العودة إلى الدورة

مفاهيم إدارة المعلومات الأمنية والأحداث (SIEM)

احتراف الأمن السيبراني: من الصفر إلى الاحتراف

SIEM: الاستخبارات الأمنية المركزية

تولد الأنظمة والشبكات وجدران الحماية والتطبيقات آلاف السجلات (logs) كل ثانية. لا يمكن للإنسان مراقبة هذا الحجم من البيانات.

يقوم نظام SIEM (Security Information and Event Management) بتركيز وتنسيق وتحليل البيانات الأمنية من مصادر متعددة لتوفير رؤية موحدة للوضع الأمني.

وظائف SIEM

  1. التجميع (Aggregation): يجمع السجلات من كل شيء (خوادم، أجهزة شبكة، تطبيقات) في مكان واحد.
  2. التطبيع (Normalization): يترجم تنسيقات السجلات المتنوعة إلى تنسيق مشترك.
  3. الربط (Correlation): يستخدم قواعد لربط أحداث قد تبدو غير مرتبطة لتحديد حادث أمني (مثلاً 'فشل تسجيل الدخول على الخادم A متبوعاً بتسجيل دخول ناجح على الخادم B باستخدام نفس اسم المستخدم').
  4. التنبيه (Alerting): يولد تنبيهات عالية الأولوية لمحللي الأمن.

أمثلة لأدوات: Splunk، ELK Stack (Elasticsearch, Logstash, Kibana)، Microsoft Sentinel.