بسم الله الرحمن الرحيم

اليوم سوف نقوم بالتحدث عن SIEM وهي اختصار لـ security information and event management هي عبارة عن نظام يقوم بتجميع السجلات والاحداث وعرضها لك من أكثر من مصدر بحيث تقوم بعمل تحليل لها وإتخاذ الإجراء المناسب .

في أكثر الشركات والمؤسسات يوجد عدة أنظمة تعمل مع بعضها البعض على سبيل المثال يوجد في الشركة جدار حماية Firewall وأيضاً أنمظة كشف ومنع التسلل IPS & IDS أيضاً أجهزة شبكات مثل الراوترات والسويتشات Routers and Switches سيرفرات بمختلف أنواعها مثل سيرفر الإيميلات exchange server وأيضاً الأكتف دايركتوري active directory وأنظمة تخزين سواء SAN او NAS وأيضاً برامج الحماية للأجهزة endpoint security

نلاحظ انه يوجد العديد من الأجهزة والأنظمة مع كثرة الأنظمة يصبح من الصعب مراقبتها ومتابعتها لذالك تم إنشاء نظام مركزي يسمى SIEM يقوم بجمع الأحداث Events وأيضاً التنبيهات الأمنية Security Alerts من الأنظمة المختلفة الموجودة في البنية التحتية للشركة بحيث يصبح مركزي ومن السهل مراقبة ومتابعة الأحداث الأمنية في مكان واحد .

 

 

مراحل عمل الـ SIEM

1- يقوم الـ SIEM بجمع السجلات والأحداث Event & Log Collection من مختلف الأنظمة الموجودة .
2- يقوم النظام هنا تصنيف وتنظيم الأحداث التي حصل عليها سابقاً.
3- بقوم هنا بتحليل الأحداث وذلك بحسب القواعد التي تم إعداده عليها مسبقاً.
4- يقوم بالتحليل والإستنتاج للأحداث.
5- يتم إصدار تقارير بالأحداث السابقه والتوصيات لحل الإشكالات الموجودة .

أمثلة لأشهر أنظمة SIEM الموجودة

1- IBM Security QRadar

 

2- Splunk

 

 

3- LogRhythm

4- McAfee Enterprise Security Manager (ESM)

 

5- AlienVault Unified Security Management (USM)

 

6- RSA

 

 

7- SolarWinds Log & Event Manager

 

هذا وأتمنى التوفيق للجميع