50٪ تخفیف روی تمام دوره‌ها!
پایان تخفیف تا:
مشاهده دوره‌ها
  1. توسینسو
  2. سوالات
  3. هک و امنیت شبکه
  4. توضیح اصطلاحات موجود در SIEM
0

توضیح اصطلاحات موجود در SIEM

با سلام،

لطفا اصطلاحات و موارد زیر را که در مورد SIEM می باشد، توضیح دهید.

1- Correlation چیست و انواع آن چیست و هرکدام چه کاربردی دارد؟

2- Component های یک applience siem چه چیزهایی هستند و هرکدام چه کارایی دارند؟

3- compliance چیست؟

4- لایسنس شرکت های مختلفی که SIEM ارائه میدهند بر اساس کدام معیار هزینه لایسنس دریافت مینمایند؟

5- تفاوت پارامتر Analytics و Threat Intelligence چیست؟

با تشکر

پرسیده شده در 1394/06/30 توسط
آواتار سید محسن طباطبائی مهر

3 پاسخ

0

خیلی ممنون از پاسختون

لطفا در مورد دو گزینه مطرح شده زیر اگر با جزئیات بیشتر هم می توانید بیان بفرمایید...

1- Correlation چیست و انواع آن چیست و هرکدام چه کاربردی دارد؟

2- Component های یک applience siem چه چیزهایی هستند و هرکدام چه کارایی دارند؟

پاسخ در 1394/06/30 توسط
آواتار سید محسن طباطبائی مهر
4

دوست عزیز Correlation به معنا و مفهوم مرتبط سازی و ربط دهی لاگ های یکسان ولی با عناوین مختلف از دیوایس های مختلف شبکه شماست که همزمان لاگ ها رو به تجمیع کننده ارسال میکنند. یکی از مهمترین قابلیت ها و مزیت های این تجمیع کننده ها قابلیت Correlation در اونهاست که میتونه لاگ های یکسان از لحاظ فیلدهای مختلفی که دارند و از دیوایس های مختلف به تجمیع کننده میان رو در صورت وجود ارتباط بین اون ها بهم ربط بده. این لاگ های مختلف از لحظ نام و عنوان لاگ ممکنه بی ربط به نظر برسند چرا که هر دیوایسی با زبون خودش لاگ میندازه و فقط در صورت وجود قابلیت Correlation هست که میتونیم ارتباط بین این لاگ ها رو متوجه بشیم و در واقع تحلیل ترافیک کنیم.

2. در شکل زیر میتونی اجزای مختلف و کامپوننت های ArcSight رو ببینی. همونطور که میدونی، ArcSight یکی از قویترین SIEM های موجود و ارائه شده هستش و اگه شما از SIEM دیگه ای استفاده میکنید، به احتمال زیاد و در حالت کلی، اونهم باید دارای همین کامپوننت ها باشه:

دوست عزیز Correlation به معنا و مفهوم مرتبط سازی و ربط دهی لاگ های یکسان ولی با عناوین مختلف از دیوایس های مختلف شبکه شماست که همزمان لاگ ها رو به تجمیع کننده ارسال میکنند. یکی از مهمترین قابلیت ها و مزیت های این تجمیع کننده ها قابلیت Correlation در اونهاست که میتونه لاگ های یکسان از لحاظ فیلدهای مختلفی که دارند و از دیوایس های مختلف به تجمیع کننده میان رو در صورت وجود ارتباط بین اون ها بهم ربط بده. این لاگ های مختلف از لحظ نام و عنوان لاگ ممکنه بی ربط به نظر برسند چرا که هر دیوایسی با زبون خودش لاگ میندازه و فقط در صورت وجود قابلیت Correlation هست که میتونیم ارتباط بین این لاگ ها رو متوجه بشیم و در واقع تحلیل ترافیک کنیم. 2. در شکل زیر میتونی اجزای مختلف و کامپوننت های ArcSight رو ببینی. همونطور که میدونی، ArcSight یکی از قویترین SIEM های موجود و ارائه شده هستش و اگه شما از SIEM دیگه ای استفاده میکنید، به احتمال زیاد و در حالت کلی، اونهم باید دارای همین کامپوننت ها باشه: <center> ||http://security.tosinso.com/files/get/0ac53028-d25d-49d9-9630-287c03e53816|| <center> <center> ||http://security.tosinso.com/files/get/7cf73cc8-495d-4bdf-88d6-b2a669c6774a|| <center> 3. در مورد Compliance باید بگم که در حالت کلی مفهوم انطباق با خط مشی ها، قوانین و پالیسی های موجود در رابطه با اون کسب و کار رو میده. این خط مشی ها قانونی هستند و عدول از اون ها در صورت محرز شدن از طرف شرکت ارائه دهنده License عواقبی رو در بر داره. حالا بسته به این که Compliance چه عبارتی بیاد، همین مفهوم رو به اون عبارت میده. 4. *به نظر من* Threat Intelligence یک قابلیت و یا شاید راهکار در کشف حملات و تهدیداتی است که آشکار نیستند و توسط بررسی یک لاگ نمیشه اون ها رو به عنوان تهدید بحساب آورد. این تهدیدات فقط در صورت مرتبط سازی و پیگیری سلسله لاگ هایی میتونه صورت بگیره که تک تک اون ها بظاهر تهدیدی برای شبکه محسوب نمیشن ولی با ربط دادن این لاگ ها بهم یک حمله مخفیانه و یا تهدید نا آشکار رو میشه. اما باز هم به نظر من Analytics و قابلیت تحلیل و آنالیز یک مرتبه بالاتر از Threat Intelligence هستش که نهایتا توسط نتیجه این تحلیل میشه با قطعیت Threat Intelligence رو یک تهدید قطعی و واقعی دونست.

دوست عزیز Correlation به معنا و مفهوم مرتبط سازی و ربط دهی لاگ های یکسان ولی با عناوین مختلف از دیوایس های مختلف شبکه شماست که همزمان لاگ ها رو به تجمیع کننده ارسال میکنند. یکی از مهمترین قابلیت ها و مزیت های این تجمیع کننده ها قابلیت Correlation در اونهاست که میتونه لاگ های یکسان از لحاظ فیلدهای مختلفی که دارند و از دیوایس های مختلف به تجمیع کننده میان رو در صورت وجود ارتباط بین اون ها بهم ربط بده. این لاگ های مختلف از لحظ نام و عنوان لاگ ممکنه بی ربط به نظر برسند چرا که هر دیوایسی با زبون خودش لاگ میندازه و فقط در صورت وجود قابلیت Correlation هست که میتونیم ارتباط بین این لاگ ها رو متوجه بشیم و در واقع تحلیل ترافیک کنیم. 2. در شکل زیر میتونی اجزای مختلف و کامپوننت های ArcSight رو ببینی. همونطور که میدونی، ArcSight یکی از قویترین SIEM های موجود و ارائه شده هستش و اگه شما از SIEM دیگه ای استفاده میکنید، به احتمال زیاد و در حالت کلی، اونهم باید دارای همین کامپوننت ها باشه: <center> ||http://security.tosinso.com/files/get/0ac53028-d25d-49d9-9630-287c03e53816|| <center> <center> ||http://security.tosinso.com/files/get/7cf73cc8-495d-4bdf-88d6-b2a669c6774a|| <center> 3. در مورد Compliance باید بگم که در حالت کلی مفهوم انطباق با خط مشی ها، قوانین و پالیسی های موجود در رابطه با اون کسب و کار رو میده. این خط مشی ها قانونی هستند و عدول از اون ها در صورت محرز شدن از طرف شرکت ارائه دهنده License عواقبی رو در بر داره. حالا بسته به این که Compliance چه عبارتی بیاد، همین مفهوم رو به اون عبارت میده. 4. *به نظر من* Threat Intelligence یک قابلیت و یا شاید راهکار در کشف حملات و تهدیداتی است که آشکار نیستند و توسط بررسی یک لاگ نمیشه اون ها رو به عنوان تهدید بحساب آورد. این تهدیدات فقط در صورت مرتبط سازی و پیگیری سلسله لاگ هایی میتونه صورت بگیره که تک تک اون ها بظاهر تهدیدی برای شبکه محسوب نمیشن ولی با ربط دادن این لاگ ها بهم یک حمله مخفیانه و یا تهدید نا آشکار رو میشه. اما باز هم به نظر من Analytics و قابلیت تحلیل و آنالیز یک مرتبه بالاتر از Threat Intelligence هستش که نهایتا توسط نتیجه این تحلیل میشه با قطعیت Threat Intelligence رو یک تهدید قطعی و واقعی دونست.

3. در مورد Compliance باید بگم که در حالت کلی مفهوم انطباق با خط مشی ها، قوانین و پالیسی های موجود در رابطه با اون کسب و کار رو میده. این خط مشی ها قانونی هستند و عدول از اون ها در صورت محرز شدن از طرف شرکت ارائه دهنده License عواقبی رو در بر داره.

حالا بسته به این که Compliance چه عبارتی بیاد، همین مفهوم رو به اون عبارت میده.

4. به نظر من Threat Intelligence یک قابلیت و یا شاید راهکار در کشف حملات و تهدیداتی است که آشکار نیستند و توسط بررسی یک لاگ نمیشه اون ها رو به عنوان تهدید بحساب آورد. این تهدیدات فقط در صورت مرتبط سازی و پیگیری سلسله لاگ هایی میتونه صورت بگیره که تک تک اون ها بظاهر تهدیدی برای شبکه محسوب نمیشن ولی با ربط دادن این لاگ ها بهم یک حمله مخفیانه و یا تهدید نا آشکار رو میشه.

اما باز هم به نظر من Analytics و قابلیت تحلیل و آنالیز یک مرتبه بالاتر از Threat Intelligence هستش که نهایتا توسط نتیجه این تحلیل میشه با قطعیت Threat Intelligence رو یک تهدید قطعی و واقعی دونست.

پاسخ در 1394/06/30 توسط
آواتار احسان امجدی
1

بیشتر رخدادها و حوادثی که در شبکه شما اتفاق میوفته، با بیش از یک event از دیوایس های مختلف بیان و نمایش داده میشه. correlation فرآیندیه که ارتباط بین این event ها رو کشف، وجه اشتراک این event را یادداشت، اون ها رو اولویت بندی و نهایتا یک چارچوب رو برای عمل انجام شده در نظر میگیره.

برای مثال سیستم های مختلف در یک شبکه ممکنه event های زیر درباره یک رخداد مشترک با عناوین زیر بیان کنند که در واقع علیرغم عناوین مختلف همه به یک event اشاره میکنند و این وظیفه correlation هستش که بفهمه این سه رخداد در واقع یکی هستند و بهم ربطشون بده.

  • در سیستم عامل یونیکس: multiple failed log-ins
  • IDS: attempted brute force attack
  • در سیستم عامل ویندوز: multiple failed log-ins

correlation با در کنار هم قرار دادن این سه event و شناسایی 5 یا بیشتر از 5 لاگین ناموفق در یک دقیقه از یک سورس واحد، به این نتیجه میرسد که در شبکه تلاشی برای حمله brute force صورت گرفته.

پاسخ در 1394/06/31 توسط
آواتار احسان امجدی

پاسخ شما