מה זה SIEM?

בשעה שהרשתות התרחבו בשנות ה- 90 ויותר חברות התחברו לאינטרנט, חומות אש הפכו לפחות יעילות בזיהוי וחסימת איומים. אנשי מקצוע בתחום האבטחה נדרשו למצוא דרך טובה יותר לאסוף, לתאם ולדרג התראות ממערכות שונות ברחבי הרשת. כדי לענות על צורך זה, ספקי אבטחה שילבו ניהול מידע אבטחה (SIM) וניהול אירועי אבטחה (SEM) כדי ליצור פתרונות SIEM.

הימים הראשונים של SIEM
הגרסאות המוקדמות של פתרונות SIEM צצו בתחילת שנות ה- 2000, כשהן מתמקדות בעיקר בניהול יומנים ודיווח על תאימות. פתרונות אלה ריכזו התראות מרחבי הרשת, וחסכו זמן יקר למרכזי SOC, אך, למרבה הצער, הם לא היו מאוד מדרגיים. צוותי האבטחה הסתמכו במידה רבה על תהליכים ידניים, מה שהקשה על תיאום נתונים בצורה אפקטיבית.

התפתחות והתקדמות
כשאיומי הסייבר הפכו למתקדמים יותר, פתרונות SIEM התפתחו באופן שכולל ניטור בזמן אמת, ניתוח מתקדם ויכולות למידת מכונה. שינוי זה אפשר לארגונים לזהות אנומליות ולהגיב לאיומים מהר יותר מאי פעם.

המצב הנוכחי של טכנולוגיית SIEM
כיום, פתרונות SIEM משלבים  בינה מלאכותית לאבטחת סייבר ולמידת מכונה כדי לשפר את יכולות הניתוח שלהם. פלטפורמות SIEM מודרניות לא רק מספקות ניטור אבטחה אלא גם משתלבות עם  פתרונות תיאום, אוטומציה ותגובה לאבטחה (SOAR)  כדי לעזור לצוותים להפוך משימות מסוימות לאוטומטיות ולתאם את התגובה שלהם לאירועים.

פתרון SIEM חזק בנוי על מספר מרכיבים מרכזיים שעובדים יחד כדי לספק ניטור אבטחה מקיף.

ניהול יומני רישום
מערכות SIEM אוספות ומנתחות יומני רישום מכלל הארגון, כולל שרתים, מכשירי רשת, חומות אש, פתרונות אבטחה אחרים ויישומי ענן. המטרה של איסוף נתונים זה היא לחשוף אנומליות שמעידות על איומים פוטנציאליים. פתרונות SIEM רבים גם מעבדים הזנות של בינת איומים, שמאפשרות לצוותי אבטחה לזהות ולחסום איומי סייבר מתפתחים.

תיאום אירועים
פתרונות SIEM נחשבים ליעילים מכיוון שהם מביאים יחד נתונים ממערכות מרובות ברחבי הארגון. הם מנתחים את הנתונים ומחפשים דפוסים בין ישויות שונות. למשל, אם יש ראיות לחשבון שנחשף לסכנה וגם תעבורת רשת חריגה, פתרון SIEM עשוי לזהות כי שני אירועים אלה קשורים זה לזה וליצור התראה לצוותי האבטחה להמשיך ולחקור. תיאום אירועים עוזר לזהות פעילות שנראית תמימה בפני עצמה, אך כאשר היא משולבת עם פעילות אחרת, היא יכולה להיות מחוון חשיפה לסכנה.

תגובה לאירועים ומעקב אחריהם
כדי לזהות איומים מוקדם ולצמצם נזק, פתרונות SIEM מנטרים מערכות דיגיטליות ומקומיות באופן מתמשך. הניתוח מוצג בלוח מחוונים מרכזי, ופתרון ה- SIEM ישלח גם התראות לניתוחי אבטחה על סמך כללים מוגדרים מראש.

רבים מפתרונות SIEM כוללים גם יכולות תגובה אוטומטיות. במקרים מסוימים, SIEM יכול לנקוט בפעולה באופן אוטומטי על סמך כללים שהוגדרו על-ידי ה- SOC. לדוגמה, אם פתרון SIEM מזהה תוכנה זדונית אפשרית, הוא יכול לנקוט צעדים לבידוד המערכת הנגועה בהתאם לכללים מוגדרים מראש. אוטומציה עוזרת להאיץ את התגובה ומשחררת את ניתוחי האבטחה להתמקד במשימות ובעיות מורכבות יותר.

המפתח למערכת SIEM אפקטיבית הוא נתונים. פתרונות SIEM אוספים באופן מתמשך נתונים ממקורות שונים, כולל חומות אש, יישומי ענן, מערכות אבטחה ותחנות קצה. הנתונים המאוגדים מנורמלים לאחר מכן לתבניות רגילות ומנותחים כדי לחלץ מידע רלוונטי. באמצעות אלגוריתמים וכללי מתאם, ה- SIEM מסוגל לזהות דפוסים ואנומליות בנתונים המנורמלים ולהציג איומים פוטנציאליים. לוח מחוונים והתראות מרוכזים עוזרים לניתוחי האבטחה לזהות אירועים שדורשים חקירה נוספת.

כדי להפיק את המרב מפתרון SIEM, חשוב לתכנן בקפידה את היישום שלך.

 

1. הגדר בבירור מה אתה רוצה להשיג עם ה-SIEM, כגון דיווח על תאימות, זיהוי איומים או תגובה לתקריות, ופתח מקרים ספציפיים המותאמים לצורכי הארגון שלך.
2. הערך פתרונות SIEM שונים בהתבסס על הדרישות שלך, יכולת ההתרחבות, התקציב וכיצד הם ישתלבו עם כלים וטכנולוגיות קיימים.
3. זהה ותעדף מקורות נתונים להזנה ל- SIEM והגדר את ההרשאות הנדרשות למקורות נתונים אלה. מומלץ להתחיל באיסוף נתונים רחב ולהתמקד בהדרגה במה שחשוב ביותר.
4. תקנון של תבניות נתונים ממקורות שונים כדי להקל על הניתוח.
5. בסס פריטי מדיניות לשמירת יומנים ואבטחה בהתבסס על דרישות רגולטוריות וצורכי הארגון.
6. פתח זרימות עבודה ברורות לזיהוי וניתוח אירועים ותגובה אליהם.
7. קבע אילו פעולות אתה רוצה להפוך לאוטומטיות והגדר כללים ושלבים ברורים.
8. ספק הכשרה מתמשכת לצוות לגבי אופן השימוש בפתרון ה- SIEM ביעילות והבנת רכיבי הפלט שלו.
9. סקור והתאם באופן קבוע כללים, התראות ולוחות מחוונים בהתבסס על איומים מתפתחים ושינויים בארגון.

 

צוותי אבטחה משתמשים בפתרונות SIEM למגוון רחב של יישומים.

זיהוי איומים ותגובה אליהם
המקרה השכיח ביותר לשימוש בפתרון SIEM הוא זיהוי איומים ותגובה. SIEM יכול לעזור לצוות אבטחה לחשוף ולהגיב אפילו לאיומים המורכבים ביותר, כגון איומים פנימיים, איומים מתמידים מתקדמים ומתקפות על ריבוי תחומים.

ניהול תאימות
מרכזי אבטחת מידע (SOC) משתמשים לעתים קרובות בפתרון SIEM כדי לעזור להם להישאר תואמים לתקנות אזוריות כמו חוק היבילות ואחריות הדיווח של ביטוח בריאות (HIPAA) בארצות הברית והתקנה הכללית להגנה על נתונים (GDPR) באיחוד האירופי. כיוון שמערכת SIEM אוספת באופן אוטומטי נתונים מכל הארגון, היא יכולה לעזור לצוותים לזהות בעיות במהירות. הצוותים יכולים גם להשתמש ב- SIEM כדי לייצר דוחות תאימות המותאמים לתקנות ספציפיות.

זיהוי פלילי
כדי להגיב ביעילות לאירוע אבטחה, מרכזי אבטחת מידע (SOC) צריכים להבין את היקף המתקפה, כולל גורמי מוטיבציה וטקטיקות. פתרון SIEM מספק דיווח וניתוח כדי לעזור לצוותים לקבוע את מסלול המתקפה ולזהות את כל הנכסים המושפעים.

כדי לנתח באופן יעיל נפח נתונים הולך וגדל, פתרונות SIEM רבים משלבים בינה מלאכותית, למידת מכונה וניתוח התנהגות משתמשים וישויות (UEBA) כדי לשפר את יכולות זיהוי האיומים ולהפחית תוצאות חיוביות שגויות. התקדמות בטכנולוגיית בינה מלאכותית וניתוח אבטחת סייבר ימשיכו לאפשר לפתרונות SIEM לשפר ניתוחים מורכבים ולתמוך בסוגי נתונים נוספים.

אחד מהאתגרים הגדולים ביותר באבטחה שארגונים מתמודדים איתם הוא ניהול פתרונות אבטחה מרובים, שונים, עם ממשקים, כלים ותובנות משלהם. פתרונות SIEM חזקים מפשטים את האבטחה על-ידי שילוב כלים אחרים כגון תגובה וזיהוי מורחבים (XDR). פתרונות XDR מנטרים נקודות קצות, משתמשים, יישומים, ועננים, ומגנים עליהם. שילוב של כל הפתרונות האלה לפלטפורמת SecOps מאוחדת אחת תעניק לצוותים ניהול אבטחה מקיף במקום אחד.

כשבוחרים פתרון SIEM, חשוב לשקול את המדרגיות, קלות השימוש ויכולות השילוב. רבים מפתרונות ה- SIEM, כמוMicrosoft Sentinel, כוללים מחברים מובנים לנתונים, כך שהארגונים יכולים לשלב אותו עם האפליקציות והשירותים הקיימים שלהם. Microsoft Sentinel כלול גם בפלטפורמת SecOps מאוחדת שמשלבת XDR. SOAR ויכולות SIEM.