“C-suite” به مجموعه‌ای از مدیران ارشد یک سازمان اشاره دارد که بالاترین رده‌های اجرایی را در اختیار دارند. این اصطلاح از حرف “C” در ابتدای عنوان‌های شغلی این افراد گرفته شده است، مانند: – CEO (Chief Executive Officer): مدیرعامل– CFO (Chief Financial Officer): مدیر مالی– COO (Chief Operating Officer): مدیر عملیاتی– CTO (Chief Technology Officer): مدیر فناوری اطلاعات– CIO (Chief Information Officer): مدیر ارشد اطلاعات این افراد مسئول تصمیم‌گیری‌های کلیدی و استراتژیک در سازمان هستند و معمولاً نقش‌های مدیریتی و نظارتی بالایی دارند. “C-suite” همچنین به تیم یا گروهی از این مدیران اشاره دارد که در روند برنامه‌ریزی و هدایت کلی سازمان نقش دارند.همکاری، تعامل و حمایت پایدار این نقش‌های کلیدی برای پیشبرد موفق چارچوب ITIL یک ضرورت است!www.MedaNet.ir

SIEM چیست؟ اطلاعات امنیتی و مدیریت رویداد (SIEM) یک راه حل پیشرفته امنیت سایبری است که برای جمع آوری و همبستگی مرکزی داده های امنیتی از منابع مختلف در شبکه شما طراحی شده است. SIEM نقش مهمی در محافظت در برابر حملات سایبری پیچیده و اطمینان از انطباق دارد. گارتنر® اصطلاح SIEM را در سال 2005 برای رسیدگی به ضرورت نظارت متمرکز بر امنیت معرفی کرد. امروزه، راه حل های SIEM طیف گسترده ای از الزامات امنیتی سازمانی، از جمله تشخیص و انطباق تهدیدات پیشرفته را برآورده می کند. آنها همچنین قابلیت های مدیریت عملیاتی مانند مدیریت حوادث، گزارش دهی و داشبوردهای تجزیه و تحلیل امنیتی را ارائه می دهند. چرا SIEM؟ متخصصان امنیتی معمولاً در جمع‌آوری داده‌های امنیتی از برنامه‌ها و دستگاه‌های مختلف در سراسر شبکه با چالش‌هایی روبرو هستند. آن‌ها غالباً فاقد دید جامع از وضعیت امنیتی خود هستند، که برای شناسایی و پاسخ‌دهی سریع به تهدیدات سایبری، ارزیابی اثرات حملات و بهبود وضعیت امنیتی شبکه بسیار ضروری است. برخلاف راه‌حل‌های امنیتی سنتی که به عملکردهای خاص متمرکز هستند، سیستم‌های SIEM یک پلتفرم امنیتی قابل تنظیم فراهم می‌کنند که دیدی جامع از محیط‌های داخلی و ابری ارائه می‌دهد. این ابزارها به‌طور چشمگیری توانایی شناسایی تهدیدات را در زمان واقعی افزایش می‌دهند، مدیریت انطباق را تسهیل می‌کنند و در نهایت امنیت شبکه را تقویت می‌کنند. با ادغام هوش مصنوعی (AI)، این ابزارها فرآیندهای اصلاحی را خودکار کرده، پیش‌بینی حرکات بعدی مهاجمان را ممکن می‌سازند و بار کاری تحلیلگران امنیتی را کاهش می‌دهند. آن‌ها بینش‌های عملی را برای مقابله مؤثر با تهدیدات فراهم کرده و تیم‌های امنیتی را در مقابله با تکنیک‌های خصمانه توانمند می‌سازند. ابزارهای برتر SIEM- مشاهده جدول مقایسه “با ManageEngine Log360، ما توانستیم یک حمله را 20 برابر سریعتر شناسایی و اصلاح کنیم.” – ادوارد مک گرینور، مهندس SOC، یک MSSP SIEM چگونه کار می کند؟ اساسی‌ترین عملکرد هر ابزار SIEM، جمع‌آوری نقاط داده امنیتی، به‌ویژه گزارش‌ها و رویدادها، در یک مکان متمرکز است. در صورت انتخاب یک راه‌حل SIEM پیش‌فرض، داده‌ها در یک سرور میزبانی می‌شوند و سپس برای بازیابی آسان‌تر در یک دستگاه ذخیره‌سازی ثانویه بایگانی می‌شوند. در صورتی که راه‌حل SIEM مبتنی بر ابر انتخاب شود، داده‌ها در فضای ابری محیط فروشنده ذخیره خواهند شد. تجمیع متمرکز داده‌های گزارش، نقطه قوت اصلی هر راه‌حل SIEM است زیرا دیدی جامع از وضعیت شبکه برای تحلیلگران امنیتی فراهم می‌کند و فرآیند تجزیه و تحلیل پزشکی قانونی را تسهیل می‌کند. دومین عملکرد اصلی راه‌حل SIEM، تجزیه و تحلیل داده‌های جمع‌آوری شده و ارائه بینش‌های عملی است. این تجزیه و تحلیل از تکنیک‌های مختلفی نظیر همبستگی، تحلیل رفتار و تجسم روند استفاده می‌کند. همبستگی بلادرنگ، به تحلیلگران این امکان را می‌دهد که چندین رویداد به ظاهر نامرتبط را با هم پیوند دهند و الگوهایی را برای تشخیص مؤثر تهدید شناسایی کنند، که یکی از وظایف اصلی هر ابزار SIEM است. تحلیل رفتار، که معمولاً با کمک یادگیری ماشینی یا هوش مصنوعی انجام می‌شود، به شناسایی الگوهای طبیعی رفتار کاربر و نهادها کمک کرده و با تشخیص ناهنجاری‌ها، دقت تشخیص تهدید را افزایش می‌دهد. ابزارهای SIEM معمولاً قوانین تشخیص استاتیک را با مدل‌های ناهنجاری ترکیب می‌کنند تا تهدیدات را با دقت بالا شناسایی کنند. شکل 1: راه حل های SIEM چگونه کار می کنند. علاوه بر این، راه حل های SIEM از نظارت امنیتی مستمر برای مدیریت تغییر و موارد استفاده نظارت بر فعالیت کاربر پشتیبانی می کنند، که برای اکثر الزامات انطباق ضروری است. با بایگانی داده های گزارش، تجزیه و تحلیل پزشکی قانونی و ویژگی های نظارت بر امنیتی، اتخاذ راه حل SIEM به یک جزء حیاتی از هر سفر انطباق تبدیل می شود.

تجزیه و تحلیل رفتار کاربر و موجودیت (UEBA) یا تشخیص ناهنجاری، یک تکنیک امنیت سایبری است که از الگوریتم های یادگیری ماشین (ML) برای شناسایی فعالیت های غیرعادی کاربران، میزبان ها و سایر موجودیت ها در یک شبکه استفاده می کند. برای تشخیص ناهنجاری ها، UEBA ابتدا در مورد رفتار مورد انتظار همه کاربران و نهادهای موجود در یک شبکه یاد می گیرد و پایه ای از فعالیت های منظم را برای هر یک از آنها ایجاد می کند. هر فعالیتی که از این خط پایه منحرف شود به عنوان یک ناهنجاری علامت گذاری می شود. راه حل های UEBA با کسب تجربه بیشتر موثرتر می شوند.

تجزیه و تحلیل رفتار کاربر و موجودیت (UEBA) یا تشخیص ناهنجاری که اختصار (User and Entity Behavior Analytics) هست یک تکنیک امنیت سایبری است که از الگوریتم‌های یادگیری ماشین (ML) برای شناسایی فعالیت‌های غیرعادی کاربران، میزبان‌ها و سایر موجودیت‌ها در یک شبکه استفاده می‌کند. در دنیای امروز، سازمان‌ها به شدت تحت تأثیر تهدیدات امنیتی سایبری قرار دارند و استفاده از سیستم‌های UEBA (User and Entity Behavior Analytics) برای شناسایی رفتارهای مشکوک و محافظت از منابع اطلاعاتی اهمیت بیشتری پیدا کرده است. اما پیش از پیاده‌سازی UEBA، سازمان‌ها باید به چندین سوال اساسی پاسخ دهند تا از اثربخشی این سیستم‌ها اطمینان حاصل کنند: پاسخ به این پرسش‌ها می‌تواند به سازمان‌ها کمک کند تا مطمئن شوند که سیستم‌های UEBA به درستی پیاده‌سازی شده‌اند و از آن‌ها به‌طور مؤثر در مقابل تهدیدات استفاده می‌شود برای تشخیص ناهنجاری‌ها، UEBA ابتدا در مورد رفتار مورد انتظار همه کاربران و نهادهای موجود در یک شبکه یاد می‌گیرد و پایه‌ای از فعالیت‌های منظم را برای هر یک از آنها ایجاد می‌کند. هر فعالیتی که از این خط پایه منحرف شود به عنوان یک ناهنجاری علامت‌گذاری می‌شود. راه‌حل‌های UEBA با کسب تجربه بیشتر مؤثرتر می‌شوند. برای درک اینکه چگونه UEBA یک نمایه رفتاری برای هر کاربر ایجاد می‌کند، بیایید مثالی را مرور کنیم و بفهمیم که ابتدا انسان‌ها چگونه این کار را انجام می‌دهند. فرض کنید جان، یک کارآموز بازاریابی تازه استخدام‌شده است. در اولین روز کارش، نگهبان امنیتی او را به عنوان فردی جدید می‌شناسد و توجه زیادی می‌کند تا اطمینان حاصل شود که تمام مدارک او بررسی می‌شود. نگهبان همچنین زمان ورود و خروج جان از مرکز را ردیابی می‌کند. او برای چند روز فعالیت جان را زیر نظر دارد و با الگوی زمانی مورد انتظار او آشنا می‌شود — ورود در ساعت 10 صبح و خروج در ساعت 6 بعد از ظهر. هر گونه انحراف از این، مانند ورود جان در ساعت 5 صبح، سوءظن نگهبان را برمی‌انگیزد. به این ترتیب انسان یک ناهنجاری را تشخیص می‌دهد. به طور مشابه، الگوریتم ML در یک راه‌حل SIEM یکپارچه UEBA، داده‌های گزارش را برای ایجاد الگوها در شبکه شما نظارت می‌کند. به عنوان مثال، زمان ورود و خروج کاربر و اقدامات آنها در دستگاه‌های خاص، راه‌حل SIEM را در مورد فعالیت‌هایی که از آن کاربر انتظار می‌رود، مطلع می‌سازد. هنگامی که موتور UEBA فعالیت‌ها را برای چند روز نظارت می‌کند، رفتار مورد انتظار کاربر، از جمله هرگونه انحراف از آن را می‌داند. امتیاز ریسک کاربر برای نشان دادن شدت تهدید افزایش می‌یابد و راه‌حل SIEM یک هشدار را برای تحلیلگران امنیتی علامت‌گذاری می‌کند. اما اگر یک انسان می‌تواند این کار را انجام دهد، چرا به UEBA نیاز داریم؟ زیرا از نظر انسانی امکان‌پذیر نیست که تیم امنیتی شما به طور مداوم رفتار هزاران کارمندی را که در سازمان شما کار می‌کنند مشاهده و تجزیه و تحلیل کند. بنابراین UEBA کمک می‌کند تا گزارش‌هایی در مورد فعالیت‌های غیرعادی در بخش‌های مختلف شبکه ایجاد کرده و بلافاصله اقدامات مناسب انجام دهید. UEBA چه نوع ناهنجاری‌هایی را می‌تواند شناسایی کند؟ UEBA ناهنجاری‌های مرتبط با زمان، تعداد و الگو را شناسایی می‌کند. بیایید نگاهی به معنای هر یک از این‌ها بیندازیم.

سیستم‌های مدیریت اطلاعات و رویدادهای امنیتی (Security Information and Event Management – SIEM) ابزاری جامع برای تحلیل، شناسایی تهدیدات، و نظارت بر امنیت سازمانی به شمار می‌آیند. این سیستم‌ها از طریق جمع‌آوری، تحلیل و مدیریت داده‌های امنیتی و لاگ‌های رخدادهای شبکه و سیستم‌های مختلف، به شناسایی تهدیدات امنیتی و تسهیل پاسخگویی به حوادث امنیتی کمک می‌کنند. اگر سمت محصولات ManageEngine آمدید و از Splunk استفاده نمی‌کنید دو محصول مشابه در این شرکت هست که ابهام برای برخی سازمان‌ها بوجود آورده. در این مطلب مدانت به بررسی دقیق SIEM با تمرکز بر دو محصول از ManageEngine یعنی EventLog Analyzer و Log360 می‌پردازد. 1. مفهوم SIEM و اهمیت آن SIEM یک پلتفرم جامع برای جمع‌آوری و مدیریت اطلاعات و رخدادهای امنیتی است. این سیستم‌ها با تحلیل داده‌ها از منابع مختلف و شناسایی الگوهای مشکوک و تهدیدات، امنیت شبکه و سیستم‌های سازمانی را تضمین می‌کنند. از کاربردهای اصلی SIEM می‌توان به موارد زیر اشاره کرد: 2. معرفی EventLog Analyzer EventLog Analyzer یک راه‌حل SIEM ساده و مؤثر از ManageEngine است که به سازمان‌ها کمک می‌کند تا لاگ‌ها و رخدادهای سیستم‌های خود را مدیریت و تحلیل کنند. این ابزار برای سازمان‌های کوچک و متوسط مناسب بوده و شامل قابلیت‌های کلیدی زیر است: 3. معرفی Log360 Log360 یک پلتفرم جامع SIEM با تمرکز بر مدیریت لاگ‌ها و تحلیل رخدادهای امنیتی است که برای سازمان‌های بزرگ‌تر طراحی شده است. Log360 در واقع ترکیبی از قابلیت‌های EventLog Analyzer و AD360 است و امکانات پیشرفته‌تری در حوزه امنیت و مدیریت لاگ‌ها ارائه می‌دهد: ویژگی EventLog Analyzer Log360 هدف ابزار متمرکز بر مانیتورینگ لاگ‌ها و مدیریت رخدادها پلتفرم جامع برای مدیریت لاگ، SIEM، و امنیت IT قابلیت‌های اصلی جمع‌آوری، تحلیل و مدیریت لاگ‌های رخداد شامل تمامی ویژگی‌های EventLog Analyzer به‌علاوه قابلیت‌های امنیتی پیشرفته SIEM در سطح ابتدایی SIEM ارائه می‌دهد راه‌حل جامع SIEM با تمرکز بیشتر بر امنیت مدیریت دستگاه‌ها امکان مانیتورینگ و مدیریت لاگ‌ها برای دستگاه‌های مختلف شبکه امکان مانیتورینگ کامل دستگاه‌ها و ادغام با سایر محصولات ManageEngine مانند EventLog AnalyzerADAudit PlusM365 Manager PlusLog360 UEBAExchange Reporter PlusADManager PlusCloud Security Plus آنالیز تهدیدات آنالیز رفتار لاگ‌ها و تشخیص فعالیت‌های مشکوک قابلیت‌های پیشرفته‌تر آنالیز تهدیدات و مدیریت پاسخگویی به تهدیدات گزارش‌دهی گزارش‌های جامع امنیتی و تطابقی گزارش‌دهی کامل‌تر با تطابق استانداردهای امنیتی (مانند GDPR، HIPAA) یکپارچه‌سازی به صورت مستقل و محدود امکان یکپارچه‌سازی با AD، CASB، و سایر ماژول‌های امنیتی کاربرد برای سازمان‌ها مناسب برای سازمان‌های کوچک تا متوسط مناسب برای سازمان‌های بزرگ و نیازمند نظارت و امنیت پیشرفته