🛡️ ما هو “SIEM” و ما هي إستخداماته في أمن المعلومات 🧑💻..
▪️ال SIEM هي اختصار ل security information and event management وهي عبارة عن نظام يقوم بتجميع السجلات والاحداث وعرضها لك من أكثر من مصدر بحيث تقوم بعمل تحليل لها وإتخاذ الإجراء المناسب.
▪️يوجد في الشركات والمؤسسات عدة أنظمة تعمل مع بعضها البعض على سبيل المثال يوجد في الشركة جدار حماية Firewall وأيضاً أنظمة كشف ومنع التسلل IPS & IDS أيضاً أجهزة شبكات مثل الراوترات والسويتشات Routers and Switches سيرفرات بمختلف أنواعها مثل سيرفر الإيميلات exchange server وأيضاً الأكتف دايركتوري active directory وأنظمة تخزين سواء SAN او NAS وأيضاً برامج الحماية للأجهزة endpoint security.
▪️نلاحظ انه يوجد العديد من الأجهزة والأنظمة مع كثرة الأنظمة يصبح من الصعب مراقبتها ومتابعتها لذالك تم إنشاء نظام مركزي يسمى “SIEM” يقوم بجمع الأحداث Events وأيضاً التنبيهات الأمنية Security Alerts من الأنظمة المختلفة الموجودة في البنية التحتية للشركة بحيث يصبح مركزي ومن السهل مراقبة ومتابعة الأحداث الأمنية في مكان واحد .
◼️مراحل عمل ال “SIEM”:
1️⃣ يقوم ال “SIEM” بجمع السجلات والأحداث Event & Log Collection من مختلف الأنظمة الموجودة.
2️⃣ يقوم النظام هنا تصنيف وتنظيم الأحداث التي حصل عليها سابقاً.
3️⃣ بقوم هنا بتحليل الأحداث وذلك بحسب القواعد التي تم إعداده عليها مسبقاً.
4️⃣ يقوم بالتحليل والإستنتاج للأحداث.
5️⃣ يتم إصدار تقارير بالأحداث السابقه والتوصيات لحل الإشكالات الموجودة.
◼️أمثلة لأشهر أنظمة “SIEM” الموجودة:
📍IBM Security QRadar.
📍Splunk.
📍LogRhythm.
📍RSA.
📍SolarWinds Log & Event Manager.
