: :
ارسال شده توسط
پادکست

سلام، من محمد قنبری هستم و شما دارید به اپیزود دوم پادکست سیم‌باز گوش می‌دید.
این پادکست برای اوناییه که دورهٔ Splunk Enterprise Security من رو گذروندن یا در مسیر یادگیریش هستن و همچنین مهندسان SIEM طراحی شده و هدفمان اینه که مفاهیم تاکتیکی، تجربه‌های واقعی، و دیدگاه‌های تحلیلی رو بیرون از فضای کلاس، با زبانی ساده‌تر ادامه بدیم.
بریم شروع کنیم.

در دنیای امروز، لاگ‌ها و تحلیل اون‌ها دیگه یک انتخاب نیست، بلکه یک ضرورت قطعی برای هر تیم امنیتیه. اگه شما هم به هر شکلی با تحلیل لاگ‌ها درگیر هستید، چه به تازگی کارتون رو شروع کرده باشید و چه سال‌هاست که یک سیستم SIEM رو مدیریت می‌کنید، این پادکست برای شماست.

هدف اصلی ما در این قسمت اینه که ببینیم چطور می‌تونیم لاگ‌هامون رو عملیاتی کنیم و از یک SIEM که صرفاً برای رفع تکلیف و انطباق‌پذیری (Compliance) پیاده‌سازی شده، به سمت یک SIEM تاکتیکی، هوشمند و واقعاً کارآمد حرکت کنیم.

در این مسیر، ابتدا تفاوت این دو رویکرد رو بررسی می‌کنیم، بعد وارد دنیای برنامه‌ریزی و استراتژی‌های جمع‌آوری داده می‌شیم و در نهایت، به محاسبات فنی و مشکلات رایجی که خیلی از سازمان‌ها باهاش دست و پنجه نرم می‌کنند، می‌پردازیم.

پس بیایید با هم اولین قدم رو برداریم و ببینیم که در دوراهی بزرگ پیاده‌سازی SIEM، کدوم مسیر ما رو به مقصد می‌رسونه.

2. دو راهی SIEM: انطباق‌پذیری در برابر رویکرد تاکتیکی

بسیاری از سازمان‌ها سفر خودشون رو در دنیای SIEM با یک هدف مشخص شروع می‌کنند: انطباق‌پذیری یا همون Compliance. این موضوع می‌تونه هم یک فرصت عالی باشه و هم یک تهدید بزرگ. درک تفاوت بین رویکرد مبتنی بر انطباق‌پذیری و رویکرد تاکتیکی، یک تصمیم استراتژیک هست که سرنوشت کل پروژه SIEM شما رو مشخص می‌کنه.

نقش انطباق‌پذیری (Compliance)

باید منصف باشیم؛ انطباق‌پذیری می‌تونه نقطه شروع خیلی خوبی باشه.  اغلب این الزامات قانونی یا صنعتی هستند که باعث میشن مدیریت بودجه لازم برای خرید و طراحی یک SIEM رو تأیید کنه. این یک اتفاق مثبته، چون حداقل استانداردهای امنیتی رو در سازمان تعریف می‌کنه. اما مشکل اینجاست که این الزامات معمولاً خیلی کلی و مبهم هستند و به ندرت مشخص می‌کنند که دقیقاً چه چیزی باید لاگ‌برداری بشه.

مشکلات SIEM مبتنی بر انطباق‌پذیری

و اینجاست که مشکلات شروع میشن. چون الزامات واضح نیستند، خیلی از تیم‌ها به سمت جمع‌آوری هر لاگی که به دستشون می‌رسه حرکت می‌کنند. نتیجه؟ یک سیستم SIEM “متورم”، کند و غیرپاسخگو. سیستمی که پر از لاگ‌های بی‌ارزشه و وقتی واقعاً بهش نیاز دارید، شما رو ناامید می‌کنه. بذارید اینطور بگم: اگر اجرای یک جستجوی ساده در SIEM شما نیاز به یک استراحت و نوشیدن قهوه داره، شما یک مشکل جدی دارید.

معرفی SIEM تاکتیکی

در مقابل، یک SIEM تاکتیکی قرار داره. هدف این رویکرد، شناسایی و پاسخ به رخدادهای امنیتی و ایجاد ارزش افزوده برای سازما‌نه. یک SIEM تاکتیکی، یک موجود زنده است؛ دائماً در حال تکامل و تنظیمه. جالبه بدونید که این سیستم‌ها اغلب با داده‌های بسیار کمتر، ارزش بسیار بیشتری تولید می‌کنند.

هزینه و تلاش

البته، ساخت و نگهداری یک SIEM تاکتیکی کار ساده‌ای نیست و نیاز به تلاش و تخصص زیادی داره.  برای مثال، برای به‌روز نگه داشتن یک SIEM تاکتیکی، شما باید آخرین تکنیک‌های نفوذ رو در یک محیط آزمایشگاهی شبیه‌سازی کنید، ببینید چه رخدادهای کلیدی تولید میشن و بعد اون‌ها رو به سیستم SIEM خودتون اضافه کنید. این یک فرآیند پویا و بی‌پایانه.

پس قبل از هر چیز باید هدف اصلی خودمون رو مشخص کنیم. بیایید ببینیم تعریف رسمی و هدف واقعی یک سیستم SIEM چیه.

3. هدف واقعی یک SIEM چیست؟

صرف نظر از اینکه رویکرد شما تاکتیکیه یا مبتنی بر انطباق‌پذیری، یک SIEM اهداف مشخصی داره. درک این اهداف به ما کمک می‌کنه تا از پیاده‌سازی‌های شکست‌خورده جلوگیری کنیم.

تعریف گارتنر

موسسه معتبر گارتنر، SIEM رو اینطور تعریف می‌کنه:

“فناوری SIEM از طریق جمع‌آوری و تحلیل (هم به صورت نزدیک به زمان واقعی و هم تاریخی) رخدادهای امنیتی و همچنین طیف گسترده‌ای از منابع داده متنی و رخدادهای دیگر، از شناسایی تهدید، انطباق‌پذیری و مدیریت حوادث امنیتی پشتیبانی می‌کند.”

اگر این تعریف رو بشکافیم، به چهار مؤلفه اصلی می‌رسیم:

  1. جمع‌آوری رخدادهای متنوع: از سیستم‌عامل‌ها گرفته تا فایروال‌ها و پایگاه‌داده‌ها.
  2. ایجاد زمینه (Context): غنی‌سازی داده‌ها برای درک بهتر رخدادها.
  3. پیاده‌سازی قابلیت‌های تحلیل آنی (Real-time): برای شناسایی تهدیدها در لحظه.
  4. پیاده‌سازی قابلیت‌های تحلیل تاریخی (Historical): برای بررسی و شکار تهدیدهای گذشته.

واقعیت پیاده‌سازی

اما واقعیت همیشه با این تعریف ایده‌آل مطابقت نداره. اکثر هشدارهای پیش‌فرض محصولات SIEM نیاز به تنظیم دقیق یا حتی غیرفعال‌سازی دارند تا از حجم بالای هشدارهای غلط جلوگیری بشه. همچنین، خیلی از محصولات در زمینه تحلیل تاریخی ضعف دارند و این قابلیت رو صرفاً به ذخیره لاگ‌ها برای تحلیل‌های دستی محدود می‌کنند.

هیچ راه‌حل آماده‌ای وجود ندارد

این یک حقیقت مهمه که باید با اون روبرو بشیم:  هیچ راه‌حل SIEM “آماده مصرف” یا “out of the box” وجود نداره. هر محیط سازمانی منحصر به فرد و پیچیده‌ست. یک سازمان با ده هزار سیستم، به راحتی می‌تونه بیش از ۱۰۰ منبع رخداد مختلف داشته باشه. جمع‌آوری و همبسته‌سازی لاگ‌ها از این همه منبع متنوع، کار فنی دشواری نیست. بخش سخت ماجرا، پیدا کردن افراد و زمان لازم برای پیکربندی مداوم این سیستم‌هاست.

با توجه به این پیچیدگی‌ها، یک چیز کاملاً روشنه: برنامه‌ریزی دقیق، حیاتی‌ترین گام برای موفقیته.

4. برنامه‌ریزی SIEM: نقشه راه موفقیت

بسیاری از پروژه‌های SIEM قبل از اینکه حتی شروع بشن، شکست می‌خورند و دلیل اصلی اون، فقدان برنامه‌ریزیه.  این مرحله استراتژیک، سنگ بنای کل سیستم شماست.

سوالات کلیدی قبل از پیاده‌سازی

قبل از نوشتن حتی یک خط کد یا خرید هرگونه سخت‌افزاری، باید از خودتون این سوالات رو بپرسید:

  • دقیقاً چه لاگ‌هایی را می‌خواهید جمع‌آوری کنید؟
  • چرا این لاگ‌ها را جمع‌آوری می‌کنید؟ هدف چیه؟
  • آیا دسترسی و مجوزهای لازم برای جمع‌آوری این لاگ‌ها رو دارید؟
  • آیا قراره همه چیز رو جمع‌آوری کنید یا فقط رخدادهای کلیدی و مهم؟

استراتژی‌های پیاده‌سازی (Rollout)

در مورد نحوه پیاده‌سازی، دو رویکرد اصلی وجود داره:

  1. رویکرد اول (ناموفق): بعضی سازمان‌ها سعی می‌کنند اول تمام منابع رخداد رو به سیستم متصل کنند و بعد به سراغ تحلیل و ساخت هشدارها برن. این روش یک حجم عظیمی از داده بدون هیچ ارزش فوری ایجاد می‌کنه و معمولاً منجر به سردرگمی و شکست پروژه میشه.
  2. رویکرد دوم (پیشنهادی): یک روش بسیار بهتر اینه که روی منابع رخداد خاص و کلیدی تمرکز کنید. برای مثال، اول فقط لاگ‌های Active Directory رو جمع‌آوری کنید، داشبوردها و هشدارهای مربوط به اون رو بسازید و وقتی از عملکردش مطمئن شدید، به سراغ منبع بعدی مثل فایروال برید. این روش به شما اجازه میده که از همون ابتدا از داده‌های جمع‌آوری شده ارزش استخراج کنید.

تصمیم‌گیری در مورد استراتژی، ما رو به یک سوال مهم‌تر می‌رسونه: استراتژی ما برای خودِ «جمع‌آوری داده» چیه؟

5. استراتژی‌های جمع‌آوری داده: انتخاب رویکرد مناسب

انتخاب استراتژی جمع‌آوری داده یکی از مهم‌ترین تصمیمات در طراحی یک SIEM کارآمده. گارتنر در این زمینه دو اصطلاح کلیدی رو معرفی کرده: input-driven و output-driven.

استراتژی Input-Driven (رویکرد احتکارگر)

  • تعریف: این استراتژی یعنی “جمع‌آوری همه چیز” از یک دستگاه. مثلاً تمام لاگ‌های امنیتی ویندوز رو بدون هیچ فیلتری جمع می‌کنید.
  • مزایا: مزیت اصلیش ساده‌ست: “شما داده را در اختیار دارید.” شاید روزی به دردی بخوره.
  • معایب: اما این رویکرد هزینه‌های سنگینی داره: جستجو در این حجم از داده بسیار دشواره، سیستم کند میشه و هزینه‌های ذخیره‌سازی و لایسنس سر به فلک می‌کشه. درست مثل اینه که یک انبار پر از قوطی کنسرو داشته باشید و وقتی به یک قوطی خاص سوپ کلم بروکلی و پنیر نیاز دارید، نتونید پیداش کنید. داده‌ها اونجا هستن، اما در عمل غیرقابل استفاده‌ان.
  • چرا سازمان‌ها این کار را می‌کنند؟ معمولاً به چهار دلیل: ۱) الزامات اشتباه کسب‌وکار، ۲) درک نادرست از انطباق‌پذیری، ۳) تکنیک‌های فروش تهاجمی فروشندگان SIEM، و ۴) ذهنیت احتکار که می‌گه “شاید روزی لازم بشه”.

استراتژی Output-Driven

  • تعریف: این استراتژی دقیقاً برعکسه. شما فقط لاگ‌هایی رو جمع‌آوری می‌کنید که از قبل نیازشون رو شناسایی کردید. مثلاً فقط لاگ‌های مربوط به تلاش‌های ناموفق برای ورود به سیستم.
  • مزایا: این کم‌هزینه‌ترین رویکرده، پیاده‌سازی ساده‌تری داره و عملکرد جستجو در اون فوق‌العاده‌ست.
  • معایب: ریسک اصلی اینه که ممکنه یک رخداد مهم رو از دست بدید، چون نیازش رو پیش‌بینی نکرده بودید. همچنین هزینه‌های پنهانی مثل آموزش مداوم تیم برای به‌روز نگه داشتن دانششون در مورد تهدیدهای جدید وجود داره.

استراتژی ترکیبی (Hybrid)

  • تعریف: این رویکرد که نویسنده این دوره اون رو پیشنهاد می‌کنه، ترکیبی هوشمندانه از دو روش قبلیه و در واقع راهکاریه که گارتنر بهش اشاره نکرده اما در عمل بسیار کارآمده.
  • فرآیند: شما در ابتدا همه چیز رو جمع‌آوری می‌کنید، اما بعد به طور مداوم رخدادهایی که تکرار بالا و ارزش کمی دارند رو شناسایی و فیلتر می‌کنید. (با لحنی هیجان‌زده) با این روش، به راحتی می‌تونید ۸۰ تا ۹۰ درصد از رخدادهای بی‌ارزش و پر سر و صدا رو حذف کنید.
  • مزایا و معایب: مزیت بزرگش اینه که داده‌های تاریخی مهم رو از دست نمی‌دید، اما هزینه‌های نگهداری شما به شدت کاهش پیدا می‌کنه. عیب اصلیش اینه که نیاز به نگهداری و تنظیم مداوم داره.

حالا که می‌دونیم «چگونه» جمع‌آوری کنیم، سوال بعدی اینه که «چه چیزی» رو جمع‌آوری کنیم؟

6. چه چیزی را جمع‌آوری و تحلیل کنیم؟

انتخاب منابع لاگ از میان گزینه‌های بی‌شمار مثل سیستم‌عامل‌ها، فایروال‌ها، پایگاه‌داده‌ها، تجهیزات شبکه و… می‌تونه یک چالش بزرگ باشه.

سردرگمی ناشی از انطباق‌پذیری

همونطور که گفتیم، الزامات مبهم انطباق‌پذیری خیلی از سازمان‌ها رو به سمت این ذهنیت اشتباه سوق میده که “باید همه چیز را لاگ‌برداری کنم”. توصیه ما اینه: الزامات انطباق‌پذیری خودتون رو با دقت تحلیل کنید. در اکثر موارد، اون‌ها اونقدرها هم که فکر می‌کنید سخت‌گیرانه نیستند.

یک توصیه کلیدی

دان مورداک (Don Murdoch)، یکی از متخصصان برجسته امنیت، یک توصیه طلایی داره که می‌تونه راهنمای ما باشه. او می‌گه:

 “اگر مجبور به انتخاب هستید، داده‌های قابل انتساب به کاربر را بر همه چیز ترجیح دهید. این کار یک نقطه تماس برای شما فراهم می‌کند که ممکن است رفتار مشاهده‌شده را بهتر از هر حدس و گمانی توضیح دهد.”

این توصیه فوق‌العاده مهمه. تمرکز بر لاگ‌هایی که به یک کاربر خاص مرتبطه (مثل لاگین‌ها، دسترسی به فایل‌ها و…) به شما قدرت توضیح میده. به جای ساعت‌ها حدس و گمان برای تحلیل یک رفتار مشکوک، شما می‌تونید خیلی ساده از خود اون کاربر بپرسید که چه اتفاقی افتاده. این کار می‌تونه یک رخداد امنیتی رو در چند دقیقه حل کنه، نه چند ساعت.

خب، حالا که استراتژی‌ها رو مشخص کردیم، وقتشه که وارد بخش فنی و یکی از حساس‌ترین مراحل بشیم: محاسبات و سایزبندی SIEM.

7. محاسبات فنی: سایزبندی صحیح SIEM

سایزبندی نادرست SIEM می‌تونه به راحتی کل پروژه شما رو با شکست مواجه کنه. اگر سیستم شما نتونه حجم لاگ‌ها رو پردازش کنه، شما شروع به از دست دادن لاگ‌ها (Log Dropping) می‌کنید و این یعنی از دست دادن دیده‌بانی. دو معیار اصلی در اینجا وجود داره: EPS و فضای ذخیره‌سازی.

بخش اول: محاسبه حجم لاگ (EPS)

  • تعریف EPS: EPS مخفف Events Per Second یا “رخداد بر ثانیه” است. این معیار کلیدی‌ترین فاکتور برای سایزبندی سخت‌افزار و نرم‌افزار SIEM شماست.
  • روش‌های محاسبه: سه روش برای محاسبه EPS وجود داره:
    1. اثبات مفهوم (POC): این دقیق‌ترین و بهترین روشه. شما یک نمونه کوچک از محیط خودتون رو برای مدتی به SIEM متصل می‌کنید و آمار واقعی رو به دست میارید.
    2. استفاده از اسکریپت: این یک جایگزین خوبه. می‌تونید با اسکریپت‌های PowerShell یا پایتون، تعداد لاگ‌های تولید شده در سیستم‌عامل‌های ویندوز و لینوکس رو اندازه‌گیری کنید.
    3. استفاده از مطالعات معیار (Metric Studies): این روش به شدت توصیه نمی‌شود(با تأکید) مطالعات مختلف اعداد بسیار متفاوتی ارائه میدن. برای مثال، یک مطالعه EPS برای یک دسکتاپ ویندوز رو 0.005 و مطالعه دیگری 1.0 تخمین زده. این یعنی ۲۰۰ برابر تفاوت!
  • خطر Peak EPS: یک اشتباه مرگبار، سایزبندی بر اساس میانگین EPS روزانه است. فرض کنید یک کسب‌وکار در روز ۱۰۰,۰۰۰ رخداد تولید می‌کنه که میانگینش میشه حدود 1.16 EPS. اما اگر ۸۰٪ این رخدادها در ۹ ساعت کاری تولید بشن، EPS واقعی در ساعات اوج کاری به 2.47 می‌رسه، یعنی بیش از دو برابر میانگین! همیشه برای ساعات اوج، ضریب اطمینان در نظر بگیرید.
  • تمثیل ماهی قرمز: این وضعیت مثل خرید یک ماهی قرمز برای یک بچه‌ست. بچه از روی علاقه، بیش از حد به ماهی غذا میده. آب کثیف میشه و در نهایت ماهی می‌میره. (با لحنی داستانی) ارسال لاگ بیش از ظرفیت به یک SIEM هم دقیقاً همین نتیجه رو داره: سیستم شما از کار می‌افته و می‌میره. و اینجاست که شما به عنوان متخصص امنیت باید هوشمندانه عمل کنید. دفعه بعد که یک واحد تجاری از شما خواست لاگ‌های جدیدی رو اضافه کنید، به جای جواب منفی، مکالمه رو به سمت هزینه ببرید: «بله، حتماً، اضافه کردن این لاگ‌ها سالانه X تومان هزینه اضافی برای لایسنس و سخت‌افزار داره. آیا بودجه‌ش رو تأیید می‌کنید؟»

بخش دوم: محاسبه فضای ذخیره‌سازی

  • چالش‌ها: محاسبه فضای ذخیره‌سازی حتی از EPS هم سخت‌تره. عواملی مثل الگوریتم‌های فشرده‌سازی، فرمت ذخیره‌سازی (پایگاه‌داده یا فایل متنی) و تفاوت در اندازه لاگ‌ها، این محاسبه رو پیچیده می‌کنه.
  • راهکار عملی: خبر خوب اینه که فضای ذخیره‌سازی روز به روز ارزان‌تر میشه. بنابراین، استفاده از یک مقدار ثابت (مثلاً ۳۰۰ بایت برای هر رخداد فایروال یا ۷۰۰ بایت برای هر رخداد ویندوز) و اضافه کردن یک حاشیه اطمینان مناسب، می‌تونه یک رویکرد قابل قبول باشه.
  • داده‌های Hot در مقابل Warm: شما باید یک سیاست نگهداری داده (Data Retention Policy) داشته باشید. داده‌های “داغ” یا Hot، داده‌های جدیدی هستند که باید روی دیسک‌های سریع مثل SSD ذخیره بشن تا تحلیل‌ها به سرعت انجام بشه. داده‌های “گرم” یا Warm، داده‌های قدیمی‌تر هستند که می‌تونن به دیسک‌های کندتر و ارزان‌تر برای آرشیو منتقل بشن. این کار هزینه‌ها رو مدیریت می‌کنه و عملکرد سیستم رو بالا نگه می‌داره.

با وجود بهترین برنامه‌ریزی‌ها و محاسبات، هنوز هم دام‌هایی وجود داره که می‌تونن موفقیت پروژه شما رو تهدید کنند.

8. دام‌های رایج در پیاده‌سازی SIEM

این بخش یک چک‌لیست از اشتباهات رایجه که باید از اون‌ها دوری کنید:

  1. پیاده‌سازی بدون برنامه یا نقشه راه: شروع پروژه فقط به خاطر فشار انطباق‌پذیری یا دستور یک مدیر جدید، تقریباً همیشه به شکست منجر میشه.
  2. پیاده‌سازی بدون دانش تخصصی و موارد استفاده (Use Cases): این کار SIEM شما رو به یک سیستم “تنظیم کن و فراموش کن” تبدیل می‌کنه که هیچ ارزشی برای سازمان ایجاد نمی‌کنه.
  3. تمرکز صرف بر جمع‌آوری لاگ به جای تحلیل: بعضی سازمان‌ها یک سال یا بیشتر رو صرف جمع‌آوری همه لاگ‌ها می‌کنند، بدون اینکه از اون‌ها استفاده کنند. این یک اشتباه بزرگ در اولویت‌بندیه.
  4. نادیده گرفتن افراد و زمان:  این شاید شایع‌ترین مشکل باشه. خرید یک SIEM گران‌قیمت بدون اختصاص دادن پرسنل کافی و تمام‌وقت برای نگهداری و تنظیم مداوم اون، مثل خرید یک ماشین مسابقه‌ای بدون راننده‌ست.

این دام‌ها، هشدارهای نهایی ما بودند. حالا بیایید تمام نکات رو در یک جمع‌بندی نهایی مرور کنیم.

9. نتیجه‌گیری و جمع‌بندی نهایی

در این پادکست، ما یک سفر فشرده به دنیای ساخت یک SIEM تاکتیکی داشتیم. یاد گرفتیم که باید از ذهنیت صرفاً انطباق‌پذیری فاصله بگیریم و به سمت یک رویکرد تاکتیکی و ارزش‌آفرین حرکت کنیم. دیدیم که برنامه‌ریزی دقیق، انتخاب هوشمندانه استراتژی جمع‌آوری داده (ترجیحاً رویکرد ترکیبی) و محاسبات واقع‌بینانه برای حجم لاگ و فضای ذخیره‌سازی، ستون‌های اصلی یک پروژه موفق هستند.

و در نهایت، پیام کلیدی اینه:  یک SIEM موفق یک محصول نیست که بخرید و نصب کنید؛ بلکه یک فرآیند مداوم است که به تخصص، زمان و مراقبت همیشگی نیاز دارد.

از اینکه در این قسمت با ما همراه بودید، سپاسگزارم. امیدوارم این نکات برای شما مفید بوده باشه. تا قسمت بعدی، امن و هوشیار باشید.

دانلود مستقیم

دانلود مستقیم
برچسب ها:

پست های مرتبط

15 اردیبهشت 1405

سیم باز فصل دوم قسمت اول: شکار تهدیدات پنهان با Splunk و لاگ‌های معمولی

ادامه مطلب

23 فروردین 1405

اتصال Threat Intelligence در Splunk ES به پورتال شاخص‌های آلودگی AFTA: راهنمای جامع و عملیاتی

ادامه مطلب

19 بهمن 1404

الفبای SOAR قسمت ششم – فقط ابزار نخرید، استراتژی بسازید!

ادامه مطلب

19 بهمن 1404

الفبای SOAR قسمت پنجم – کالبدشکافی SOAR: زیر کاپوت این ماشین امنیتی چه خبره؟

ادامه مطلب

19 بهمن 1404

الفبای SOAR قسمت چهارم – هنر پاسخ‌دهی (Response)

ادامه مطلب

دیدگاهتان را بنویسید