاعات دارایی‌ها
• یکپارچه سازی با دیگر سیستمهای امنیتی سازمان
• امکان توسعه و شخصی سازی انواع Plugin توسط تیم پشتیبان

برخی از امکانات مهار ۲ (MAHAR ɱ²)

• ذخیره سازی لاگ ها بصورت مقیاس پذیر بر اساس تکنولوژی Big Data
• داشبورد پایش جهت نمایش بلادرنگ وضعیت امنیتی شبکه
• جمع‌آوری رخدادها و هشدارها از تجهیزات مختلف شبکه‌ای و حسگرهای امنیتی
• پشتیبانی از کلیه سیستم‌عامل‌های رایج مانند ویندوز ، لینوکس و …
• قابلیت توسعه و تعریف شخصی انواع دیتا سورس در سیستم
• تعریف دیتاسورسهای پیش فرض در سیستم به منظور پوشش فرمت های پرکاربرد سازمانی
• امکان اجرای فارنزیک بر روی لاگ خام ذخیره شده برای مدت تعیین شده از سوی کاربر
• توسعه انواع جستجوها بر اساس توابع پرکاربرد و Regex
• پشتیبانی از چندین الگوریتم همبسته سازی به منظور شناسایی انواع حملات
• پیاده سازی یادگیری ماشین با هدف هوشمند سازی تهدیدات
• تحلیل و بررسی NetFlow و ارایه گزارشات امنیتی
• پشتیبانی از مدیریت کاربران بصورت ایمن و ماژولار
• پشتیبانی از معماری سلسله مراتبی
• شخصی سازی انواع پارامترهای هشداردهی و زمانبندی آنها
• ارسال ایمیل، پیامک و اخطار پس از شناسایی هشدارها
• طراحی داشبوردهای پرکاربرد برای سازمانها و امکان شخصی سازی انواع داشبورد
• پشتیبانی از Multi-Threading در دریافت لاگ
• توسعه پنل تیکتینگ قابل شخصی سازی بر اساس فرآیندهای سازمانی
• به روز رسانی منابع اطلاعاتی تهدیدات و آسیب پذیری های امنیتی
• امکان یکپارچه سازی با دیگر سیستم های سازمانی
• مدیریت گزارشات event ها منطبق با استانداردهاي PCI DSS و ISO 27001
• توسعه پایگاه دانش تهدیدات و آسیب پذیری ها
• ارایه پنل مدیریت دارایی های سازمانی و شناسایی و ثبت دارایی های بصورت خودکار
• اسکن و بررسی آسیب پذیری های امنیتی توسط ابزارهای مطرح این حوزه
• پشتيباني مناسب اينترنتي، تلفني و حضوری

خدمات صبا سامانه در حوزه SOC

• طراحی و پیاده سازی سیستم مدیریت رخدادهای امنیتی مهار SIEM
• مشاوره، طراحی و استقرار فرآیندها، ابزار و ساختار سازمانی مرکز عملیات امنیت SOC
• شناسایی محصول مورد نیاز سازمان بر اساس قابلیتهای پروژه مهار
• برگزاری دوره آموزشی تخصصی در راستای پیاده سازی سیستم های SIEM
• ارایه خدمات مدیریت شده امنیتی (MSSP) به سازمانها با اتکا به SOC داخلی شرکت

ساختار منطقی مهار ۲

ماژول یادگیری ماشین در مهار ۲

مطابق با معماری ارایه شده در خصوص توسعه SIEM بومی مبتنی بر یادگیری ماشین، داده های متفاوت از تمامی کاربران یا عناصر شبکه شامل تجهیزات، سخت افزارها، پایگاه دانش، نرم افزارها، سیستم کاربران و غیره به عنوان داده ورودی به ماژول دریافت کننده لاگ سیستم ارسال می شود. این ماژول امکان پردازش اولیه داده، ایندکس متادیتای متفاوت و تشخیص ساختار داده را دارا می باشد. پس از ایجاد ساختار مناسب برای تمامی داده های دریافتی، داده های نرمال سازی شده به پلتفرم Big data ارسال خواهد شد که با توجه به معماری این ماژول امکان ذخیره سازی، جستجو و بررسی حجم بالای لاگ دریافتی را به سیستم خواهد داد که از مزیت های اصلی این سیستم در مقایسه با SIEM سنتی می باشد. از سوی دیگر داده خام دریافت شده توسط ماژول دریافت کننده لاگ، بصورت فایل در سیستم ذخیره می شود تا از طریق ماژول فارنزیک دردسترس قرار گیرد و برای موارد جرمیابی با استفاده از قابلیتهای مهر زمانی و گواهی دیجیتال در زمان مورد نیاز استفاده گردد.
دو ماژول یادگیری ماشین و همبسته ساز بصورت تعاملی به بررسی داده های ذخیره شده در پلتفرم Big Data خواهند پرداخت. ماژول یادگیری ماشین با توجه به الگوریتم های Unsupervised به شناسایی روند رفتاری موجودیت های تعریف شده می پردازد و در صورت شناسایی رفتار غیر نرمال بر اساس تاریخچه گذشته آن موجودیت، هشدار مربوطه را صادر خواهد نمود. همچنین ماژول همبسته ساز، به بررسی قوانین همبستگی ایجاد شده توسط ادمین سیستم بر روی داده های دریافتی خود می نماید و در صورت ایجاد شرایط هشدار، پیام متناسب به ماژول یادگیری ماشین نیز ارسال می گردد تا بهینه سازی صورت گیرد.
ادمین سیستم، با استفاده از پنل مدیریتی خود امکان تعریف فرمت جدید داده ورودی، تعیین سیاست های ذخیره سازی و پشتیبان گیری از سیستم، ایجاد قوانین جدید همبسته سازی، ارایه ورودی جدید یادگیری ماشین، ثبت فرآیند تیکت رخداد به منظور مدیریت و پیگیری حوادث امنیتی و همچنین ایجاد داشبوردهای جدید برای مانیتورینگ رویدادهای جدید را داراست.

مشتریان ما