This is the Trace Id: 6b0bad18e6ddc1510ea432be7d05091f
تخطي إلى المحتوى الرئيسي
الأمان من Microsoft

ما المقصود بإدارة معلومات الأمان والأحداث (SIEM)؟

تعرف على كيفية دعم حلول معلومات الأمان وإدارة الأحداث (SIEM) للحماية من المخاطر للمؤسسات.
اكتشاف Microsoft Sentinel

مقدمة حول SIEM


يعد حل إدارة المعلومات الأمنية والأحداث (SIEM) أحد المكونات الأساسية للأمان عبر الانترنت الفعال. تقوم هذه الأنواع من الحلول بجمع وتجميع وتحليل كميات كبيرة من البيانات من التطبيقات والأجهزة والخوادم والمستخدمين على مستوى المؤسسة في الوقت الحقيقي. من خلال دمج هذه المجموعة الضخمة من البيانات في نظام أساسي واحد وموحد، توفر حلول SIEM عرضا شاملا لوضع أمان المؤسسة، وتمكين مراكز عمليات الأمان (SOC) لاكتشاف أحداث الأمان والتحقيق فيها والاستجابة لها بسرعة وفعالية. يمكن أن تساعد حلول SIEM المؤسسات من جميع الأحجام:
 
  • احصل على رؤية في وضع الأمان من خلال إضفاء الطابع المركزي على البيانات وتحليلها من مصادر متباينة.
  • الكشف عن الخروقات الأمنية المحتملة والتهديدات وتحديدها في الوقت الحقيقي، مما يقلل من خطر الاختراق.
  • التحقيق في أحداث الأمان وفرزها بكفاءة، مما يقلل الوقت والموارد المطلوبة للحل.
  • امتثل لمعايير الأمان وإطارات العمل التنظيمية والمحددة بالصناعة.
 

الاستنتاجات الرئيسية

  • تحسن حلول SIEM الكشف عن المخاطر والاستجابة للحوادث من خلال تجميع البيانات وتحليلها من مصادر مختلفة.
  • تساعد الرؤية المركزية وإدارة التوافق فرق الأمان على حماية مؤسستهم من الهجمات المتزايدة.
  • المكونات الأساسية لحل SIEM هي إدارة السجلات وارتباط الحدث والمراقبة المستمرة والاستجابة للحوادث.
  • مع مرور الوقت، تضمنت حلول SIEM الذكاء الاصطناعي والأتمتة لتحسين كفاءة فريق الأمان وفعاليته.
  • يمكن أيضا تكامل حلول SIEM مع أدوات أخرى، مثل الكشف الموسع والاستجابة.

تاريخ SIEM وتطويره

مع نمو الشبكات في التسعينات والمزيد من الشركات المتصلة بالإنترنت، أصبحت جدر الحماية أقل فعالية في اكتشاف التهديدات وحظرها. يحتاج محترفو الأمان إلى طريقة أفضل لجمع التنبيهات وربطها وتحديد أولوياتها من أنظمة مختلفة عبر الشبكة. لمعالجة هذه الحاجة، جمع موردو الأمان إدارة معلومات الأمان (SIM) وإدارة أحداث الأمان (SEM) لإنشاء حلول SIEM.
الأيام الأولى من SIEM
ظهرت التكرارات المبكرة لحلول SIEM في بداية الألفينات، مع التركيز بشكل أساسي على إدارة السجلات وإعداد تقارير التوافق. قامت هذه الحلول بتركز التنبيهات من خلال الشبكة، مما يوفر الوقت القيم ل SOCs، ولكن للأسف، لم تكن قابلة للتوسعة. تعتمد فرق الأمان بشكل كبير على العمليات اليدوية، مما يجعل من الصعب ربط البيانات بشكل فعال.

التطور والتطورات
مع تحول المخاطر عبر الإنترنت إلى أكثر تعقيدا، تم تطوير حلول SIEM لتتضمن المراقبة في الوقت الحقيقي والتحليلات المتقدمة وإمكانيات التعلم الآلي. سمحت هذه الوردية للمؤسسات بالكشف عن الحالات غير الطبيعية والاستجابة للتهديدات بشكل أسرع من أي وقت مضى.

الحالة الحالية لتكنولوجيا SIEM
اليوم، تتضمن حلول SIEM  الذكاء الاصطناعي الأمان عبر الإنترنت والتعلم الآلي لتحسين إمكاناتها التحليلية. لا توفر الأنظمة الأساسية الحديثة ل SIEM مراقبة الأمان فحسب، بل تتكامل أيضا مع حلول تنسيق الأمان والأتمتة والاستجابة (SOAR) لمساعدة الفرق على تنفيذ مهام معينة تلقائيا وتنسيق استجابتها للحوادث.

المكونات الأساسية لـ SIEM

يتم إنشاء حل SIEM فعال على العديد من المكونات الأساسية التي تعمل معا لتوفير مراقبة أمان شاملة.

إدارة السجل
تقوم أنظمة SIEM بجمع السجلات وتحليلها من جميع أنحاء المؤسسة، بما في ذلك الخوادم وأجهزة الشبكة وجدار الحماية وحلول الأمان الأخرى وتطبيقات السحابة. الهدف من جمع البيانات هذا هو الكشف عن حالات خارجة عن المألوف تشير إلى وجود تهديد محتمل. تقوم العديد من حلول SIEM أيضا موجز المعلومات الذكية للمخاطر، مما يسمح لفرق الأمان بتحديد المخاطر الإلكترونية الناشئة وحظرها.

ربط الأحداث ببعضها
حلول SIEM فعالة لأنها تجمع البيانات من أنظمة متعددة عبر مؤسسة. فهي تحلل تلك البيانات وتبحث عن أنماط عبر كيانات مختلفة. على سبيل المثال، إذا كان هناك دليل على وجود حساب مخترق وكذلك حركة مرور غير معتادة على الشبكة، فقد تحدد SIEM أن هذين الحدثين مرتبطان وأنشئ تنبيها لفرق الأمان لإجراء مزيد من التحقيق. يساعد ارتباط الحدث في اكتشاف النشاط الذي يبدو غير ضار من تلقاء نفسه، ولكن عند دمجه مع نشاط آخر، يمكن أن يكون مؤشرا للاختراق.

الاستجابة والمراقبة للحوادث
للكشف عن التهديدات مبكرا وتقليل التلف، تراقب حلول SIEM الأنظمة الرقمية والأنظمة المحلية بشكل مستمر. يتم عرض التحليل في لوحة معلومات مركزية، وسيقوم حل SIEM أيضا بإرسال تنبيهات إلى محللي الأمان استنادا إلى قواعد معرفة مسبقاً.

تتضمن العديد من حلول SIEM أيضا قدرات الاستجابة التلقائية. في بعض الحالات، يمكن لـ SIEM اتخاذ إجراء تلقائيا استنادا إلى القواعد المعرفة بواسطة SOC. على سبيل المثال، إذا اكتشف حل SIEM محتمل البرامج الضارة، فقد يستغرق الأمر خطوات لعزل النظام المصاب استنادا إلى القواعد المعرفة مسبقا. يساعد التنفيذ التلقائي في تسريع الاستجابة ويحرر محللي الأمان للتركيز على المهام والمشكلات الأكثر تعقيدا.

كيفية عمل SIEM

مفتاح نظام SIEM الفعال هو البيانات. تجمع حلول SIEM باستمرار البيانات من مصادر مختلفة، بما في ذلك جدر الحماية وتطبيقات السحابة وأنظمة الأمان ونقاط النهاية. بعد ذلك، تتم تسوية البيانات المجمعة إلى تنسيقات قياسية ويتم تحليلها لاستخراج المعلومات ذات الصلة. باستخدام الخوارزميات وقواعد الارتباط، يمكن لـ SIEM تحديد الأنماط والأشياء غير الطبيعية في البيانات التي تمت تسويتها والتهديدات المحتملة على السطح. تساعد لوحة المعلومات المركزية والتنبيهات محللي الأمان على تحديد الأحداث التي تتطلب مزيدا من التحقيق.
المزايا

فوائد SIEM

توفر أدوات SIEM العديد من المزايا التي يمكن أن تساعد في تعزيز وضع الأمان العام للمؤسسة.

رؤية موسعة

مع وجود أشخاص يعملون من أي مكان وبنية تكنولوجيا المعلومات الأساسية تنتشر عبر سحب متعددة، يوجد الآن العديد من الداخلات الأخرى لممثل سيء لمهاجمة مؤسسة. لحماية شركاتهم، يحتاج محترفو الأمان إلى مراقبة جميع متجهات الهجوم المحتملة هذه، وهو ما يتعذر القيام به يدويا تقريبا. تعمل SIEM على تبسيط هذا من خلال إحضار البيانات ونتائج التحليلات من جميع أنحاء المؤسسة إلى مدخل واحد.

الكشف المحسن عن التهديدات

نظرا لأن عناصر المخاطر غالبا ما تنتقل عبر التطبيقات والأجهزة والمستخدمين، فقد يكون من الصعب اكتشافها. تساعد حلول SIEM في الكشف عن مهاجمي التخفي هؤلاء من خلال تجميع البيانات وتحليلها وربطها من خلال البيئة بأكملها. يساعد ذلك أدوات SOC على التعرف بسرعة على التهديدات متعددة المجالات والاستجابة لها.

تحسين كفاءة SOC

يقلل حل SIEM إلى حد كبير من كمية العمل اليدوي في SOC الحديث. تساعد لوحات المعلومات المركزية وارتباط الأحداث الفرق على تحديد الأحداث الخطيرة بسرعة. تسهل التقارير تكامل SOAR التواصل بين أعضاء فريق الأمان، مما يسمح لهم بالعمل معا بفعالية للاستجابة للتهديدات.

عمليات الاستقصاء المركزية

من خلال توحيد ملفات السجلات وبيانات الأمان الأخرى، توفر SIEM موقعا واحدا لمحللي الأمان لإجراء عمليات تحقيق في الأحداث المحتملة. يمكنهم إعادة إنشاء أحداث سابقة والتعمق في أحداث جديدة باستخدام التحليل من جميع أنحاء المؤسسة.

استجابة فعالة

يسهل التعاون الفعال والتحقيقات الشاملة على فرق الأمان الاستجابة السريعة لحوادث الأمان. توفر العديد من حلول SIEM أيضا الأتمتة التي تعمل الذكاء الاصطناعي والتي يمكنها معالجة أنواع معينة من الأحداث بسرعة، مما يسمح للبشرية بالتركيز على المشاكل الأكثر تعقيدا.

دعم التوافق التنظيمي

باستخدام إمكانات التدقيق وإعداد التقارير في الوقت الحقيقي، يوفر حل SIEM للمؤسسات الأدوات اللازمة لتلبية متطلبات التوافق التنظيمي، مما يقلل من مخاطر الجزاء والإضرار بالسمعة مع العملاء والمجتمع.

مفاتيح لتطبيقات SIEM الناجحة

للحصول على أقصى استفادة من حل SIEM، من المهم التخطيط لتنفيذك بعناية.

 
  1. حدد بوضوح ما تريد تحقيقه باستخدام SIEM، مثل إعداد تقارير التوافق أو الكشف عن المخاطر أو الاستجابة للحوادث وتطوير حالات استخدام معينة مخصصة لاحتياجات مؤسستك.
  2. قم بتقييم حلول SIEM المختلفة استنادا إلى متطلباتك وقابلية التوسع والموازنة ومدى تكاملها مع الأدوات والتقنيات الموجودة.
  3. تحديد مصادر البيانات وتحديد أولوياتها لتغذية SIEM وإعداد الأذونات اللازمة لمصادر البيانات هذه. من الأفضل البدء بجمع البيانات على نطاق واسع وتحسينها تدريجيا استنادا إلى ما هو أكثر ملاءمة.
  4. توحيد تنسيقات البيانات من مصادر مختلفة لتسهيل تحليلها.
  5. إنشاء نهج استبقاء السجل والأمان استنادا إلى المتطلبات التنظيمية وحاجات المؤسسة.
  6. تطوير مهام سير عمل واضحة للكشف عن الحوادث وتحليلها والاستجابة لها.
  7. حدد الإجراءات التي تريد تنفيذها تلقائيا وحدد قواعد وخطوات واضحة.
  8. توفير تدريب مستمر للموظفين حول كيفية استخدام حل SIEM بفعالية وفهم مخرجاته.
  9. مراجعة القواعد والتنبيهات ولوحات المعلومات وضبطها بشكل منتظم استنادا إلى التهديدات المتطورة والتغييرات المؤسسية.
 

حالات استخدام SIEM

تستخدم فرق الأمان حلول SIEM لمجموعة كبيرة من التطبيقات.

الكشف عن المخاطر والاستجابة لها
حالة الاستخدام الأكثر شيوعا لحل SIEM هي الكشف عن المخاطر والاستجابة لها. يمكن أن يساعد SIEM فريق الأمان في الكشف عن بعض التهديدات الأكثر تعقيدا والاستجابة لها، مثل التهديدات الداخليةوالتهديدات الثابتة المتقدمة والهجمات متعددة المجالات.

إدارة التوافق
غالبا ما تستخدم SOCs حلاً لـ SIEM لمساعدتها على البقاء متوافقة مع اللوائح الإقليمية مثل قانون نقل التأمين الصحي ومسؤوليتها (HIPAA) في الولايات المتحدة القانون العام لحماية البيانات (GDPR) في الاتحاد الأوروبي. نظرا لأن نظام SIEM يجمع البيانات تلقائيا من جميع أنحاء المؤسسة، فقد يساعد الفرق في تحديد المشاكل بسرعة. كما يمكنهم أيضا استخدام SIEM لإنشاء تقارير التوافق المصممة وفقا للوائح معينة.

محللو الطب الشرعي
للاستجابة الفعالة لحادث أمني، تحتاج SOCs إلى فهم النطاق الكامل للهجوم، بما في ذلك الأسباب والأساليب. يوفر حل SIEM إعداد التقارير والتحليل لمساعدة الفرق على تحديد مسار الهجوم وتحديد جميع الأصول المتأثرة.

حلول SIEM

عند اختيار حل SIEM، من المهم مراعاة إمكانية التوسع وسهولة الاستخدام وإمكانيات التكامل. تتضمن العديد من حلول SIEM، مثل Microsoft Sentinel، موصلات بيانات مضمنة، حتى تتمكن المؤسسات من تكاملها مع تطبيقاتها وخدماتها الحالية. يتم أيضا تضمين Microsoft Sentinel في نظام SecOps الأساسي الموحد الذي يجمع بين XDR. إمكانات SOAR وSIEM.
الموارد 

تعرّف على المزيد عن الأمان من Microsoft

  1.
صورة لسيدة تشير إلى كمبيوتر محمول.
الحل

النظام الأساسي لعمليات الأمان (SecOps) الموحد

تمتع برؤية وتمكّن من تعطيل الهجمات عبر بيئتك متعددة الأنظمة الأساسية ومتعددة السحابة مع نظام أساسي موحد لعمليات الأمان.
تعرّف على المزيد
صورة لسيدة تشير إلى شاشة كمبيوتر مع خريطة عالم أزرق.
المنتج

Microsoft Sentinel

احصل على رؤية على مستوى الحدث عبر عقاراتك الرقمية باستخدام إدارة معلومات الأمان والأحداث الأصلية على السحابة.
تعرّف على المزيد
لقطة شاشة مقربة لشاشة كمبيوتر تعرض شعار Microsoft Security Copilot والنص.
المنتج

Microsoft Security Copilot

يمكنك التفوق على الهجمات عبر الإنترنت بسرعة الذكاء الاصطناعي التوليدي الرائد في المجال وبنطاقه.
تعرّف على المزيد
صورة لشخص يرتدي سماعات رأس ويجلس إلى مكتب به شاشتان للكمبيوتر.
مدخل الحماية من المخاطر

أخبار الأمان عبر الإنترنت والذكاء الاصطناعي

اكتشف أحدث الاتجاهات وأفضل الممارسات في مجال الحماية من المخاطر على الشبكات والذكاء الاصطناعي للأمان عبر الإنترنت.
الحصول على أحدث الموارد
الرجوع إلى قسم الموارد

الأسئلة المتداولة

  • إن SIEM عبارة عن نظام أساسي يجمع البيانات المتعلقة بالأمان ويجمعها ويحللها من مصادر مختلفة داخل البنية الأساسية تكنولوجيا المعلومات للمؤسسة. فهو يوفر عرضاً مركزياً لأحداث الأمان ويساعد المؤسسات على اكتشاف أحداث الأمان والتحقيق فيها والاستجابة لها. إن SOC هو فريق من محترفي الأمان الذين يراقبون أحداث الأمان ويحللونها، ويتحققون من أحداث الأمان، ويستجيبون لتهديدات الأمان. SIEM هي التقنية التي يستخدمها SOC لجمع أحداث الأمان وتحليلها والاستجابة لها.
  • لا، SIEM ليس جدار حماية. جدار الحماية هو جهاز أمان الشبكة الذي يتحكم في نقل بيانات الشبكة الواردة والصادرة استنادا إلى مجموعة من القواعد. تجمع SIEM البيانات المتعلقة بالأمان وتجمعها وتحللها من مصادر مختلفة وتساعد المؤسسات على اكتشاف أحداث الأمان والتحقيق فيها والاستجابة لها.
  • حل SIEM هو برنامج أمان يوفر للمؤسسات رؤية شاملة للأنشطة على مستوى شبكة العمل ككل حتى تتمكن المؤسسات من الاستجابة للمخاطر بسرعة قبل أن تتعرض الأعمال للأذى.

    تعمل خدمات وأدوات وبرامج SIEM على اكتشاف مخاطر الأمان وحظرها من خلال إجراء تحليلات في الوقت الحقيقي. فهي تجمع البيانات من مجموعة من المصادر، وتحدد النشاط غير المألوف، وتتخذ الإجراء المناسب تجاهه.
  • لقد شاهدت حلول SIEM تحسينات ملحوظة في السنوات الأخيرة بسبب التقدم في التكنولوجيا والمناظر المتغيرة لتهديدات الأمان عبر الإنترنت. فيما يلي بعض مجالات التحسين الرئيسية:

     
    1. التحليلات المحسنة: تستخدم أجهزة SIEMs الحديثة تحليلات متقدمة، بما في ذلك التعلم الآلي الذكاء الاصطناعي، لاكتشاف الحالات غير الطبيعية وتحديد التهديدات المحتملة بشكل أكثر دقة وسرعة.
    2. التكامل مع خدمات السحابة: مع تزايد الحوسبة السحابية، قامت حلول SIEM بتحسين إمكانياتها لجمع البيانات وتحليلها من بيئات سحابية مختلفة، مما يجعلها أكثر تعددا.
    3. الأتمتة والتنسيق: تتضمن العديد من SIEMs الآن ميزات التنفيذ التلقائي التي تبسط عمليات الاستجابة للحوادث، مما يسمح بتخفيف التهديدات بشكل أسرع وتقليل حمل العمل اليدوي لفرق الأمان.
    4. سلوك المستخدم وتحليلات الكيان: تساعد قدرات UEBA المحسنة المؤسسات على اكتشاف المخاطر الداخلية واختراق الحساب أو الجهاز من خلال تحليل أنماط سلوك المستخدم والكيان.
    5. مراقبة الوقت الحقيقي: يتيح جمع البيانات وتحليلها المحسن في الوقت الحقيقي للمؤسسات إمكانية الاستجابة للحوادث عند حدوثها، بدلا من الاستجابة بعد وقوعها.
    6. قابلية التوسع: أصبحت حلول SIEM أكثر قابلية للتوسع، مما يؤدي إلى زيادة حجم البيانات التي تم إنشاؤها بواسطة المؤسسات والتأكد من إمكانية معالجة التحميلات المتزايدة دون التخلي عن الأداء.
    7. إعداد التقارير والتوافق بشكل أفضل: تساعد ميزات التقارير المحسنة المؤسسات على تلبية المتطلبات التنظيمية بسهولة أكبر وتوفر رؤى أكثر وضوحا في وضع الأمان.
    8. تكامل لتحليل الذكي للمخاطر: تتكامل العديد من SIEMs الآن مع موجزات التحليل الذكي للمخاطر، مما يوفر معلومات سياقية حول التهديدات الناشئة والثغرات الأمنية.
    9. الواجهات سهلة الاستخدام: غالبا ما تأتي SIEMs الحديثة مزودة بلوحات معلومات وواجهات مستخدم أكثر بديهية، مما يسهل على فرق الأمان التنقل وتحليل البيانات.
    10. تعاون المجتمع والنظام البيئي: يسمح التعاون بشكل أكبر بين موردي الأمان وإنشاء نظم إيكولوجية بتكامل أفضل مع أدوات الأمان الأخرى، مما يعزز عمليات الأمان الشاملة.

      تساعد هذه التطورات المؤسسات على اكتشاف أحداث الأمان والاستجابة لها وإدارتها بشكل أفضل، مما يجعل SIEM مكونا هاما لاستراتيجيات الأمان عبر الإنترنت الحديثة.
     
  • تلعب تقنيات SIEM وSOAR أدواراً رئيسية في عمليات الأمان عبر الإنترنت.

    تساعد أدوات SIEM المؤسسات ببساطة على تحديد نوعية البيانات التي يتم جمعها من التطبيقات والأجهزة وشبكات العمل والخوادم من خلال تحديد الحوادث والأحداث وتصنيفها وتحليلها.

    يشير الاختصار SOAR إلى المصطلح "تنسيق وأتمتة واستجابة الأمان" ويعبر عن البرامج التي تضطلع بإدارة المخاطر والثغرات الأمنية والاستجابة لأحداث الأمان وأتمتة عمليات الأمان.

    تساعد أدوات SOAR فرق الأمان على تحديد المخاطر والتنبيهات ذات الأولوية التي تنشؤها أدوات SIEM من خلال أتمتة مهام سير عمل الاستجابة للأحداث. كما تساعد أيضاً في العثور على التهديدات الخطرة والتعامل معها بسرعة أكبر من خلال إجراء أتمتة مكثفة تشمل المجال ككل. تقوم أدوات SOAR باكتشاف المخاطر الحقيقية من مجموعة كبيرة من البيانات وتتعامل مع الأحداث بشكل أسرع.
  • الكشف والاستجابة الموسعة أو ما هو XDR هو نهج ناشئ للأمان عبر الإنترنت يهدف إلى تحسين الكشف عن التهديدات والاستجابة لها من خلال إلقاء نظرة مستفيضة على موارد محددة.

    تساعد أنظمة XDR الأساسية على:
    • فحص الهجمات المعزز بالفهم التام لموارد محددة عبر الأنظمة الرئيسية والأوساط السحابية الموحدة التي تشمل أحمال العمل السحابية وإنترنت الأشياء والتطبيقات والمستخدمين ونقاط النهاية.
    • الاستجابة للمخاطر بشكل أسرع باستخدام المعالجة التلقائية.

    توفر حلول SIEM تجربة إصدار أوامر وتحكم في عمليات الأمان عبر المؤسسة بأكملها.

    تساعد أنظمة SIEM الأساسية على:
    • إدارة عمليات الأنظمة بمنظور شامل للملكية الرقمية.
    • جمع البيانات من جميع أقسام مؤسستك وتحليلها لكشف الأحداث وفحصها والاستجابة لها وهي في مكانها.
    • تعزيز كفاءة عمليات الأمان باستخدام عمليات الكشف المخصصة، والتحليلات، والأتمتة المُضمنة
       
    استراتيجية تجمع في طياتها بين الإلمام الشامل بجميع مجريات الملكية الرقمية والمعرفة المستفيضة بمخاطر محددة وهو ما يتمثل في اندماج حلول SIEM وXDR مع بعضها، إذ يساعد ذلك فرق عمليات الأمان في التغلب على التحديات اليومية التي تواجههم.

متابعة الأمان من Microsoft