تعریف
مرکز عملیات امنیت واحدی است به منظور جمعآوری، یکسانسازی و ذخیرهسازی کلیه وقایع امنیتی با اهمیت جهت ایجاد قابلیت جستجو، تحلیل و بررسی ارتباطات وقایع با استفاده از عوامل تکنولوژیک، نیروی انسانی و فرآیندها و رویه های موجود در این مرکز با هدف پایش بلادرنگ وقایع امنیتی، شناسایی رخدادهای امنیتی و ارائه راهکارهای مقابله با آنها.
معرفی اجزای مرکز عملیات امنیت
مولدهای وقایع
به طور کلی به ابزارهای امنیتی، تجهیزات شبکه، سرویس دهندهها و سرویس گیرندههای موجود در شبکه که علاوه بر انجام وظایف محوله اقدام به ثبت هر رخداد بصورت لاگ مینمایند، اطلاق میگردد. این واقایع یا ممکن است بصورت محلی بر روی خود سیستم به شکلهای مختلف متنی و یا در داخل مرکز داده ذخیره شده و یا به یک سیستم جمعآوری لاگ خارجی جهت نگهداری ارسال گردد. از جمله این مولدهای وقایع میتوان به تجهیزات شبکه مانند مسیریابها و یا سوئیچها، تجهیزات امنیتی مانند فایروال و تجهیزات کنترل دسترسی و سرویس دهندهها مانند سرورهای مرکز داده ویا سرویس وب اشاره نمود.
جمعکننده وقایع
به ابزارهایی گفته میشود که فرآیند جمعآوری لاگ تولید شده و ارسال آن به سیستم مدیریت لاگ را به عهده دارند که شامل فرآیندهای زیر خواهد بود:
- استخراج لاگ از مولد وقایع با نصب یک نرمافزار (Agent) بر روی آن و یا ایجاد یک سرور دریافت کننده لاگ مانند Syslog سرور.
- نرمالسازی (فرآیند یک شکلسازی لاگ سیستمهای مختلف در قالب یکسان) با هدف ایجاد قابلیت مقایسه آنها بایکدیگر.
- فشردهسازی با هدف صرفهجویی در پهنای باند مورد استفاده در ارسال لاگ به سیستم مدیریت لاگ.
- رمزنگاری با هدف حفظ محرمانگی اطلاعات موجود در لاگها در زمان استفاده از بسترهای عمومی مانند اینترنت جهت ارسال لاگ به سیستم مدیریت لاگ.
سیستم مدیریت لاگ
به طور کلی به ابزارهای امنیتی، تجهیزات شبکه، سرویس دهندهها و سرویس گیرندههای موجود در شبکه که علاوه بر انجام وظایف محوله اقدام به ثبت هر رخداد بصورت لاگ مینمایند، اطلاق میگردد. این واقایع یا ممکن است بصورت محلی بر روی خود سیستم به شکلهای مختلف متنی و یا در داخل مرکز داده ذخیره شده و یا به یک سیستم جمعآوری لاگ خارجی جهت نگهداری ارسال گردد. از جمله این مولدهای وقایع میتوان به تجهیزات شبکه مانند مسیریابها و یا سوئیچها، تجهیزات امنیتی مانند فایروال و تجهیزات کنترل دسترسی و سرویس دهندهها مانند سرورهای مرکز داده ویا سرویس وب اشاره نمود.
موتور همبستگی سنجی
به طور کلی به ابزارهای امنیتی، تجهیزات شبکه، سرویس دهندهها و سرویس گیرندههای موجود در شبکه که علاوه بر انجام وظایف محوله اقدام به ثبت هر رخداد بصورت لاگ مینمایند، اطلاق میگردد. این واقایع یا ممکن است بصورت محلی بر روی خود سیستم به شکلهای مختلف متنی و یا در داخل مرکز داده ذخیره شده و یا به یک سیستم جمعآوری لاگ خارجی جهت نگهداری ارسال گردد. از جمله این مولدهای وقایع میتوان به تجهیزات شبکه مانند مسیریابها و یا سوئیچها، تجهیزات امنیتی مانند فایروال و تجهیزات کنترل دسترسی و سرویس دهندهها مانند سرورهای مرکز داده ویا سرویس وب اشاره نمود.
نیروی انسانی
به طور کلی به ابزارهای امنیتی، تجهیزات شبکه، سرویس دهندهها و سرویس گیرندههای موجود در شبکه که علاوه بر انجام وظایف محوله اقدام به ثبت هر رخداد بصورت لاگ مینمایند، اطلاق میگردد. این واقایع یا ممکن است بصورت محلی بر روی خود سیستم به شکلهای مختلف متنی و یا در داخل مرکز داده ذخیره شده و یا به یک سیستم جمعآوری لاگ خارجی جهت نگهداری ارسال گردد. از جمله این مولدهای وقایع میتوان به تجهیزات شبکه مانند مسیریابها و یا سوئیچها، تجهیزات امنیتی مانند فایروال و تجهیزات کنترل دسترسی و سرویس دهندهها مانند سرورهای مرکز داده ویا سرویس وب اشاره نمود.
فرآیندها و رویهها
در هر مرکز عملیات امنیت به منظور تشخیص و پاسخگویی به رخدادهای امنیتی در زمان مناسب به طور معمول فرآیندهای مختلفی در چهار حوزههای زیر وجود خواهد داشت:
- فرآیندهای کسب و کار
- فرآیندهای تکنولوژیک
- فرآیندهای عملیاتی
- فرآیندهای تحلیل