مدیریت لاگ و مرکز عملیات امنیت (۱)

مدیریت لاگ پیش نیاز و پایه مانیتورینگ امنیت و یکی از بدیهی ترین قدم هایی هست که باید در یک سازمان برای ورود به حیطه مانیتورینگ امنیت برداشته شود. همانطور که قبلاً اشاره کردم، اگر مدیریت لاگ سازمان به بلوغ کافی نرسیده باشه، صحبت از مرکز عملیات امنیت (SOC)، به معنای استفاده از SIEM، بیهوده خواهد بود. البته برخی علاقه دارند که همین پیش نیاز رو هم بخشی از مرکز عملیات امنیت در نظر بگیرند. دلیل این امر معمولاً این هست که مرکز عملیات امنیت مثل بسیاری از اصطلاحات دیگر در حیطه امنیت، به عنوان یک نانجی و راه حل همه مشکلات معرفی شده و مدیران اجرایی دراینگونه سازمان ها به شدت روی این اسم تأکید دارند. طبعاً برای بدنه فنی سازمان ها هم، موضوع SOC و خرید SIEM به اندازه کافی جذاب هست. فروشندگان هم که طبعاً ترجیح می دهند یک راه حل چند صد میلیون تومانی (در بهترین حالت) یا یک راه حل در مرتبه میلیارد تومانی رو بفروشند، تا اینکه شاهد تقلیل این معامله جذاب، به یک پروژه ارزان قیمت مدیریت لاگ باشند.
قبلاً در مورد اینکه یک سازمان به طور معمول چه مراحلی رو در موضوع مدیریت لاگ طی می کنه و به اصطلاح به تکامل می رسه، نوشته بودم . نکات متنوعی در موضوع مدیریت لاگ به طور عام، و مدیریت لاگ از دیدگاه امنیت، وجود داره که در اینجا و یادداشت های بعدی به چند موردش اشاره می کنم.
انتخاب درست منابع لاگ
در یک سازمان بزرگ، شما حداقل با چند صد تجهیز شبکه، ده ها یا صدها سرور با سیستم عامل های مختلف و ده ها برنامه کاربردی عمومی و داخلی مواجه هستید. هر کدام از این سیستم ها، از نظر ماهیت کاربران، اهمیت سیستم در کسب و کار، نقش سیستم در اجرای خط مشی های امنیتی سازمان و غیره با هم تفاوت دارند. طبعاً نمی شود و نباید در قدم های اول راه اندازی مدیریت لاگ، بسیاری از سیستم ها رو به عنوان منبع لاگ، وارد بازی کرد. پس برای اینکه بیشترین بهره و مفید ترین خروجی از مدیریت لاگ به دست بیاد باید منابع لاگ مناسب رو به ترتیب به این سیستم اضافه کرد. تجهیزات امنیتی از جمله فایروال، UTM ، سیستم AAA (مثل Cisco ACS یا Cisco ISE) و سنسورهای تشخیص نفوذ (IDS) از جمله منابعی هستند که در ابتدا باید به سراغ مدیریت لاگ های اونها رفت. ممکن است بعضی برنامه های کاربردی هم وجود داشته باشند که امنیت اونها از اهمیت فوق العاده برخوردار است و به نوعی هسته کسب و کار سازمان در این برنامه ها پیاده سازی شده باشه. این برنامه ها هم، در صورتی که لاگ مناسبی تولید کنند، جزو اولین گزینه ها برای مدیریت لاگ هستند. ممکنه در اضافه کردن بعضی از منابع مهمی که اشاره کردیم به سیستم مدیریت لاگ، چالش هایی وجود داشته باشه از جمله مناسب نبودن مکانیزم جمع آوری لاگ در اون منبع خاص یا مناسب نبود فرمت و سطح لاگ تولید شده، که در جای خودش به اونها اشاره خواهیم کرد.

اشتراک گذاری

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.