افزایش کارایی SIEM
- amir-mahdi nikpour
- تیر ۳, ۱۴۰۳
- ۷:۱۹ ب٫ظ
- بدون نظر
افزایش کارایی SIEM
در گذشته، تحلیلگران مجبور بودند با کلیک بر روی شرایط مورد نیاز خود، فیلترها را تنظیم کرده و قوانین همبستگی را بنویسند. در این بهروزرسانی، رابط کاربری جدید به کاربران پیشرفته اجازه میدهد تا قوانین و شرایط را به صورت کد بنویسند. حالت Builder همچنان باقی میماند: شرایط فیلتر و انتخابکننده به طور خودکار بین حالتهای Builder و کد ترجمه میشوند.
حالت سازنده، نوشتن شرایط را با استفاده از کیبورد برای شما بسیار آسان کرده است. به محض شروع وارد کردن یک شرط فیلتر، پلتفرم یکپارچه نظارت و تحلیل کسپرسکی (Kaspersky Unified Monitoring and Analysis Platform) گزینههای مناسب را از فیلدهای رویداد، فرهنگ لغتها، برگههای فعال و غیره پیشنهاد میدهد. برای محدود کردن دامنه گزینهها، کافیست پیشوند مناسب را وارد کنید. برای سهولت شما، انواع شرایط با رنگهای مختلف برجسته شدهاند.
به نقل از سایت kaspersky درمورد افزایش کارایی SIEM
برای بسیاری از تیم های InfoSec، اطلاعات امنیتی و مدیریت رویداد (SIEM) در قلب کاری است که انجام می دهند. امنیت یک شرکت تا حد زیادی به این بستگی دارد که سیستم SIEM آن تا چه حد به کارشناسان اجازه می دهد تا مستقیماً بر روی مبارزه با تهدیدات تمرکز کنند و از کارهای معمول اجتناب کنند.
مزایای نوشتن شرایط فیلتر و قوانین همبستگی به صورت کد
- انعطافپذیری بیشتر: کاربران میتوانند با استفاده از کد، قوانین و شرایط پیچیدهتری را ایجاد کنند.
- خوانایی بهتر: کد به طور کلی از رابط کاربری مبتنی بر کلیک قابل خواندنتر است.
- قابلیت نگهداری آسانتر: قوانین و شرایط نوشته شده با کد به راحتی قابل نگهداری و بهروزرسانی هستند.
- قابلیت اشتراکگذاری آسانتر: قوانین و شرایط نوشته شده با کد به راحتی قابل اشتراکگذاری با سایر کاربران هستند.
نحوه نوشتن شرایط فیلتر و قوانین همبستگی به صورت کد:
برای نوشتن شرایط فیلتر و قوانین همبستگی به صورت کد، از یک زبان برنامهنویسی پشتیبانیشده توسط این ابزار استفاده کنید. زبانهای برنامهنویسی پشتیبانیشده عبارتند از:
- Python
- JavaScript
- Java
- C#
هنگام نوشتن قوانین و شرایط خود، از دستورالعملهای ارائه شده در مستندات این ابزار استفاده کنید.
حالت سازنده (Builder Mode): نوشتن شرایط با آسودگی
حالت سازنده، نوشتن شرایط را با استفاده از کیبورد برای شما بسیار آسان کرده است. به محض شروع وارد کردن یک شرط فیلتر، پلتفرم یکپارچه نظارت و تحلیل کسپرسکی (Kaspersky Unified Monitoring and Analysis Platform) گزینههای مناسب را از فیلدهای رویداد، فرهنگ لغتها، برگههای فعال و غیره پیشنهاد میدهد.
برای محدود کردن دامنه گزینهها، کافیست پیشوند مناسب را وارد کنید. برای سهولت شما، انواع شرایط با رنگهای مختلف برجسته شدهاند.
حالت کد (Code Mode): کنترل کامل بر روی شرایط
حالت کد به شما امکان میدهد شرایط قوانین همبستگی را به سرعت ویرایش کنید، همچنین شرایط را به عنوان کد انتخاب و کپی کنید و به راحتی آنها را بین قوانین مختلف یا انتخابگرهای مختلف درون یک قانون انتقال دهید.
همین بلوکهای کد را میتوان به فیلترها (یک منبع سیستمی جداگانه) منتقل کرد که تا حد زیادی فرآیند ایجاد آنها را ساده میکند.
اسکیما رویداد توسعه یافته
پلتفرم یکپارچه نظارت و تحلیل کسپرسکی، Common Event Format (CEF) را به عنوان پایه اسکیما رویداد حفظ میکند، اما ما قابلیت ایجاد فیلدهای سفارشی را اضافه کردهایم، به این معنی که اکنون میتوانید هر طبقهبندی (Taxonomy) را پیاده کنید. دیگر نیازی به محدود شدن به فیلدهای تعریفشده توسط فروشنده نیست، میتوانید فیلدهای رویداد را هر طور که میخواهید نامگذاری کنید تا نوشتن پرسشهای جستجو آسانتر شود. فیلدهای سفارشی دارای نوع بوده و باید با پیشوندی شروع شوند که هم نوع آن و هم نوع آرایه را تعیین میکند. فیلدهایی با آرایهها فقط میتوانند در نرمالسازهای JSON و KV استفاده شوند.
شناسایی خودکار منبع رویداد در کسپرسکی
خبر خوب برای مدیران پلتفرم یکپارچه تحلیل و مانیتورینگ کسپرسکی (KUMA)! دیگر نیازی به راهاندازی یک گردآورنده (collector) مجزا برای هر نوع رویداد یا باز کردن درگاههای جداگانه روی فایروال برای هر گردآورنده نیست.
در نسخه جدید، قابلیت جمعآوری رویدادهای با فرمتهای مختلف با یک گردآورنده واحد را پیادهسازی کردهایم. این گردآورنده بر اساس آدرس IP منبع، نرمالساز (normalizer) مناسب را انتخاب میکند. همچنین امکان استفاده از زنجیرهای از نرمالسازها وجود دارد.
به عنوان مثال، نرمالساز سربرگ سیسلاگ پیشفرض ([OOTB] Syslog header normalizer) رویدادها را از سرورهای متعدد دریافت میکند و به شما امکان میدهد تا DeviceProcessName را تعریف کنید و رویدادهای بایند (BIND) را مستقیماً به نرمالساز سیسلاگ بایند پیشفرض ([OOTB] BIND Syslog normalizer) و رویدادهای اسکوید را به نرمالساز سیسلاگ دسترسی اسکوید پیشفرض ([OOTB] Squid access Syslog normalizer) هدایت کنید.
یک کلکتور – یک نرمال کننده (Normalizer)
این روش برای شرایطی ایده آل است که با حجم زیادی از رویدادهای مشابه یا آدرس های IP هم منشا روبرو هستید. از نظر عملکرد SIEM، پیکربندی یک کلکتور با تنها یک نرمال کننده، بهینه ترین حالت محسوب می شود.
یک کلکتور – چند نرمال کننده (Normalizer) بر اساس آدرس IP
این روش برای کلکتورهایی با کانکتور UDP، TCP یا HTTP در دسترس است. اگر در مرحله “انتقال” (Transport) کانکتور UDP، TCP یا HTTP برای کلکتور مشخص شده باشد، می توانید در مرحله “تجزیه رویداد” (Event Parsing)، در تب “تنظیمات تجزیه”، آدرس های IP متعددی را مشخص کنید و نرمال کننده ی مورد نظر خود را برای رویدادهای دریافتی از آن آدرس ها انتخاب نمایید.
انواع نرمال کننده های موجود عبارتند از: JSON، CEF، regexp، Syslog، CSV، KV و XML. برای نرمال کننده های Syslog یا regexp، با توجه به مقدار فیلد DeviceProcessName، می توانید شرایط عادی سازی اضافی را تعیین کنید.
این ها تنها به روز رسانی های پلتفرم یکپارچه نظارت و تحلیل کسپرسکی (Kaspersky Unified Monitoring and Analysis Platform) نیستند. تغییراتی نیز در جداول زمینه ای، اتصال ساده ی قوانین به همبسته سازها (Correlators) و سایر موارد بهبود یافته است. تمامی این تغییرات با هدف بهبود تجربه کاربری برای متخصصان امنیت اطلاعات (InfoSec) طراحی شده اند – لیست کامل را اینجا مشاهده کنید.
برای کسب اطلاعات بیشتر در مورد سیستم SIEM ما، پلتفرم یکپارچه نظارت و تحلیل کسپرسکی، لطفا از صفحه ی رسمی محصول بازدید کنید.
پلتفرم یکپارچه نظارت و تحلیل کسپرسکی: ارتقای سطح امنیت با معماری منعطف
Kaspersky Unified Monitoring and Analysis Platform (KUMA)، راهکار قدرتمند SIEM (Security Information and Event Management) کسپرسکی، با ارائه ی معماری منعطف و قابل تنظیم، به شما امکان می دهد تا به طور موثر از زیرساخت های IT خود در برابر طیف گسترده ای از تهدیدات سایبری محافظت کنید.
قابلیت های کلیدی KUMA
جمع آوری و تجزیه و تحلیل جامع داده ها: KUMA می تواند داده ها را از منابع مختلف، از جمله سرورها، endpoints، شبکه ها و برنامه های کاربردی، جمع آوری و تجزیه و تحلیل کند. این امر به شما امکان می دهد تا دید کاملی از فعالیت های موجود در شبکه خود داشته باشید و به طور موثرتری تهدیدات را شناسایی کنید.
همبستگی رویداد
KUMA می تواند رویدادهای امنیتی را از منابع مختلف همبسته کند و به شما کمک کند تا الگوهای مشکوکی را که ممکن است نشان دهنده ی یک حمله سایبری باشد، شناسایی کنید.
پاسخگویی خودکار
KUMA می تواند به طور خودکار به رویدادهای امنیتی خاص پاسخ دهد، مانند مسدود کردن آدرس های IP مخرب یا قرنطینه کردن endpoints آلوده.
گزارش دهی و تجسم سازی
KUMA گزارش ها و تجسم سازی های جامعی را ارائه می دهد که به شما کمک می کند تا وضعیت امنیتی خود را درک کنید و روندهای امنیتی را ردیابی کنید.
مزایای استفاده از KUMA
کاهش خطر حملات سایبری
KUMA می تواند به شما در شناسایی و خنثی کردن تهدیدات سایبری قبل از اینکه به سیستم های شما آسیب برسانند، کمک کند.
- کاهش هزینه های امنیتی: KUMA می تواند به شما در صرفه جویی در هزینه های امنیتی با خودکارسازی وظایف امنیتی و کاهش نیاز به مداخلات دستی کمک کند.
- افزایش بهره وری: KUMA می تواند به شما در افزایش بهره وری کارکنان با کاهش زمان خرابی و بهبود عملکرد کلی سیستم های IT کمک کند.
- حفظ انطباق: KUMA می تواند به شما در حفظ انطباق با قوانین و مقررات مربوط به امنیت داده ها کمک کند.
معماری منعطف KUMA
KUMA از یک معماری ماژولار و قابل تنظیم برخوردار است که به شما امکان می دهد تا راه حل خود را متناسب با نیازهای خاص خود پیکربندی کنید.
شما می توانید از یک کلکتور – یک نرمال کننده برای ساده ترین پیاده سازی ها یا از چندین کلکتور – چندین نرمال کننده برای محیط های پیچیده تر استفاده کنید.
KUMA همچنین از انواع مختلف کانکتورها، از جمله UDP، TCP، HTTP و Syslog پشتیبانی می کند که به شما امکان می دهد داده ها را از طیف گسترده ای از منابع جمع آوری کنید.
مزایای استفاده از هوش مصنوعی و یادگیری ماشین در KUMA
- دقت بالاتر در تشخیص تهدید: هوش مصنوعی و یادگیری ماشین به KUMA امکان میدهند تا تهدیدات را با دقت و سرعت بیشتری نسبت به روشهای سنتی شناسایی کند.
- کاهش بار کاری تحلیلگران امنیتی: با خودکارسازی فرآیند شناسایی تهدید، KUMA میتواند بار کاری تحلیلگران امنیتی را کاهش دهد و به آنها اجازه دهد تا روی فعالیتهای با اولویت بالا تمرکز کنند.
- شناسایی تهدیدات جدید و ناشناخته: هوش مصنوعی و یادگیری ماشین به KUMA امکان میدهند تا تهدیدات جدید و ناشناخته را که ممکن است توسط روشهای سنتی قابل تشخیص نباشند، شناسایی کند.
ویژگی های کلیدی پلتفرم یکپارچه نظارت و تحلیل کسپرسکی (KUMA)
Kaspersky Unified Monitoring and Analysis Platform (KUMA) یک راهکار قدرتمند SIEM (Security Information and Event Management) است که به شما امکان می دهد تا از زیرساخت های IT خود در برابر طیف گسترده ای از تهدیدات سایبری محافظت کنید.
برخی از ویژگی های کلیدی KUMA عبارتند از:
- جمع آوری و تجزیه و تحلیل جامع داده ها: KUMA می تواند داده ها را از منابع مختلف، از جمله سرورها، endpoints، شبکه ها و برنامه های کاربردی، جمع آوری و تجزیه و تحلیل کند. این امر به شما امکان می دهد تا دید کاملی از فعالیت های موجود در شبکه خود داشته باشید و به طور موثرتری تهدیدات را شناسایی کنید.
- همبستگی رویداد: KUMA می تواند رویدادهای امنیتی را از منابع مختلف همبسته کند و به شما کمک کند تا الگوهای مشکوکی را که ممکن است نشان دهنده ی یک حمله سایبری باشد، شناسایی کنید.
- پاسخگویی خودکار: KUMA می تواند به طور خودکار به رویدادهای امنیتی خاص پاسخ دهد، مانند مسدود کردن آدرس های IP مخرب یا قرنطینه کردن endpoints آلوده.
- گزارش دهی و تجسم سازی: KUMA گزارش ها و تجسم سازی های جامعی را ارائه می دهد که به شما کمک می کند تا وضعیت امنیتی خود را درک کنید و روندهای امنیتی را ردیابی کنید.
فدک رایان: حامی امنیت شبکههای اجتماعی شما
فدک رایان، با ارائه طیف وسیعی از خدمات امنیتی، به شما کمک میکند تا از اکانتهای تجاری خود در شبکههای اجتماعی در برابر تهدیدات مختلف، از جمله فیشینگ، بدافزار و افزونههای مرورگر مخرب، محافظت کنید.
خدمات برجسته فدک رایان در زمینه امنیت شبکههای اجتماعی:
استقرار و پیکربندی راهکارهای تایید دو مرحلهای (Two-Factor Authentication): این راهحلها، با ایجاد یک لایه امنیتی اضافی، ورود افراد غیرمجاز به اکانتهای شما را بسیار دشوار میسازند.
ارائه آنتیویروس و فایروالهای قدرتمند: محصولات امنیتی فدک رایان، ضمن شناسایی و خنثیسازی بدافزارها و هکرها، از نفوذ به سیستمها و سرقت اطلاعات شما جلوگیری میکنند.
نظارت و کنترل مستمر فعالیتها: تیم متخصصان فدک رایان، با رصد شبانهروزی فعالیتهای شبکههای اجتماعی شما، هرگونه اقدام مشکوک را به سرعت شناسایی و نسبت به رفع آن اقدام میکنند.
ارائه آموزشهای تخصصی به پرسنل: فدک رایان با برگزاری دورههای آموزشی، به کارکنان شما کمک میکند تا با روشهای نوین هک و کلاهبرداری در شبکههای اجتماعی آشنا شده و در حفظ امنیت اطلاعات خود کوشاتر باشند.
با انتخاب فدک رایان، امنیت و آسودگی خاطر را به کسبوکار خود هدیه دهید.
برای کسب اطلاعات بیشتر و دریافت مشاوره رایگان با کارشناسان ما در فدک رایان تماس بگیرید.
آیا میدانید آنتی ویروس کسپرسکی چیست؟ درباره آن بخوانید
نتیجه گیری
Kaspersky Unified Monitoring and Analysis Platform (KUMA) یک راهکار SIEM پیشرفته است که با استفاده از معماری منعطف، هوش مصنوعی و یادگیری ماشین به شما کمک میکند تا از زیرساختهای IT خود در برابر طیف گستردهای از تهدیدات سایبری محافظت کنید.
KUMA راهحلی قدرتمند، مقرون به صرفه و کاربرپسند است که میتواند به سازمانها در هر اندازهای کمک کند تا امنیت شبکه خود را ارتقا دهند.
در این میان، شرکت فدک رایان با ارائه طیف گستردهای از راهحلهای امنیتی نوآورانه و خدمات تخصصی، به عنوان یار و یاوری قابل اعتماد در کنار شما خواهد بود تا از شما در برابر این تهدیدات محافظت کند.
سوالات متداول
KUMA مخفف Kaspersky Unified Monitoring and Analysis Platform است. این یک راهکار SIEM (Security Information and Event Management) قدرتمند است که به شما امکان می دهد تا از زیرساخت های IT خود در برابر طیف گسترده ای از تهدیدات سایبری محافظت کنید. KUMA با جمع آوری و تجزیه و تحلیل داده ها از منابع مختلف، مانند سرورها، endpoints، شبکه ها و برنامه های کاربردی، به شما کمک می کند تا فعالیت های مشکوک را شناسایی کرده و به طور موثرتری به تهدیدات پاسخ دهید.
KUMA می تواند طیف گسترده ای از داده ها را جمع آوری و تجزیه و تحلیل کند، از جمله:
سیل های امنیتی: گزارش های مربوط به رویدادهای امنیتی، مانند ورود به سیستم های غیرمجاز، تلاش های ناموفق ورود به سیستم و فعالیت های مشکوک.
داده های شبکه: ترافیک شبکه، از جمله آدرس های IP، پورت ها و پروتکل ها.
داده های برنامه: فعالیت برنامه ها، از جمله گزارش های خطا، هشدارها و رویدادهای مهم.
داده های سیستم: اطلاعات مربوط به سیستم عامل، نرم افزار و سخت افزار.
KUMA از هوش مصنوعی و یادگیری ماشین برای موارد زیر استفاده می کند:
شناسایی الگوهای پیچیده: KUMA می تواند الگوهای پیچیده را در داده های امنیتی شناسایی کند که ممکن است توسط تحلیلگران امنیتی به راحتی قابل تشخیص نباشند. این امر به KUMA امکان می دهد تا تهدیدات جدید و ناشناخته را با سطح بالایی از دقت شناسایی کند.
تحلیل رفتاری: KUMA می تواند رفتار دستگاه ها و کاربران را در شبکه شما تجزیه و تحلیل کند و فعالیت های مشکوکی را که ممکن است نشان دهنده ی یک حمله باشد، شناسایی کند. برای مثال، KUMA می تواند الگوهای غیرمعمول ترافیک شبکه را شناسایی کند یا فعالیت های غیرمجاز کاربران را تشخیص دهد.
پاسخ خودکار هوشمند: KUMA با استفاده از هوش مصنوعی می تواند به طور خودکار به تهدیدات امنیتی پاسخ دهد. این پاسخ خودکار می تواند شامل مسدود کردن آدرس های IP مخرب، قرنطینه کردن دستگاه های آلوده یا ارسال هشدار به تحلیلگران امنیتی باشد.
KUMA مزایای متعددی را برای سازمان ها به ارمغان می آورد، از جمله:
کاهش خطر حملات سایبری: KUMA می تواند به شما در شناسایی و خنثی کردن تهدیدات سایبری قبل از اینکه به سیستم های شما آسیب برسانند، کمک کند.
کاهش هزینه های امنیتی: KUMA می تواند به شما در صرفه جویی در هزینه های امنیتی با خودکارسازی وظایف امنیتی و کاهش نیاز به مداخلات دستی کمک کند.
افزایش بهره وری: KUMA می تواند به شما در افزایش بهره وری کارکنان با کاهش زمان خرابی و بهبود عملکرد کلی سیستم های IT کمک کند.
حفظ انطباق: KUMA می تواند به شما در حفظ انطباق با قوانین و مقررات مربوط به امنیت داده ها کمک کند.
KUMA از یک معماری ماژولار و قابل تنظیم برخوردار است که به شما امکان می دهد تا راه حل خود را متناسب با نیازهای خاص خود پیکربندی کنید. شما می توانید از یک کلکتور - یک نرمال کننده برای ساده ترین پیاده سازی ها یا از چندین کلکتور - چندین نرمال کننده برای محیط های پیچیده تر استفاده کنید. KUMA همچنین از انواع مختلف کانکتورها، از جمله UDP، TCP، HTTP و Syslog پشتیبانی می کند که به شما امکان می دهد داده ها را از طیف گسترده ای از منابع جمع آوری کنید.
KUMA برای سازمان هایی از هر اندازه ای که به دنبال یک راهکار SIEM قدرتمند، انعطاف پذیر و مقرون به صرفه هستند، مناسب است. این راه حل به ویژه برای سازمان هایی که در صنایع حساس مانند امور مالی، مراقبت های بهداشتی و دولتی فعالیت می کنند، ایده آل است.
بسیاری از راهکارهای SIEM در بازار وجود دارد، اما KUMA چندین ویژگی منحصر به فرد را ارائه می دهد که آن را از سایر راه حل ها متمایز می کند:
معماری منعطف: KUMA از معماری ماژولار و قابل تنظیم برخوردار است که به شما امکان می دهد تا راه حل را متناسب با نیازهای خاص خود پیکربندی کنید.
استفاده از هوش مصنوعی و یادگیری ماشین: KUMA با استفاده از هوش مصنوعی و یادگیری ماشین، دقت بالاتری در شناسایی تهدیدات و توانایی شناسایی تهدیدات جدید و ناشناخته را ارائه می دهد.
پاسخ خودکار هوشمند: KUMA می تواند به طور خودکار به تهدیدات امنیتی پاسخ دهد، که می تواند به کاهش زمان واکنش و بهبود کلی وضعیت امنیتی شما کمک کند.
هزینه مقرون به صرفه: KUMA یک راه حل SIEM قدرتمند و در عین حال مقرون به صرفه است که برای سازمان های با هر اندازه ای قابل دسترس است.
راه اندازی KUMA نسبتاً ساده است، به خصوص برای پیاده سازی های ساده تر. KUMA از رابط کاربری (UI) بصری و کاربرپسندی برخوردار است که پیکربندی و مدیریت را آسان می کند. با این حال، برای محیط های پیچیده تر، ممکن است به تخصص و تجربه بیشتری نیاز باشد.
در حالی که داشتن دانش امنیتی به طور کلی مفید است، KUMA به گونه ای طراحی شده است که کاربرپسند باشد و حتی کاربران با تجربه امنیتی متوسط نیز می توانند از آن استفاده کنند. KUMA همچنین با طیف گسترده ای از ویژگی های اتوماسیون و قابلیت های تحلیل از پیش ساخته شده ارائه می شود که استفاده از آن را برای تیم های امنیتی با کمبود منابع، تسهیل می کند.
بله، KUMA از ادغام با سایر ابزارهای امنیتی از طریق API های باز (Open APIs) پشتیبانی می کند. این امر به شما امکان می دهد تا KUMA را با سایر راه حل های امنیتی موجود در سازمان خود ادغام کنید و دیدگاه امنیتی جامع تری ایجاد کنید.
KUMA می تواند به شما در حفظ انطباق با بسیاری از الزامات انطباق، از جمله PCI DSS، HIPAA و GDPR کمک کند. KUMA با ارائه دید جامع از فعالیت های امنیتی در شبکه شما، به شما امکان می دهد تا به طور موثر تهدیدات را شناسایی کرده و به آنها پاسخ دهید.
میتوانید با کارشناسان ما در ارتباط باشید و هر گونه سوالی درمورد این محصول بپرسید.
بله، کسپرسکی طیف گسترده ای از خدمات پشتیبانی برای KUMA ارائه می دهد، از جمله نصب، پیکربندی، آموزش و پشتیبانی مداوم. این خدمات می توانند به شما در استقرار موفقیت آمیز KUMA و استفاده حداکثری از قابلیت های آن کمک کنند.
هزینه استفاده از KUMA بستگی به عوامل مختلفی از جمله تعداد کاربران، تعداد دستگاه ها و ویژگی های مورد نیاز شما دارد. برای دریافت یک پیشنهاد قیمت سفارشی، می توانید با یک نماینده فروش کسپرسکی تماس بگیرید.