در سازمان‌هایی که از بستر فناوری اطلاعات استفاده می‌کنند، روزانه حجم عظیمی از رخدادنماها و هشدارها توسط تجهیزات و حسگرهای مختلف شبکه‌ای و امنیتی تولید می‌شود که بررسی دقیق، ارزیابی و اهمیت‌دهی به موارد مهم، به صورت انسانی کاری بسیار پرزحمت، پرهزینه و همراه با اشتباه و چه بسا غیرممکن خواهد بود. در یک شبکه سازمانی با اندازه متوسط روزانه بیش از چند میلیون رخدادنما تولید می‌شود که تا اندازه‌ای می‌تواند مشخص کننده مشکلات پردازش انسانی رخدادنماها باشد. همچنین تنوع رخدادنماها و قالب‌ها و زبان‌های مختلف به کار گرفته شده در آن‌ها برای بیان یک اتفاق یکسان، مشکلات پردازش انسانی رخدادنماها را آشکارتر می‌سازد. به منظور حل این مشکل، راه‌کارهای مختلفی ارائه شده است. این راه‌کارها با نام‌هایی همچون مدیریت رخدادنما (Log Management)، مدیریت رویدادها و اطلاعات امنیتی (SIEM: Security Information & Event Management) و مرکز عملیات امنیت (SOC: Security Operations Center) ارائه می‌شوند.
مرکز عملیات امنیت، به عنوان کامل‌ترین راه‌کار برای موضوع یاد شده، ارائه شده است. همان طور که از نام آن مشخص است به صورت یک مرکز راه‌اندازی شده و بنابراین از سه جزء تکنولوژی، تیم‌های انسانی و فرآیندها تشکیل شده است. این مرکز با پایش ۲۴ × ۳۶۵ شبکه سازمان، نمایی بلادرنگ از وضعیت امنیتی شبکه و رخدادهای جاری فراهم می‌کند و در صورت بروز حادثه، در سریع‌ترین زمان ممکن حادثه را تشخیص داده و سازمان را در رفع حادثه یاری نماید.
مرکز عملیات امنیت، با بهره‌گیری از تکنولوژی‌های مختلف، در سریع‌ترین زمان ممکن، تغییرات وضعیت امنیتی سازمان را مورد ارزیابی قرار داده و حوادث مهم را مشخص می‌کند. انجام این کار با استفاده از تکنولوژی‌های به کار رفته و نیروهای متخصص که آموزش داده می‌شوند، باعث کاهش هزینه‌های بسیاری خواهد شد که در زیر به برخی از آن‌ها اشاره شده است:

  • کاهش هزینه‌ زمانی لازم برای جمع‌آوری رخدادنماها و هشدارها در مواقع ضروری
  • کاهش هزینه نگهداری رخدادنماها و هشدارها، با استفاده از مکانیزم‌های فشرده‌سازی، حذف تکرار و پالایش رخدادنماهای غیر مفید
  • کاهش هزینه‌ انسانی پردازش رخدادنماها و هشدارهای اولیه با دسته‌بندی و سابقه‌گیری خودکار از حوادث
  • کاهش هزینه‌های وارسی و ارزیابی رویدادها و حوادث سابقه‌دار و شناخته شده با استفاده از مکانیزم‌های یادگیری
  • کاهش هزینه‌های تحلیل و کشف ارتباط بین حوادث و رویدادهای مختلف
  • کاهش هزینه‌های انسانی رسیدگی به حادثه، با استفاده از تیم متخصص آموزش دیده و اجتناب از انجام اعمال اضافی و دوری از روش‌های آزمون و خطا در شناسایی علل وقوع حوادث
  • کاهش هزینه‌‍‌های ناشی از تداوم خسارت منتج از حوادث مخرب با جلوگیری از اتلاف زمان و پیشروی حادثه
  • کاهش هزینه‌های ناشی از قطع سرویس با فراهم نمودن پیوستگی ارائه‌ خدمات
  • کاهش هزینه‌های هماهنگی مکانیزم‌های تشخیص حوادث با تغییرات سیستم اطلاعاتی سازمان

مرکز عملیات امنیت، با ارائه‌ خدمات زیر به تشخیص حوادث مهم امنیتی از میان حجم عظیم گزارش‌ها، هشدارها و رخدادنماها می‌پردازد و به آنها رسیدگی می‌کند. راه‌اندازی مرکز عملیات امنیت، به عنوان ابزاری جهت تشخیص، تحلیل و رسیدگی به حوادث در این مرکز مورد استفاده قرار می‌گیرد.

شرکت مهندسی پیام پرداز - مرکز عملیات امنیت

مرکز عملیات امنیت علاوه بر قابلیت‌های یک SIEM مرسوم، امکانات لازم جهت رسیدگی به حوادث امنیتی و همچنین ابزارهای لازم جهت به‌روزرسانی دانش متناسب با شرایط سازمان را نیز فراهم می‌نماید. با راه‌اندازی مرکز عملیات امنیت، خدمات زیر به سازمان موردنظر ارائه می‌شود:

  • جمع‌آوری رخدادنماها و هشدارها از کاربردها، تجهیزات مختلف شبکه‌ای و حسگرهای امنیتی
  • یکنواخت نمودن قالب تمامی گزارش‌ها، رخدادنماها و هشدارها و نرمال‌سازی معنایی
  • نگهداری بلند مدت هشدارها و رخدادنماها با قابلیت بازیابی بلادرنگ آنها
  • پالایش هشدارها، رخدادنماها و گزارش‌های بی‌مصرف
  • تشخیص هشدارها و گزارش‌های غیر مفید و ناصحیح با قابلیت هماهنگی با محیط عملیاتی
  • تحلیل و همبسته‌سازی بلادرنگ رویدادهای مربوط به حملات مختلف
  • کشف علت ریشه‌ وقوع حوادث جهت برخورد اصولی با آنها
  • تطبیق رویدادها با سیاست‌های امنیتی سازمان
  • تطبیق حوادث با آسیب‌پذیری‌های سازمان
  • تشخیص و اولویت‌بندی حوادث امنیتی از میان حملات اینترنتی و رویدادهای شبکه‌ای
  • ارائه‌ داشبورد پایش بلادرنگ حوادث و رویدادهای امنیتی
  • تعیین و پیگیری گردش کار رسیدگی به حادثه از طریق سیستم
  • تولید گزارش‌های آماری مختلف از رویدادها و حوادث جهت آگاهی از وضعیت امنیتی
  • کاوش الگوهای رویدادها و حملات جدید با استفاده از ابزارهای خودکار
  • به‌روزرسانی قوانین و روال‌های تشخیص، تحلیل و رسیدگی به حادثه به طور پیوسته
  • تحلیل و پایش ۲۴ ساعته رویدادها و حوادث امنیتی
  • امکانات لازم برای استفاده از دانش نیروهای متخصص در راهبری و عملکرد سیستم با آگاهی از شرایط سازمان
  • تشخیص زودهنگام حوادث امنیتی با تحلیل رفتاری شبکه
  • ارائه‌ راهبرد رسیدگی به حادثه
  • تشخیص تغییرات وضعیت امنیتی سازمان
  • پیگیری روال تشخیص، تحلیل و رسیدگی به حادثه
  • تخصیص صحیح منابع انسانی در رسیدگی به حوادث بر اساس میزان اهمیت حوادث و حساسیت دارایی‌های سازمان

مشخصات جمع‌آوری رخدادنماها (LC)

  • انعطاف‌پذیری در دریافت ورودی از تجهیزات مختلف شبکه‌ای و امنیتی و کاربردها
  • امکان افزودن هر نوع کاربرد یا تجهیز جدید خاص هر سازمان به سامانه
  • پشتیبانی از تعداد نامحدود حسگر و نرخ نامحدود برای هر حسگر
  • امکان تعریف فیلترهای مختلف برای حذف داده‌های نامرتبط یا داده‌های مورد نظر سازمان
  • فشرده‌سازی سازی با ضریب ۱۰:۱، به منظور کاهش مصرف پهنای باند شبکه‌
  • انتقال امن رخدادنماها و تضمین صحت آن‌ها و حفظ محرمانگی به طور کامل
  • اعتماد پذیری انتقال  و نگهداری موقت داده‌ها در صورت قطع ارتباط بین واحد جمع‌آوری و سرور

مشخصات آرشیو (LM)

  • قابلیت نگهداری بلند مدت داده‌ها به صورت قابل تنظیم و در بازه‌های زمانی شش ماه و بیشتر
  • فشرده سازی و رمزنگاری کلیه داده‌هایی که در آرشیو نگهداری می‌شوند
  • استفاده از قالب‌های داده استاندارد(IDMEF) و (IODEF) برای نگهداری حمله و حادثه و حداکثر انعطاف پذیری در ارتباط با سایر محصولات و راه کارها
  • بازیابی بلادرنگ اطلاعات مربوط به حملات و حوادث
  • امکان جستجو بر روی داده‌های موجود در آرشیو بر اساس ویژگیهای مختلف رویدادها و حوادث
  • امکان دریافت گزارش‌های مختلف از رویدادها و حوادث به صورت لحظه‌ای و دوره‌ای و زمان‌بندی شده
  • سازگاری با راه‌کارهای مختلف سخت‌افزاری موجود برای ذخیره‌سازی داده‌های انبوه

موتور تحلیل و همبسته‌سازی (بخشی از CRE)

  • تحلیل و شناسایی بلادرنگ حملات
  • تشخیص حملات چندگامی و آهسته با پنجره زمانی نامحدود (ویژه)
  • تحلیل هشدارهای حسگرهای امنیتی در کنار رویدادهای دیگر حسگرهای شبکه
  • تشخیص خودکار هشدارها و رخدادنماهای مثبت کاذب و حذف آن‌ها
  • قدرت کاهش حجم رویدادها به نحوی که در عین کاهش قابل ملاحظه ورودی‌ها و ایجاد حجم خروجی قابل پردازش، مانع از دست نرفتن حوادث و حملات، می‌شود
  • تطابق سنجی سیاست‌های امنیتی و صدور هشدار در صورت نقض سیاست‌ها
  • قوانین از پیش تعریف شده همبسته‌سازی
  • امکان تعریف قوانین خاص‌منظوره همبسته‌سازی
  • ایجاد پروفایل برای دارایی‌های مهم و تحلیل ناهنجاری رویدادها
  • پشتیبانی از تعداد نامحدود سناریوی حمله
  • مقیاس پذیری قدرت پردازش
  • نمایش گرافیکی گراف حمله با قابلیت پیمایش
  • تشخیص خودکار پارامترهای هماهنگ سازی با محیط عملیاتی

پایگاه دانش (بخشی از CRE)

  • پایگاه دانش یکپارچه برای مدیریت کل دانش‌های موجود در سیستم از قبیل: سناریوهای حملات، اطلاعات تشخیص رخدادنماهای مثبت کاذب، رسیدگی به حوادث، اطلاعات دارایی‌ها و آسیب‌پذیری‌های سازمان، سیاست‌های امنیتی و …
  • امکان مدیریت دانش‌ها و سفارشی‌سازی برای سازمان
  • کاوش خودکار و مدیریت شده سناریوهای جدید و متناسب با شبکه سازمان (ویژه)
  • امکان به روز رسانی از راه دور و از طریق سرور شرکت و به روز رسانی آفلاین از طریق فایل‌های به روز رسانی

رسیدگی به حوادث (بخشی از CRE)

  • وجود فرآیند رسیدگی به حوادث (ویژه)
  • سیستم بلیت برای تخصیص نیروی انسانی رسیدگی به حوادث به صورت یکپارچه با فرآیند رسیدگی به حوادث (ویژه)
  • امکان تعامل با CERT، NOC و تیم جرم‌شناسی و امکان سفارشی‌سازی تعاملات با این موجودیت‌ها و سایر موجودیت‌های مدنظر سازمان
  • ارائه راهبرد واکنش متناسب و خاص هر حادثه (ویژه)
  • قابلیت تدوین راهبرد رسیدگی برای حوادث جدید (ویژه)
  • تخصیص کارآمد منابع انسانی در رسیدگی به حوادث و استفاده از معیارهای متنوع برای اولویت‌بندی و زمان‌بندی
  • امکان سفارشی‌سازی و اتصال به راه کارهای موجود در سازمان (مانند سیستم بلیت)
  • امکان اعلان حوادث به صورت ایمیل و پیامک

واسط کاربر (بخشی از CRE)

  • رابط کاربر یکنواخت و یکپارچه برای کل اجزاء سامانه
  • داشبورد وضعیت امنیتی، وضعیت کلی سامانه و اجزاء سامانه
  • امکان مدیریت و پیکربندی همه اجزاء به صورت متمرکز
  • امکان پایش وضعیت منابع (پردازنده، حافظه، دیسک سخت) مختلف همه اجزاء سامانه به صورت متمرکز
  • واسط کاربر مبتنی بر وب و امکان دسترسی از هر محل مورد نظر
  • امکان پایش حسگرها و مدیریت واحدهای جمع‌آوری کننده رخدادنما
  • پشتیبانی از صدها گزارش پیش‌فرض و امکان تعریف گزارش‌های سفارشی و دلخواه سازمان
  • داشبوردهای متنوع پیش‌فرض و قابلیت تعریف و سفارشی‌سازی داشبوردها
  • قابلیت مدیریت کاربران و سطوح دسترسی
  • احراز اصالت دو عاملی کاربران با استفاده از توکن کیا
  • امکان ارسال ایمیل و پیامک
  • پشتیبان گیری خودکار و دوره‌ای و بر حسب تقاضا
  • سیستم پیام به منظور تبادل پیام امن بین کاربران
  • رابط کاربری مناسب جهت اطلاع راهبران سیستم از آخرین نسخه نرم افزار و دانش سیستم و دریافت به‌روزرسانی‌ها

حسگرهای ویژه – حسگر تحلیل جریان ترافیک (NTA)

  • تشخیص بیش از ۱۷۰ پروتکل لایه کاربرد شبکه
  • پایش ترافیک و ارائه نمودارها و گزارش‌های مختلف و قابل تعریف و سفارشی‌سازی در بازه‌های زمانی مختلف
  • قابلیت دریافت گزارش‌های Netflow علاوه بر استخراج اطلاعات جریان از ترافیک خام
  • پردازش و همبسته‌سازی اطلاعات جریان ترافیک با سایر ورودی‌های دریافتی از حسگرهای مختلف
  • پردازش ترافیک ۱۰Gbe
  • تشخیص حملات و بدافزارهای صفر-روز (Zero-Day)
  • نگهداری و جستجو بر روی جریان‌های ترافیک
  • توزیع پذیری در نقاط و نواحی مختلف شبکه

حسگرهای ویژه – حسگر تشخیص نفوذ (NIDS)

  • امکان پردازش ترافیک با نرخ ۱۰Gbe
  • امکان پردازش ۵ میلیون نشست همزمان بر روی خطوط ۱۰Gbe
  • بهره‌مندی از روش‌های تشخیص ناهنجاری رفتار مبتنی بر یادگیری
  • بالغ بر ۱۸ هزار امضاء حمله فعال
  • به روز رسانی مداوم امضاءهای حملات
  • واسط کاربر مجزا و مبتنی بر وب
  • قابلیت جلوگیری از نفوذ برخط
  • قابلیت ارسال فرمان به دیواره‌ی آتش

ویژگی‌های کلی راه‌کار

  • مقیاس‌پذیری بخش‌های پردازشی و امکان استفاده با معماری سلسله مراتبی برای شبکه‌های بزرگ و دارای گستردگی جغرافیایی
  • قابلیت فعالیت در شبکه‌های بزرگ و بسیار بزرگ و با تعداد دارایی‌های زیاد
  • توسعه عملکرد خودکار سامانه در طول زمان
  • استفاده مناسب و بهینه از سخت‌افزار
  • تحمل‌پذیری خطا و از دست نرفتن داده‌ها
  • قابلیت یکپارچگی با سامانه MSSP
  • توسعه بومی همه‌ی قسمت‌های راه‌کار و عدم وجود هیچ‌گونه وابستگی به محصولات و شرکت‌های خارجی
  • امنیت ارتباط بین اجزای سامانه و برخورداری از مدل امنیتی
  • قابلیت یکپارچه سازی با سیستم‌های ASSET Discovery و استفاده از خروجی آن‌ها
  • وجود حسگرهای ویژه (دو حسگر بومی سیستم تشخیص نفوذ و تحلیل جریان ترافیک)
  • امکان اعمال تغییرات و سفارشی‌سازی در هر سطح بر حسب نیاز سازمان
  • تیم پشتیبانی و تیم پایش حوادث ۷×۲۴ مطابق SLA
  • سیستم بلیت به منظور پیگیری درخواست‌های پشتیبانی تا حصول نتیجه
  • برگزاری دوره‌های آموزشی لازم برای نیروهای مورد نظر سازمان و ارائه راهنمای حملات و سناریوها
  • پشتیبانی بومی از دانش‌ و عدم وابستگی به منابع خارجی در به‌روزرسانی دانش

لیست گزارش‌های مرکز عملیات امنیت

از روی انواع ورودی‌های مختلف موجود در سیستم می‌توان صدها گزارش تعریف نمود و زمان‌بندی جهت تولید این گزارش‌ها ایجاد کرد. گزارش‌ها به صورت دوره‌ای و در قالب زمان‌بندی ساعتی، روزانه، هفتگی و ماهانه قابل تهیه بوده و نیز پارامترهای مختلفی برای هر گزارش قابل تعریف و سفارشی‌سازی است. بخشی از نمونه انواع گزارش‌ها شامل موارد زیر می‌باشد:

  • تلاش برای ورود در کل شبکه
  • تلاش برای ورود به یک سیستم
  • تلاش برای ورود ناموفق در کل شبکه
  • تلاش برای ورود ناموفق به یک سیستم
  • از کار افتادن سرویس‌های مختلف شبکه
  • تلاش‌های ناموفق برای کسب دسترسی بر روی یک فایل
  • تغییرات در مدیریت کاربران و حذف و اضافه کردن آن‌ها
  • بیشترین ترافیک‌های مشکوک گزارش شده بر روی شبکه
  • بیشترین ترافیک‌های مشکوک گزارش شده بر روی یک سیستم
  • بیشترین آدرس‌هایی که از آن‌ها رخداد گزارش شده است
  • بیشترین آدرس‌هایی که مقصد حملات مختلف بوده‌اند
  • بیشترین بدافزارهایی که در سازمان گزارش شده‌اند
  • بیشترین نوع بدافزارهایی که در شبکه فعالیت می‌کنند
  • بالاترین انواع حملاتی که به دارایی‌های سازمان انجام شده است
  • بالاترین امضاءهای حملاتی که در شبکه مشاهده شده است
  • بالاترین قوانین همبستگی که در تحلیل رویدادها منجر به تولید خروجی شده‌اند
  • بیشترین انواع منابعی از سرویس‌ها و سیستم‌هایی که هدف حمله بوده‌اند
  • بیشترین آثاری که رخدادهای گزارش شده و حملات مشاهده شده بر روی دارایی‌های شبکه داشته‌اند
  • بیشترین تغییرات پیکربندی در سیستم‌های مختلف شبکه
  • تعداد ورودهای موفق یا ناموفق یک کاربر به سرویس‌های مختلف
  • پورت‌های مختلف شبکه که مورد حمله قرار گرفته‌اند
  • بیشترین پروتکل‌هایی که بستر اتفاقات مختلف امنیتی بوده‌اند
  • بالاترین نقاط شبکه که مورد هدف حمله شناسایی قرار گرفته‌اند
  • بالاترین مهاجمینی که حملات منع سرویس علیه دارایی‌های شبکه انجام داده‌اند
  • آلوده‌ترین دارایی‌هایی موجود در شبکه که مبدأ انتشار بدافزارهای مختلف هستند
  • بالاترین نقاطی از شبکه که ارسال کننده هرزنامه به سرویس‌‎دهنده‌های ایمیل هستند
  • بالاترین سیستم‌هایی که دارای سابقه فعالیت در شبکه‌های بات هستند
  • بالاترین سیستم‌هایی که انتقال داده به صورت فایل مشترک بر روی پروتکل‌های مربوطه داشته‌اند
  • بالاترین تغییرات داده‌ای که بر روی سرویس‌دهنده‌های پایگاه داده گزارش شده است
  • بیشترین حملاتی که بر روی یک پورت خاص گزارش شده است
  • بیشترین حملاتی که بر علیه یک سرویس خاص گزارش شده است
  • بیشترین رویدادهای فعالیت استاندارد در شبکه
  • بیشترین آسیب‌پذیری‌های کشف شده در شبکه
  • حسگرهایی که بیشترین تعداد رخداد را گزارش کرده‌اند
  • بیشترین پورت‌هایی که بسته‌های ترافیک شبکه بر روی آن‌ها دور ریخته شده است
  • بیشترین پورت‌هایی که جهت انتشار بدافزار از آن‌ها استفاده شده است
  • بیشترین حملاتی که علیه سرویس دهنده وب در سازمان انجام شده است
  • بیشترین دارایی‌هایی که نام دامنه مشکوک به سرویس دهنده نام دامنه پرس و جو کرده‌اند
  • بالاترین آدرس‌هایی که ترافیک ناهنجار از آن‌ها گزارش شده است
  • بیشترین آدرس‌هایی که سیاست‌های تعریف شده در ACL را نقض کرده‌اند
  • بیشترین پورت‌هایی که مقصد حملات درب پشتی سرویس‌ها و بدافزارهای موجود در سازمان بوده‌اند
  • بالاترین دسترسی‌هایی که بر روی سرور VPN انجام می‌شود
  • بالاترین آدرس‌هایی که بر روی سرویس دهنده SSH حمله کرده‌اند
  • بالاترین فعالیت‌های گزارش شده بر روی سرویس دهنده DHCP
  • بالاترین حملاتی که بر علیه پهنای باند شبکه انجام شده‌اند
  • بالاترین پروتکل‌هایی که بر روی آن‌ها انواع ترافیک با کانال پوشیده منتقل شده است
  • بالاترین سرویس‌دهنده‌هایی که علیه آن‌ها حمله نفوذ جهت کسب دسترسی به سرویس انجام شده است
  • بالاترین برنامه‌ها یا سرویس‌دهنده‌هایی که متوقف شده است
  • بالاترین آدرس‌های بدنامی که ترافیک داده به سمت شبکه هدف منتقل کرده‌اند
  • و …

لیست داشبوردهای مرکز عملیات امنیت

از روی انواع ورودی‌های مختلف موجود در سیستم می‌توان داشبوردهای متنوعی تعریف نمود، که تعدادی داشبورد پیش‌فرض نیز در سیستم در نظر گرفته شده است. بخشی از نمونه انواع داشبوردهای پیش‌فرض شامل موارد زیر می‌باشد:

  • وضعیت دارائی‌ها
  • حمله‌کنندگان اخیر
  • مقاصد حمله اخیر در سازمان
  • وضعیت بدافزارها
  • وضعیت آسیب‌پذیری‌های سازمان
  • وضعیت جریان‌های ترافیک شبکه در لایه کاربرد
  • وضعیت جریان‌های ترافیک شبکه در لایه شبکه
  • انواع حملات اخیر
  • مکانیزم‌های حملات اخیر
  • سرویس‌ها و منابع مورد حمله اخیر
  • وضعیت کلی امنیتی سازمان

به جهت پوشش نیازهای مشتریان مختلف و قابلیت استفاده در ساختارهای مختلف شبکه، مرکز عملیات امنیت در قالب سه جزء مدل‌بندی شده است. این سه جزء شامل جمع‌آوری (LC)، نگهداری (LM) و تحلیل و واکنش (CRE) است، علاوه بر این سه جزء، دو حسگر ویژه تشخیص نفوذ (IDS) و تحلیل جریان ترافیک (NTA) در راه‌کار قابل استفاده است. در شکل زیر ساختار کلی و نحوه کنار هم قرار گرفتن اجزای SIEM و جایگاه حسگرهای ویژه نشان داده شده است.

شرکت مهندسی پیام پرداز - مرکز عملیات امنیت

مدل‌های مختلف اجزاء شامل مشخصات موجود در جداول زیر است. مدل LCS نسخه نرم افزاری جزء جمع‌آوری است که بر روی میزبان تولید کننده رویدادها نصب می‌شود. در نقاط مختلف شبکه، به ازاء یک یا چند تجهیز شبکه‌ای نزدیک به هم، یک عامل جمع‌آوری محلی(LCS) استفاده می‌شود. این عامل، وظیفه دارد هشدارهای مربوط به تجهیزات مورد نظر را به سیستم مرکزی نگهداری (LM) رویدادهای ثبت شده منتقل نماید. رویدادهای دریافت شده به وسیله CRE مورد تحلیل قرار می‌گیرد و نتایج آن در سیستم نگهداری شده و قابل پایش است. همچنین مدل‌های مختلف دو حسگر ویژه سیستم تشخیص نفوذ(NIDS) و سیستم تحلیل جریان ترافیک(NTA) نیز در ادامه آورده شده است.

شرکت مهندسی پیام پرداز - مرکز عملیات امنیت

علاوه بر حالت توضیح داده شده که راه‌کار به صورت سه جزء ارائه شده است و برای هر کدام از آن‌ها می‌توان مدل مناسب را بسته به نیاز مشتری انتخاب نمود، برای مشتریانی که نمی‌خواهند وارد این گونه تصمیم‌گیری‌ها شوند، یک حالت  SOC In Box نیز در نظر گرفته شده است که شامل یک Collector است و می‌توان به آن هر تعداد Collector دیگر که لازم باشد، افزود. همچنین در این حالت می‌توان فضای ذخیره‌سازی بیشتر را نیز در صورت درخواست مشتری به وی ارائه نمود و نهایتا استفاده از حسگرهای ویژه به هر تعداد در صورت درخواست مشتری قابل انجام خواهد بود. در جدول زیر ویژگی‌ها و مدل‌ها برای حالت SOC In Box ارائه شده است.

شرکت مهندسی پیام پرداز - مرکز عملیات امنیت

امروزه با توسعه سیستم‌های اطلاعاتی و استفاده از تجهیزات مختلف شبکه‌ای و امنیتی و سرویس‌ها و برنامه‌های کاربردی، نظارت بر فعالیت‌ها و آگاهی از وضعیت موجود در شبکه‌های کامپیوتری به یک چالش جدید تبدیل شده است. هر یک از سرویس‌ها و تجهیزات مختلف شبکه‌ای و برنامه‌ها، رویدادهای خود را اعم از دسترسی‌ها، خطاها و هشدارها را به عنوان یک رخدادنما با قالب دلخواه خود و با زبان مبتنی بر عملکرد آن تجهیز یا سرویس ثبت می‌نماید. هر تجهیز می‌تواند هزاران نوع رویداد مختلف را ثبت نماید که مربوط به فعالیت‌های مختلف انجام گرفته بر روی آن است. علاوه بر آن، هر نوع تجهیز یا سرویس می‌تواند روزانه میلیون‌ها رویداد را ثبت نماید که پردازش دستی آن‌ها خصوصاً در مواقع بروز مشکلات، کاری زمانگیر، پرهزینه و گاهی غیرممکن است. دریافت، پردازش، نگهداری و آگاهی از معنای هر کدام از این رویدادها برای تجهیزات مختلف و واکنش متقابل برای هر نوع رویداد، یک چالش جدی برای راهبران شبکه و سرویس‌ها ایجاد می‌نماید. سیستم مدیریت رویدادها و تحلیل ترافیک شبکه، با هدف رفع مشکلات دریافت، نگهداری، پردازش و مدیریت یکپارچه رویدادها و گزارش‌های ترافیک شبکه خدمات مطلوبی را ارایه می‌نماید که در ادامه به آن‌ها پرداخته شده است.

مشخصات فنی محصول

  • انعطاف‌پذیری در دریافت ورودی: امکان دریافت رخدادنماها و هشدارها از منابع مختلف رایج در سامانه و همچنین امکان افزودن هر نوع کاربرد یا تجهیز جدید خاص هر سازمان به سامانه وجود دارد.
  • پشتیبانی از انواع تجهیزات و سرویس‌ها و برنامه‌ها: قابلیت دریافت رویدادهای بیش از ۱۶۰ تجهیز و نرم افزار امنیتی و شبکه‌ای مختلف شامل (دیواره‌های آتش، سوییچ/مسیریاب، تشخیص نفوذ، ضد ویروس، VPN، کنترل دسترسی، مدیریت تهدیدات، سرویس دهنده های وب و ایمیل و FTP و سیستم عامل‌ها و غیره)
  • پشتیبانی از تعداد نامحدود تجهیز مختلف: بسته به نوع مدل، تعداد تجهیزات قابل اتصال به سیستم قابل توسعه است و محدودیتی برای شبکه‌های بزرگ ندارد.
  • توزیع عامل‌های جمع‌آوری: قابلیت توزیع عامل‌های جمع‌آوری رویداد و اطلاعات جریان ترافیک در نقاط مختلف شبکه‌های بزرگ و جمع‌آوری و نگهداری متمرکز رویدادها
  • دارای عامل جمع‌آوری نرم‌افزاری: برای سیستم‌های عامل ویندوز و نرم‌افزارهایی که امکان ارسال خودکار رویدادها در آنها وجود ندارد، عامل جمع آوری نرم افزاری قابل نصب بر روی ویندوز ارایه می‌شود که می تواند رویدادهای پایگاه داده، رویدادهای ذخیره شده در فایل و رویدادهای ویندوز را دریافت کرده و با پروتکل syslog ارسال نماید.
  • فیلترکردن ورودی: امکان تعریف فیلتر بر اساس ویژگی‌های مختلف رویدادها برای حذف داده‌های نامرتبط یا داده‌هایی که به هر دلیل نیازی به جمع‌آوری یا نگهداری آن‌ها نباشد وجود دارد.
  • حذف تکرار: به منظور کاهش میزان فضای لازم برای ذخیره‌سازی و سخت‌افزار لازم برای مدیریت رویدادها، امکان حذف رویدادهای تکراری در هنگام دریافت آن ها وجود دارد.
  • فشرده‌سازی: به منظور کاهش مصرف پهنای باند شبکه‌ها در انتقال هشدارها و رخدادنماها از عامل جمع‌آوری تا سیستم مرکزی ذخیره‌سازی و تحلیل، قابلیت فشرده سازی با ضریب ۱۰:۱ ‌آوری وجود دارد.
  • انتقال امن رویدادها: کلیه اطلاعات به صورت امن منتقل شده و صحت آن‌ها تضمین می‌شود و محرمانگی داده‌ها نیز به طور کامل تأمین می‌گردد.
  • اعتماد پذیری انتقال: با استفاده از حافظه cache با نگهداری موقت رویدادها مانع از دست رفتن رویدادها در صورت قطع ارتباط شبکه با سرور می‌شود.
  • قابلیت نگهداری بلند مدت داده‌ها: امکان نگهداری بلند مدت اطلاعات وجود دارد و بنا به تخصیص میزان منابع ذخیره‌سازی در بازه‌های زمانی سه ماهه، شش ماه و یک ساله وجود دارد.
  • رمزنگاری: کلیه داده‌هایی که در آرشیو نگهداری می‌شوند به صورت رمز شده می‌باشد.
  • استفاده از قالب‌های داده استاندارد: کلیه داده‌ها اعم از ورودی‌های خام، نتایج نرمال سازی در قالب‌های داده استاندارد (IDMEF)در سیستم ذخیره می‌شوند تا حداکثر انعطاف پذیری در ارتباط با سایر محصولات و راه کارها فراهم باشد.
  • امکان جستجو بر روی داده‌های موجود در آرشیو: علاوه بر امکان بازیابی بلادرنگ اطلاعات ذخیره شده، امکان جستجو بر روی داده‌های ذخیره شده در آرشیو نیز وجود دارد و جستجو بر روی انبوه اطلاعات ذخیره شده بر اساس ویژگیهای مختلف رویدادها و حوادث میسر است.
  • دریافت گزارش از رویدادها: تمامی داده‌ها اعم رویدادهای خام و حوادث تشخیص داده شده، در آرشیو نگهداری می‌شود. بر اساس پارامترهای مختلفی امکان تعریف گزارش از طریق رابط کاربری سامانه وجود دارد که با درخواست کاربر و یا به صورت زمان‌بندی شده، نتایج هر گزارش دلخواه در قالب‌های فایل مختلف جهت ارایه به مدیران را قابل ارایه است.
  • سازگاری با راه‌کارهای ذخیره‌سازی: سیستم با انواع راه‌کارهای سخت افزاری مانند SAN ذخیره‌سازی قابل مجتمع‌سازی است. برای نگهداری بلند مدت داده‌ها با حجم زیاد می‌توان از زیرساخت‌های ذخیره‌سازی موجود در سازمان‌ها استفاده نمود.
  • پشتیبانی از Netflow: قابلیت دریافت و نگهداری و بازیابی گزارش‌های ترافیک شبکه با پروتکل Netflow از تجهیزات مختلف شبکه.
  • پایش عمیق ترافیک: پایش کل ترافیک و تشخیص هوشمند پروتکل‌های لایه کاربرد(۱۷۰ پروتکل) بدون وابستگی به شماره پورت و لایه شبکه (۱۴۰ پروتکل) ترافیک داده.
  • چرخش داده: با تنظیم مدت زمان نگهداری رویدادها و اطلاعات جریان ترافیک، سیستم به طور خودکار داده های قدیمی را دور می ریزد و داده های جدید جایگزین آنها می‌نماید.

معماری استقرار سیستم مدیریت رویدادها و تحلیل ترافیک

سرویس‌ها یا تجهیزات مختلف به صورت بلادرنگ، رخدادنماهای خود برای این سیستم ارسال می‌کنند. این سیستم ابتدا رویداد‌های دریافتی را نرمال سازی نموده و سپس در پایگاه داده داخلی خود ثبت می‌نماید و امکانات لازم جهت بازنمایی آنها را در اختیار راهبر قرار می‌دهد. همچنین با پایش ترافیک داده انتقالی بین موجودیت‌های مختلف شبکه، اطلاعات جریان ترافیک را استخراج کرده و ثبت می نماید.

چنانکه در شکل فوق نشان داده شده است، سرور مدیریت رویدادها و تحلیل ترافیک در نقاط مختلف شبکه و در داخل محدوده سرورهای تحت حفاظت قرار داده می‌شود. جهت استقرار سیستم فعالیت‌های زیر انجام می‌گیرد:

  • جهت انتقال رویدادهای تجهیزات به این سیستم، لازم در آن تجهیز آدرس این سرور به عنوان دریافت کننده رویداد تنظیم شود و در سیستم مدیریت رویداد و تحلیل ترافیک به عنوان حسگر مجاز معرفی گردد. این سامانه رویدادهای ثبت شده را دریافت نموده، نرمال سازی کرده و برای طولانی مدت نگهداری می نماید و تمامی اعمال جستجو و گزارش گیری بر روی آنها قابل انجام است.
  • جهت پایش ترافیک دسترسی کاربران به سرورهای تحت حفاظت، لازم است ترافیک داده مربوط به سمت سرورها از روی سوییچ مربوطه به سیستم تحلیل ترافیک منتقل شده و حسگر سیستم تحلیل ترافیک بر روی رابط شبکه مربوطه فعال گردد. تمامی داده های مبادله شونده بین کاربران و سرورها پایش شده و اطلاعات جریانها و اتصالات استخراج شده و برای طولانی مدت نگهداری می‌شود و قابل جستجو و بازیابی بر اساس تمامی فیلدهای اطلاعات استخراج شده است. این اطلاعات شامل آدرس ارسال کننده داده، آدرس دریافت کننده داده، پورت مبدا ترافیک، پورت مقصد ترافیک، زمان شروع اتصال کاربر به سرور هدف و زمان خاتمه اتصال کاربر به سرور هدف، حجم ترافیک و تعداد بسته‌های شبکه مبادله شده، نام حسگر ارسال کننده اطلاعات می باشد.

گزارش رویدادهای دریافت شده از تجهیزات و سرورها و اطلاعات جریان های ترافیک به طور پیوسته در سیستم ذخیره سازی می شود و به حجم آن افزوده می گردد. بنا به میزان سخت افزار موجود برای ذخیره سازی این اطلاعات، امکان چرخش داده ها در سیستم وجود دارد و بر اساس حجم داده یا تعداد روز می توان مدت زمان نگهداری داده ها را در سیستم تنظیم نمود و داده های قبل از آن زمان به طور خودکار حذف شده و بازنویسی می گردد. مثلا با تنظیم ۹۰ روز روز برای نگهداری داده ها، اطلاعات مربوط به پیش از ۹۰ روز اخیر دور ریخته خواهد شد.

رابط کاربری سیستم

رابط کاربری سیستم به طور مجزا ارایه می شود و دارای ویژگی‌های زیر است:

  • مبتنی بر وب
  • دارای سیستم بلیت به منظور پیگیری یا اختصاص وظایف بین کاربران سیستم در صورت وقوع یک رویداد خاص
  • قابلیت تعریف نمودارهای دلخواه راهبران بر اساس تمامی اطلاعات رویدادها و جریان های ترافیک شبکه با ترکیب فیلترهای دلخواه
  • قابلیت جستجو بر روی رویدادهای گزارش شده بر اساس فیلترهای آدرس مبدا و مقصد رویدادها، نوع رویداد، پورت متصل شده مقصد، پورت متصل شده مبدا و شناسه رویداد گزارش شده
  • قابلیت جستجو بر روی اطلاعات جریان های ترافیک ذخیره شده بر اساس فیلترهای آدرس مبدا، آدرس مقصد، پورت مبدا، پورت مقصد، پروتکل لایه شبکه، پروتکل لایه کاربرد، زمان اتصال به سرورها، میزان حجم ترافیک منتقل شونده، آدرس مبدا  و مقصد ترافیک، نام کاربر
  • قابلیت معرفی تجهیزات ارسال کننده رویداد و مشاهده آمار و نرخ تعداد رویداد ارسال شده از طرف آن ها
  • قابلیت تعریف حسگر تحلیل کننده ترافیک نصب شده در چندین نقطه مختلف شبکه
  • قابلیت مشاهده جزییات کامل و دقیق رویدادهای گزارش شده
  • قابلیت صدور رویدادهای دلخواه جستجو شده توسط کاربر در قالب فایل متنی برای ارایه به عنوان ادله جرم شناسی
  • قابلیت تعریف داشبورد خاص برای هر راهبر سیستم و ویرایش و چینش نمودارها و سفارشی سازی داشبوردهای پیش فرض

امکاناتی که این نرم‌افزار می‌تواند در اختیار مدیر سیستم قرار دهد به همراه تصاویر دموی نمونه‌ای از این امکانات در ادامه مورد بررسی قرار گرفته‌اند.

داشبورد سیستم

نمای قسمت داشبورد این نرم‌افزار در شکل زیر به تصویر کشیده شده است. مدیر در این بخش می‌تواند انواع نمودارهای دلخواه خود را از وضعیت دسترسی‌ها، رویدادها و گزارش ترافیک سرورها تعریف کرده و در این قسمت مشاهده نماید.

همانطور که بیان شد، هر کاربر می تواند داشبورد دلخواه خود را طراحی کرده و نمودارهای موردنیاز خود را به داشبورد اضافه نماید. شکل زیر نمونه‌ای از چینش داشبورد یک کاربر را نشان می دهد.

آرشیو رویدادها

مدیر در این بخش نرم‌افزار که نمای آن در شکل‌های زیر ارائه شده، قادر است تمامی رویدادهای مربوط به پیکربندی و جزییات فعالیتهای کاربران در ورود و خروج به سامانه یا تغییر سیاستها و هر آنچه که توسط تجهیزات و برنامه‌های تولید می‌شود را مشاهده نموده و بر اساس پارامترهای مختلف جستجو نماید و لیست رویدادهای فیلتر شده را مشاهده کرده و جزییات هر رویداد را به طور کامل مشاهده نماید.

آرشیو اطلاعات جریان‌های ترافیک

راهبر سیستم تحلیل ترافیک، قادر است جزییات اطلاعات مربوط به جریان ترافیک بین سیستم‌های مختلف تحت حفاظت را شامل آدرس و پورت مبدا و مقصد ترافیک، زمان شروع و خاتمه ارتباط و میزان حجم ترافیک تبادل شده و نام کاربر مربوط به آدرس ارسال کننده ترافیک را از آرشیو ذخیره شده جستجو نموده و بر اساس فیلترهای دلخواه از جزییات ارتباطات کاربران و سرورهای در زمانهای مختلف با خبر شود. نمونه‌ای از صفحه نمایش اطلاعات جریان ترافیک در شکل زیر نشان داده شده است.

سایر امکانات نرم‌افزار

  • راهبر سیستم می‌تواند کلیه نمودارهای و جداول خروجی سیستم را در قالب‌ pdf استخراج نماید.
  • راهبر سیستم می‌تواند اطلاعات مربوط به کاربران را، به صورت یک فایل و در قالب XML دریافت نموده و یا آن را صادر نماید. همچنین اطلاعات مربوط به کاربران در سیستم قابل مشاهده و ویرایش می باشد.

لیست گزارش‌های نمونه

از روی انواع ورودی‌های مختلف منتقل شده به سیستم می‌توان صدها گزارش تعریف نمود و زمان‌بندی جهت تولید این گزارش‌ها ایجاد کرد. گزارش‌ها به صورت دوره‌ای و در قالب زمان‌بندی ساعتی، روزانه، هفتگی و ماهانه قابل تهیه بوده و نیز پارامترهای مختلفی برای هر گزارش قابل تعریف و سفارشی‌سازی است. بخشی از نمونه انواع گزارش‌ها درصورت دریافت رویدادهای مربوطه شامل موارد زیر می‌باشد:

  • تلاش برای ورود به یک سیستم
  • تلاش برای ورود ناموفق در کل شبکه
  • تلاش برای ورود ناموفق به یک سیستم
  • از کار افتادن سرویس‌های مختلف شبکه
  • تلاش‌های ناموفق برای کسب دسترسی بر روی یک فایل
  • تغییرات در مدیریت کاربران و حذف و اضافه کردن آن‌ها
  • بیشترین ترافیک‌های مشکوک گزارش شده بر روی شبکه
  • بیشترین ترافیک‌های مشکوک گزارش شده بر روی یک سیستم
  • بیشترین آدرس‌هایی که از آن‌ها رخداد گزارش شده است
  • بیشترین آدرس‌هایی که مقصد حملات مختلف بوده‌اند
  • بیشترین بدافزارهایی که در سازمان گزارش شده‌اند
  • بیشترین نوع بدافزارهایی که در شبکه فعالیت می‌کنند
  • بالاترین انواع حملاتی که به دارایی‌های سازمان انجام شده است
  • بیشترین انواع منابعی از سرویس‌ها و سیستم‌هایی که هدف حمله بوده‌اند
  • بیشترین آثاری که رخدادهای گزارش شده و حملات مشاهده شده بر روی دارایی‌های شبکه داشته‌اند
  • بیشترین تغییرات پیکربندی در سیستم‌های مختلف شبکه
  • گزارش از بالاترین سرورهایی که بیشترین ترافیک با آنها مبادله شده است
  • گزارش از میزان کل پهنای باند مصرفی سیستم
  • گزارش از پروتکل‌ها(در لایه شبکه و لایه کاربرد) و پورت‌های پر استفاده سیستم
  • بالاترین نقاط شبکه که مورد هدف حمله شناسایی قرار گرفته‌اند
  • بالاترین مهاجمینی که حملات منع سرویس علیه دارایی‌های شبکه انجام داده‌اند
  • آلوده‌ترین دارایی‌هایی موجود در شبکه که مبدأ انتشار بدافزارهای مختلف هستند
  • بالاترین نقاطی از شبکه که ارسال کننده هرزنامه به سرویس‌‎دهنده‌های ایمیل هستند
  • بالاترین سیستم‌هایی که دارای سابقه فعالیت در شبکه‌های بات هستند
  • بالاترین سیستم‌هایی که انتقال داده به صورت فایل مشترک بر روی پروتکل‌های مربوطه داشته‌اند
  • بالاترین تغییرات داده‌ای که بر روی سرویس‌دهنده‌های پایگاه داده گزارش شده است
  • بیشترین حملاتی که بر روی یک پورت خاص گزارش شده است
  • بیشترین حملاتی که بر علیه یک سرویس خاص گزارش شده است
  • بیشترین رویدادهای فعالیت استاندارد در شبکه
  • حسگرهایی که بیشترین تعداد رخداد را گزارش کرده‌اند
  • بیشترین پورت‌هایی که بسته‌های ترافیک شبکه بر روی آن‌ها دور ریخته شده است
  • بیشترین پورت‌هایی که جهت انتشار بدافزار از آن‌ها استفاده شده است
  • بیشترین حملاتی که علیه سرویس دهنده وب در سازمان انجام شده است
  • بیشترین دارایی‌هایی که نام دامنه مشکوک به سرویس دهنده نام دامنه پرس و جو کرده‌اند
  • بالاترین آدرس‌هایی که ترافیک ناهنجار از آن‌ها گزارش شده است
  • بیشترین آدرس‌هایی که سیاست‌های تعریف شده در ACL را نقض کرده‌اند
  • بالاترین دسترسی‌هایی که بر روی سرور VPN انجام می‌شود
  • بالاترین آدرس‌هایی که بر روی سرویس دهنده SSH حمله کرده‌اند
  • بالاترین فعالیت‌های گزارش شده بر روی سرویس دهنده DHCP
  • بالاترین حملاتی که بر علیه پهنای باند شبکه انجام شده‌اند
  • بالاترین پروتکل‌هایی که بر روی آن‌ها انواع ترافیک با کانال پوشیده منتقل شده است
  • بالاترین سرویس دهنده‌هایی که علیه آن‌ها حمله نفوذ جهت کسب دسترسی به سرویس انجام شده است
  • بالاترین برنامه‌ها یا سرویس دهنده‌هایی که متوقف شده است
  • بالاترین آدرس‌های بدنامی که ترافیک داده به سمت شبکه هدف منتقل کرده‌اند
  • و …

نمونه استفاده از سامانه برای مدیریت رویدادها و ترافیک کاربران کیهان

امروزه از سامانه کیهان به طور گسترده‌ای در سازمان‌های مختلف کشور به منظور امن‌سازی ارائه سرویس‌های کاربردی بهره گرفته می‌شود. در این سامانه، سرور کیهان به عنوان یک دروازه ورودی، جهت کنترل دسترسی به سرورهای حیاتی سازمان ایفای نقش می‌نماید. از آنجا که کلیه بسته‌های مبادله شده با سرورهای تحت حفاظت پس از نظارت سرور کیهان اجازه ورود به شبکه تحت حفاظت را می‌یابند این سرور می‌تواند نقش نظارتی ویژه‌ای را جهت بررسی فعالیت کاربران کیهان و دسترسی های کاربران در کنار سایر سرویس‌های اصلی (شامل محرمانگی، صحت، احراز اصالت دو عاملی و کنترل دسترسی) ایفا نماید.

سامانه کیهان، تمامی فعالیتهای این سیستم را در قالبی مناسب به طور کامل گزارش می کند. این فعالیتها، شامل وضعیت اتصال کاربران به کیهان و کلیه اعمال تغییر پیکربندی سیستم و یا سیاست‌ها توسط مدیر می باشد. با تلاش برای اتصال هر کاربر به سامانه کیهان یا انجام تنظیمات توسط مدیر، جزییات فعالیت انجام گرفته در قالب یک رویداد گزارش می‌شود که وضعیت و نتیجه انجام آن فعالیت را تشریح می نماید. نمونه ای از این رویدادها شامل موارد زیر است:

  • وضعیت احراز اصالت کاربران(موفق/ناموفق)
  • تلاش برای ورود ناموفق به کیهان
  • خروج غیر معمولی یک کاربر از سرور
  • خروج یک کاربر از سیستم با اجبار مدیر
  • بسته شدن اتصال کاربر به کیهان
  • ناموفق بودن اختصاص آدرس IP به کاربر کیهان
  • تناقض آدرس کاربران با یکدیگر
  • عدم پشتیبانی از نسخه کلاینت کاربر
  • مشاهده کاربر تکراری کیهان
  • اشکالات شبکه ای در ارتباط با سرور کیهان
  • تغییرات تنظیمات و سیاستهای کیهان توسط مدیر

بعد از انجام احراز اصالت برای هر کاربر، اجازه دسترسی به سرورهای تحت حفاظت به آن کاربر داده می‌شود. جهت مشاهده وضعیت ارتباط با سرورها و میزان تبادل داده و موفقیت در برقراری ارتباط، لازم است ترافیک عبوری از سمت کیهان به سرورها پایش شود و این اطلاعات از آنها استخراج گردد. معماری اجزای سیستم مدیریت رویداد و تحلیل ترافیک در کنار سامانه کیهان در شکل زیر نشان داده شده است. این سیستم بین سرور کیهان سرورهای تحت حفاظت قرار گرفته و ضمن دریافت و نگهداری رویدادهای کیهان، ترافیک بین سرورهای و کاربران آنها پایش شده و اطلاعات مربوط به دسترسی استخراج شده و نگهداری می شود.

استقرار مرکز عملیات امنیت در هر سازمان طی هفت فاز انجام خواهد شد. در ادامه شرح فعالیت‌های این هفت فاز آورده شده است، با این توضیح که فازهای دوم و سوم به موازات هم صورت می‌گیرند و فاز هفتم به موازات بقیه فازها انجام می‌شود، سایر فازها تقریبا به صورت سری قابل انجام هستند. همچنین لازم به ذکر است که زمان‌بندی اجرا در هر سازمان در انتهای فاز مهندسی خواسته‌ها مشخص خواهد شد.
شرکت مهندسی پیام پرداز - مرکز عملیات امنیت
شرح خلاصه هر یک از فازها در ادامه آورده شده است با این توضیح که چنانچه سازمان و کارکنان آن همکاری لازم را در نصب و راه اندازی انجام ندهند، نصب و راه‌اندازی طولانی خواهد شد و در غیر این صورت مطابق زمان‌بندی اجرا خواهد گردید. به طور ویژه تا زمانی که فاز دوم (که به عهده‌ی کارفرما است) به اتمام نرسد، فازهای چهار تا ششم قابل اجرا نخواهند بود، نیز فراهم کردن به موقع اطلاعات در فازهای اول و سوم از طرف کارفرما ضروری است. علاوه بر این می‌توان زمان لازم برای مذاکرات اولیه و تهیه و انعقاد قرارداد را نیز در نظر گرفت که بسته به شرایط می‌تواند چند هفته زمان لازم داشته باشد.

فاز اول، مهندسی خواسته‌ها:

  • بررسی شبکه سازمان(توپولوژی / تنوع حسگرها / ترافیک و ارتباطات بیرونی/ پراکندگی جغرافیایی) و انتخاب حسگرها
  • انتخاب نهایی مدل محصول با توجه به محدوده شبکه و توسعه آتی مدنظر سازمان(و محاسبه نهایی قیمت)
  • تعیین محل استقرار تجهیزات و سایت SOC و اعلام نیازمندی‌ها به سازمان (تامین نیازمندی‌های محل استقرار از قبیل برق و  UPS/ شبکه و Rack / تجهیزات اداری و رایانه‌های پرسنل مستقر در سایت و تجهیزات مانیتورینگ … به عهده کارفرما بوده و مجری در این خصوص تنها نقش مشاور را بر عهده خواهد داشت.)
  • بررسی وجود موجودیت‌ها و فرآیندهای مرتبط با SOC در سازمان
  • دریافت اطلاعات ساختار سازمانی و پرسنل در نظر گرفته شده برای SOC
  • مشخص کردن پرسنل فنی و افراد مسئول برای پیش برد پروژه در هر طرف
  • توافق بر سر زمان بندی اجرا با توجه به شرایط  طرفین

خروجی‌های این فاز عبارتند از : اطلاعات شبکه سازمان/ساختار سازمانی و موجودیت‌های مرتبط، صورت جلسه Scope اجرا و هزینه اجرا، تأییدیه زمان بندی

فاز دوم، آماده‌سازی محیط:

  • تامین نیازمندی‌های محل استقرار توسط کارفرما
  • تعیین و معرفی پرسنلی که  قرار است در مرکز عملیات امنیت بکار گرفته شوند

 خروجی‌های این فاز عبارتند از : تائیدیه آماده‌سازی محیط، لیست افراد

فاز سوم، سفارشی‌سازی:

  • سفارشی‌سازی ساختار سازمانی و فرآیندهای SOC متناسب با شرایط سازمان
  • دریافت و وارد کردن اطلاعات محیطی در پایگاه دانش (با مشارکت سازمان)
  • توسعه اتصال به راهکارهای موجود در سازمان و موجودیت‌ها و فرآیندهای مرتبط با SOC در صورت لزوم
  • دریافت مستندات حسگرهای خاص سازمان (در صورت وجود)
  • توسعه و افزودن پلاگین مربوط به حسگرهای خاص سازمان (در صورت وجود)

 خروجی‌های این فاز عبارتند از : تائیدیه سفارشی‌سازی. در این فاز تعداد حسگرهای خاص سازمان بسته به نوع سازمان دارای محدودیت بوده و لازم است این موضوع در فاز اول مدنظر بوده باشد.

فاز چهارم، استقرار:

  • اعلام مکانیزم دسترسی راه دور و دسترسی به اینترنت
  • نصب و راه‌اندازی زیرساخت سخت‌افزاری و نرم‌افزاری سامانه
  • دریافت لیست و اطلاعات حسگرها (شامل IP / نوع حسگر/ نسخه) و فعال کردن پلاگین‌های مربوطه
  • انجام تنظیمات لازم بر روش شبکه و حسگرها جهت دریافت LOGها با مشارکت کارکنان سازمان
  • تجهیز به حسگرهای جدید به منظور تکمیل پوشش شبکه با توجه به توافق فاز اول
  • بررسی و حصول اطمینان از دریافت LOG از حسگرها
  • انجام تغییرات در تنظیمات تولید و ارسال LOG در حسگرها در صورت نیاز با مشارکت کارکنان سازمان
  • به روز رسانی پلاگین‌های نرمال‌سازی و قوانین همبستگی در صورت لزوم
  • پرداخت  قسط دوم مبلغ قرارداد

 خروجی‌های این فاز عبارتند از : صورت جلسه نصب و دسترسی / صورت جلسه تنظیم حسگرها و نصب حسگرهای ویژه.

فاز پنجم، پیکربندی و میزان کردن:

  • بررسی خروجی‌های اولیه سامانه متناسب با فعالیت سازمان و ساختار شبکه
  • سفارشی‌سازی دانش تشخیص و تحلیل حملات متناسب با شرایط سازمان
  • تعیین مقادیر آستانه در سناریوها و پیکربندی مناسب خروجی‌ها
  • انجام پیکربندی مناسب و تعیین فیلترهای وارسی با مشارکت کارکنان سازمان
  • به روز رسانی قوانین وارسی و سیاست‌های امنیتی با مشارکت سازمان

 خروجی‌های این فاز عبارتند از : صورت جلسه دانش محیطی (اطلاعات محیطی، قوانین وارسی و سیاست‌های امنیتی)/ یک جلسه ارائه اولیه و تحویل نام کاربری و رمز عبور به سازمان

فاز ششم، آموزش و تحویل:

  • برگزاری دوره آموزشی راهبری و کاربری سامانه و فرآیندهای SOC (شامل یک دوره مشترک یک روزه برای همه پرسنل و چهار دوره یک روزه مجزا برای هر یک از تیم‌های پایش/ واکنش/پایگاه دانش و مدیریت)
  • تحویل راهبری و کاربری سامانه
  • پرداخت قسط سوم قرارداد

 خروجی این فاز یک گزارش از عملکرد سیستم در طول مدت اجرا و یک مستند آموزشی در خصوص نحوه کار با سیستم خواهد بود.

فاز هفتم، استقرار ISMS:

  • اجرای کنترل‌های ISO/IEC 27001:2013 در محدوده مرکز عملیات امنیت
  • رفع نقایص احتمالی
  • انجام ممیزی های لازم

توجه : این شرکت برای مشاوره و پیاده سازی ISMS در سازمان‌ها، دارای پروانه نما از سازمان فناوری اطلاعات ایران می‌باشد.

خروجی این فاز دریافت گواهینامه ISMS برای SOC مستقر شده خواهد بود.

در مرکز عملیات امنیت هر دو سطح نرمال‌سازی نحوی و معنایی انجام می‌شود. این ‌کار، قابلیت مدیریت رخدادها در بخش تحلیل و همبسته‌سازی و تولید گزارش‌های مفید برای تمامی تجهیزات جدید و غیر مرسوم را نیز به آسانی فراهم کرده و تصویر بهتری از وضعیت امنیتی شبکه با استفاده از رخدادهای گزارش شده ارائه می‌نماید. در ادامه لیستی از تجهیزات و کاربردها که تا این لحظه  پوشش داده می‌شود، ارائه شده است، با این توضیح که اولا امکان افزودن هر تجهیز یا کاربرد مدنظر سازمان با ارائه اطلاعاتی در خصوص انواع رویدادهای خروجی آن محصول، به ورودی‌های سیستم وجود دارد.  اطلاعات لازم برای افزودن هر محصول جدید شامل:

 ۱ -مستند یا نمونه LOG مشتمل بر انواع LOGهایی که محصول تولید می‌کند و معنای هر LOG به منظور نرمال‌سازی نحوی و معنایی LOGهای تجهیز یا کاربرد مورد نظر. مناسب است برای هر LOG این پنج مورد مشخص شده باشد: الف)شناسه LOG ب) متن پیام توصیف LOG ج)میزان اهمیت LOG د)معنای LOG ه) عمل پیشنهادی (احتمالی) در صورت مشاهده LOG.

 ۲- پروتکل یا پروتکل‌های ارسال LOG تجهیز یا کاربرد مورد نظر و آدرس مسیر ذخیره فایل LOG (صرفا برای محصولات نرم‌افزاری) در صورتی که از ارسال LOG پشتیبانی نمی‌کند.

 ۳- مستند راهنمای تنظیمات موجود در تجهیز یا کاربرد به جهت تنظیم نرخ ارسال LOG و مقصد ارسال LOG.

SOC-Device-Support