مدیریت وقایع و امنیت اطلاعات

سامانه مدیریت وقایع و امنیت اطلاعات (APK SIEM)، راهکاری قدرتمند و پیشرفته برای مدیریت همه جانبه وقایع و رخدادهای امنیت سایبری در سازمان می‌باشد. ماژول‌های قدرتمند و توانایی آنالیز داده‌های بزرگ از ویژگی‌های این محصول کاربردی است.

افق تهدیدات سایبری، در سال‌های گذشته چهره جدیدی به خود گرفته است. حملات پیچیده، پیشرفته و سازمان یافته‌تر شده‌اند که بدین ترتیب شناسایی و جلوگیری از آن‌ها نیاز به ابزار و دانش بیشتری دارد. بر اساس تحقیقات، این حملات در 74% مواقع در یک سال اول توسط سازمان شناسایی نمی‌شوند و در بسیاری مواقع دستگاه‌ها و سیستم‌های موجود در سازمان به دلایل مختلف قادر به جلوگیری از وقوع این حملات نبوده‌اند. در این بین جای خالی سامانه‌ای که قادر به جمع آوری و نگهداری طولانی مدت رخدادها، آنالیز رویدادها و یکچارچه سازی آن‌ها باشد، احساس می‌شود. این راهکار با نام SIEM (Security Information and Event Management) علاوه بر کمک به تیم‌های امنیتی در پاسخ به وقایع، با نگهداری گزارشات امکان مراجعه و ردیابی حملات را در طول زمان فراهم می‌کند که در بلند مدت تاثیر مثبتی در امنیت سایبری سازمان خواهد داشت.

APK SIEM سامانه مدیریت وقایع و امنیت اطلاعات

سامانه مدیریت وقایع و امنیت اطلاعات امن پردازان کویر با نام APK SIEM یک محصول جامع برای جمع‌آوری، نگهداری و آنالیز گزارشات از سراسر شبکه سازمان است. این محصول ساختار ماژولار و طراحی مقیاس پذیری دارد که و به راحتی با سیاست‌های سازمان منطبق می‌گردد. APK SIEM با نگهداری طولانی مدت گزارشات و غنی سازی آن با سایر اطلاعات امکان تحلیل‌های عمیق‌تر و عملیات فارنزیک را فراهم می‌آرود. این محصول یک ابزار کلیدی برای تیم‌های CSIRT و SOC به شمار می‌رود.

ماژول عامل هوشمند

این ماژول با نصب شدن بروی نقاط پایانی، وظیفه ارسال رویدادهای سیستمی را بر عهده دارد. این سرویس اطلاعات دقیقی از تغییرات پردازش‌ها، اتصلات شبکه، فایل‌ها و پوشه‌های مورد نظر را ارائه می‌نماید. با توجه به این که در یک سازمان ممکن است تعداد زیادی از تجهیزات و برنامه‌های کاربردی وجود داشته باشد که لاگ‌های متفاوتی تولید می‌کنند، نیاز به عملیاتی برای فیلتر کردن ، دسته بندی، انطباق و ذخیره لاگ‌ها وجود دارد. در محصول APKSIEM این عملیات توسط ماژول SA انجام می‌شود.

توانایی پردازش داده‌ها از منابع مختلف، پزدارش و ارسال به منابع پردازشی متعدد
ثبت وقایع امنیت سیستم از دید حملات APT
تولید HASH کامل از تمامی Process های ایجاد شده
دریافت و نرمال‌سازی لاگ‌های پاول شل و WMI
تولید لاگ مرتبط با تمامی اقدامای که برروی Driver یا Registery ویندوز انجام می‌شود.
لاگ‌گیری از اتصالات شبکه
امکان نصب و اجرا بروی پلتفرم‌های گوناگون
قابلیت SOAR در سامانه‌های دارای ماژول SA

ماژول پیشران هوشمند

این ماژول رویدادهایی که توسط کاربران، سرورها، تجهیزات و سنسورهای امنیتی در شبکه تولید می‌شود را جمع‌آوری و آنها را به سیستم مدیریت رویدادها ارسال می‌کنند.

دریافت و نرمال سازی لاگ‌های ورودی از تجهیزات و سرویس‌های متعدد
فشرده سازی جهت صرفه جویی در پهنای باند مورد استفاده در هنگام ارسال رویداد
استفاده از روش‌های رمزنگاری جهت حفظ محرمانگی اطلاعات
پشتیبانی از پروتکل‌های مختلف از قبیل Syslog، WMI، SNMP
دریافت و ارسال بلادرنگ رویدادها
توزیع‌پذیری در نقاط و نواحی مختلف
غنی‌سازی رخدادهای ورودی متناسب با بروزترین تهدیدات حوزه سایبری
غنی‌سازی رخدادهای ورودی با استفاده از اطلاعاتی نظیر IOC و GEO
امکان تولید داده‌های Netflow با توجه به ترافیک ورودی
امکان تحلیل امنیتی ترافیک ورودی با استفاده از ماژول NDIS

تحلیل کلان داده

این ابزار وظیفه ذخیره سازی رویدادهای جمع‌آوری شده جهت تحلیل و یا تهیه گزارش‌ها در بازه‌های زمانی متفاوت، بنابه سیاست‌های امنیتی سازمان را بر عهده دارد.

جستجو پیشرفته بر روی رویدادهای فشده شده به منظور Forensic Investigation
استفاده از روش‌های یادگیری ماشین برای پیش بینی منابع و تشخیص حملات
تحلیل ناهنجاری ترافیک، رخدادها و دادهای Netflow
تحلیل داده‌ها با الگوریتم‌های مختلف هوش مصنوعی
ذخیره سازی بلندمدت رویدادهای دریافتی از سرور
قابلیت تعریف Retention Policy به ازای Source Typeهای مختلف
حفظ محرمانی در ارسال، دریافت و ذخیره رویداد
اتصال به سیستم Ticketing
قابلیت Scalability، Clustering، HA و Fault Tolerance
مدیریت پاسخ‌دهی به تهدیدات
پشتیبانی از داده‌های Threat Intelligent
قابلیت SOAR برای انجام اقدامات مناسب در هنگام وقوع حوادث

سامانه هشداردهی (Alerting)

این ابزار به منظور هشداردهی سریع و فعال برروی حوادث امنیتی به صورت Historical طراحی شده است.

وجود چندین هزار Use Case امنیتی متناسب با تهدیدات سازمان‌ها
قابلیت تعریف سریع سیاست‌های سازمانی و دغدغه‌های امنیتی سازمان در محیطی کاربر پسند
یکپارچگی با ماژول‌های Asset Management و Risk Management
قابلیت SOAR به منظور انجام سریع‌تر اقدامات
اعلام گام‌های حملات انجام شده در قالب MITRE Attack و Unified Kill Chain
قابلیت ارسال Email و SMS به منظور آگاهسازی افراد مرتبط

تحلیل رفتار کاربران و موجودیت‌ها

ماژول UEBA یک سیستم پیشرفته برای آنالیز و پروفایلینگ رفتار شبکه و کاربران می‌باشد که دیدی یکپارچه نسبت به وضعیت امنیت سازمان را فراهم می‌کند.

جامعیت و یکپارچگی با سامانه‌های خارجی نظیر Cisco ISE، Active Directory و OpenLDAP
یکپارچگی با سامانه‌هایی نظیر اسکنرهای آسیب پذیری به منظور تکمیل دید امنیتی SIEM
یکپارچگی سایر ماژول‌های APK SIEM در راستای غنی سازی توانمندی تحلیل جامع تیم SOC
مدیریت و ردیابی کاربران و دارایی‌های سازمان
مدیریت ریسک و ارزش دارایی‌ها و کاربران
استخراج الگوی رفتاری کاربران و دارایی‌ها
اسکن فعال آسیب پذیری‌های موجود در سازمان
یکپارچگی Nessus و GVM

مزایای سامانه مدیریت وقایع و امنیت اطلاعات APK SIEM

سازگاری با نیازمندی‌های سازمان

طراحی ماژولار محصول APK SIEM این قابلیت را فراهم آورده که متناسب با نیازمندی‌های سازمان‌ها و منابع موجود با معماری‌های متفاوت پیاده‌سازی گردد.

معماری سلسه مراتبی

این معماری در مواردی که سازمان دارای زیر مجموعه‌های مستقلی با منابع متفاوت است مورد استفاده قرار گرفته و متناسب با این معماری، فرآیند رصد و به‌روزرسانی سلسله مراتبی در سازمان‌ها و شعبه‌های مربوط انجام می‌پذیرد.

معماری مقیاس پذیر

در این معماری متناسب با نیازهای سازمان با استفاده از امکانات زیر، پشتیبانی از نرخ EPS بالاتر به همراه جستجوی سریع‌تر و نگهداری طولانی مدت‌تر داده‌ها شخصی سازی می‌شود. نمونه‌ای از این شخصی سازی در ادامه نشان داده شده است.

قابلیت افزودن ماژول‌های متنوع به صورت Plug & Play
قابلیت Clustering ماژول‌های متنوع APK SIEM
پشتیبانی از HA در سطح ماژول‌ها
پشتیبانی از Replica در سطح داده‌ها
تنظیم سیاست‌های Retention برای مدیریت داده‌ها

APK SIEM