ما هو SIEM ؟
وكيف يساعد في كشف الهجمات السيبرانية داخل المؤسسات ؟
الـ #SIEM هو اختصار لـ Security Information and Event Management وهو نظام يستخدم داخل المؤسسات من أجل جمع وتحليل الأحداث والسجلات الأمنية
الصادرة من الأنظمة المختلفة بهدف اكتشاف أي نشاط غير طبيعي قد يشير إلى هجوم سيبراني.
يمكن تشبيه SIEM بأنه مركز مراقبة ذكي للشبكة حيث يقوم بمتابعة ما يحدث داخل المؤسسة بشكل مستمر
يعمل SIEM من خلال عدة وظائف أساسية أهمها ::
1- جمع السجلات ( Logs ) من مختلف الأنظمة :
مثل الخوادم الجدران الناري وأجهزة المستخدمين والتطبيقات وقواعد البيانات هذه السجلات تحتوي على معلومات حول الأنشطة التي تحدث داخل الشبكة مثل تسجيل الدخول والوصول إلى الملفات ومحاولات الاتصال بين الأنظمة
2- تنظيم وتوحيد البيانات القادمة من مصادر مختلفة:
لأن كل نظام يسجل الأحداث بطريقة مختلف ويقوم SIEM بتحويل هذه البيانات إلى صيغة موحدة لتسهيل تحليلها وفهمها
3- تحليل الأنشطة داخل الشبكة :
من خلال البحث عن السلوك غير الطبيعي أو الأنماط التي قد تشير إلى هجوم سيبراني
4- ربط الأحداث ببعضها ( Correlation )
حيث يقوم النظام بتحليل مجموعة من الأحداث معًا بدلا من النظر إلى كل حدث بشكل منفصل وهذا يسمح له بفهم الصورة الكاملة للنشاط داخل الشبكة
على سبيل المثال قد يلاحظ SIEM التسلسل التالي
عدة محاولات تسجيل دخول فاشلة.ط
بعدها تسجيل دخول ناجح إلى الحساب
ثم محاولة الوصول إلى ملفات حساسة
عند ربط هذه الأحداث معا وقد يستنتج النظام أن الحساب ربما تعرض للاختراق
عندما يكتشف SIEM نشاطًا مشبوها فإنه يقوم بإرسال تنبيه أمني ( Alert ) إلى فريق الأمن السيبراني
داخل المؤسسة حتى يتم التحقيق في الحادثة بسرعة وفي بعض البيئات المتقدمة يمكن للنظام أن يتكامل مع أدوات أخرى لتنفيذ إجراءات فورية مثل :
حظر عنوان IP مشبوه
تعطيل حساب مستخدم .
عزل جهاز يُعتقد أنه مخترق .
أهمية SIEM في أن الهجمات السيبرانية الحديثة غالبا ما تبدأ بخطوات صغيرة وغير واضحة مثل محاولة تسجيل دخول غير معتادة أو استخدام صلاحيات بشكل غير طبيعي ومن خلال تحليل السجلات وربط الأحداث يستطيع SIEM اكتشاف هذه الإشارات المبكرة قبل أن يتحول الهجوم إلى اختراق كامل
يعد SIEM أحد أهم أنظمة الأمن السيبراني في المؤسسات لأنه يجمع البيانات من الأنظمة المختلفة ويحللها بشكل مستمر ويربط الأحداث المشبوهة ببعضها مما يساعد فرق الأمن على اكتشاف التهديدات والاستجابة لها بسرعة وكفاءة
