خیلی اوقات پیش میاد که برخی از دوستان به من میگن تو سازمانمون SOC داریم ! بعد از کمی صحبت کردن متوجه میشیم که خیر این دوستان SOC ندارند بلکه SIEM در سازمان دارند و تصورشون از مبحثی به نام SOC صرفا ابزار آلات هست و بس ... اما امروز در توسینسو میخایم در خصوص ماهیت و تفاوت بین دو مفهوم SOC و SIEM در حوزه امنیت اطلاعات صحبت کنیم و به صورت خلاصه و البته بسیار ساده در مورد ماهیت هر کدوم و جایی که استفاده میشن صحبت کنیم پس با ما باشید .
SOC در واقع یک سیستم هست اما نه به مفهوم سیستمی که کامپیوتری ها میشناسن ، سیستم به معنی سیستماتیکش ... یعنی مجموعه ای از اجزای مستقل که برای رسیدن به یک هدف مشترک در کنار هم جمع شده اند . بله درست متوجه شدید وقتی صحبت از مفهومی به نام Security Operations Center صحبت می کنیم که به فارسی مرکز عملیات امنیت ترجمه میشه ، در واقع ما داریم راجع به مجموعه ای از افراد ( مهندسین کامپیوتر و کارشناس های امنیت و ... ) ، مجموعه ای از فرآیند های سازمانی و ... ، مجموعه ای از تکنولوژی ها از جمله تکنولوژی های مانیتورینگ و نظارت و ... صحبت می کنیم که بصورت ویژه برای رسیدن به یک هدف مشترک یعنی تشخیص حملات یا تهدیدات شناخته شده و بعضا ناشناس در ساختار سازمانی شما طراحی شدند ، این سیستم شامل فرآیند های تحقیقاتی و پژوهش در حوزه امنیت هم میشه و صرفا یک سیستم فنی صرف نیست .
وقتی در مورد مفهومی به نام SIEM صحبت می کنیم داریم در مورد ابزار صحبت می کنیم . یعنی به زبان خیلی ساده هر SOC یک نرم افزار فوق تخصصی امنیت نیاز داره که بتونه خیلی از فرآیند های امنیتی رو براش انجام بده ، این ابزار که شامل تکنولوژی های مختلف امنیتی هست و مثل فایروال ( به زبان خیلی ساده ) یا سیستم های هوشمند امنیتی دیگه ( آنتی ویروس ها ، IDS ها و IPS ها و WAF ها و ... ) قابلیت نوشتن Rule یا قوانین مختلف و متنوع رو داره و این امکان رو به کارشناس امنیت یک سازمان میده که بتونه تهدیدات و خطراتی که سازمان رو تحت تاثیر ممکنه قرار بدند شناسایی کنن . پس تا اینجای کار واضح هست که وقتی میگیم SIEM در واقع ما داریم راجع به ابزاری که در SOC استفاده میشه که کارهای بیشتر فنی قضیه رو انجام بده صحبت می کنیم .
این SIEM هست که برای ما Log های سیستم رو جمع آوری و تحلیل می کنه ، این SIEM هست که رویدادهای سیستم ها رو به گزارش مدیر امنیت میرسونه تا بتونه تحلیلش کنه و ... برای مثال HP Arcsight یا OSSIM یا Splunk هر سه ابزار یا همون SIEM هستند . بنابراین به زبان ساده ساده ! هر موقع صحبت از ابزار شد SIEM داریم صحبت می کنیم و هر موقع صحبت از سیستم و فرآیند شد از SOC داریم صحبت می کنیم . امیدوارم مورد توجه شما قرار گرفته باشه ، اگر سوالی هست خوشحال میشم در ادامه همین مطلب عنوان کنید
بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات
محمد نصیری هستم ، بنیانگذار انجمن تخصصی فناوری اطلاعات ایران و مجموعه توسینسو ، هکر قانونمند و کارشناس امنیت سایبری ، سابقه همکاری با بیش از 80 سازمان دولتی ، خصوصی ، نظامی و انتظامی در قالب مشاور ، مدرس و مدیر و ناظر پروژه ، مدرس دوره های تخصص شبکه ، امنیت ، هک و نفوذ ، در حال حاضر در ایران دیگه رسما فعالیتی غیر از مشاوره انجام نمیدم ، عاشق آموزش و تدریس هستم و به همین دلیل دوره های آموزشی که ضبط می کنم در دنیا بی نظیر هستند.
زمان پاسخ گویی روز های شنبه الی چهارشنبه ساعت 9 الی 18
فقط به موضوعات مربوط به محصولات آموزشی و فروش پاسخ داده می شود