بستن
apksiem Binoculars 2
apksiem logo 1

APK SIEM

مدیریت وقایع و امنیت اطلاعات

سامانه مدیریت وقایع و امنیت اطلاعات (APK SIEM)، راهکاری قدرتمند و پیشرفته برای مدیریت همه جانبه وقایع و رخدادهای امنیت سایبری در سازمان می‌باشد. ماژول‌های قدرتمند و توانایی آنالیز داده‌های بزرگ از ویژگی‌های این محصول کاربردی است.

افق تهدیدات سایبری، در سال‌های گذشته چهره جدیدی به خود گرفته است. حملات پیچیده، پیشرفته و سازمان یافته‌تر شده‌اند که بدین ترتیب شناسایی و جلوگیری از آن‌ها نیاز به ابزار و دانش بیشتری دارد. بر اساس تحقیقات، این حملات در 74% مواقع در یک سال اول توسط سازمان شناسایی نمی‌شوند و در بسیاری مواقع دستگاه‌ها و سیستم‌های موجود در سازمان به دلایل مختلف قادر به جلوگیری از وقوع این حملات نبوده‌اند. در این بین جای خالی سامانه‌ای که قادر به جمع آوری و نگهداری طولانی مدت رخدادها، آنالیز رویدادها و یکچارچه سازی آن‌ها باشد، احساس می‌شود. این راهکار با نام SIEM (Security Information and Event Management) علاوه بر کمک به تیم‌های امنیتی در پاسخ به وقایع، با نگهداری گزارشات امکان مراجعه و ردیابی حملات را در طول زمان فراهم می‌کند که در بلند مدت تاثیر مثبتی در امنیت سایبری سازمان خواهد داشت.

APK SIEM سامانه مدیریت وقایع و امنیت اطلاعات

سامانه مدیریت وقایع و امنیت اطلاعات امن پردازان کویر با نام APK SIEM یک محصول جامع برای جمع‌آوری، نگهداری و آنالیز گزارشات از سراسر شبکه سازمان است. این محصول ساختار ماژولار و طراحی مقیاس پذیری دارد که و به راحتی با سیاست‌های سازمان منطبق می‌گردد. APK SIEM با نگهداری طولانی مدت گزارشات و غنی سازی آن با سایر اطلاعات امکان تحلیل‌های عمیق‌تر و عملیات فارنزیک را فراهم می‌آرود. این محصول یک ابزار کلیدی برای تیم‌های CSIRT و SOC به شمار می‌رود.

معماری سیستم APK SIEM
معماری سیستم APK SIEM

ماژول عامل هوشمند

apksiem smart agent

این ماژول با نصب شدن بروی نقاط پایانی، وظیفه ارسال رویدادهای سیستمی را بر عهده دارد. این سرویس اطلاعات دقیقی از تغییرات پردازش‌ها، اتصلات شبکه، فایل‌ها و پوشه‌های مورد نظر را ارائه می‌نماید. با توجه به این که در یک سازمان ممکن است تعداد زیادی از تجهیزات و برنامه‌های کاربردی وجود داشته باشد که لاگ‌های متفاوتی تولید می‌کنند، نیاز به عملیاتی برای فیلتر کردن ، دسته بندی، انطباق و ذخیره لاگ‌ها وجود دارد. در محصول APKSIEM این عملیات توسط ماژول SA انجام می‌شود.

  • توانایی پردازش داده‌ها از منابع مختلف، پزدارش و ارسال به منابع پردازشی متعدد
  • ثبت وقایع امنیت سیستم از دید حملات APT
  • تولید HASH کامل از تمامی Process های ایجاد شده
  • دریافت و نرمال‌سازی لاگ‌های پاول شل و WMI
  • تولید لاگ مرتبط با تمامی اقدامای که برروی Driver یا Registery ویندوز انجام می‌شود.
  • لاگ‌گیری از اتصالات شبکه
  • امکان نصب و اجرا بروی پلتفرم‌های گوناگون
  • قابلیت SOAR در سامانه‌های دارای ماژول SA

ماژول پیشران هوشمند

apksiem smart forwarder

این ماژول رویدادهایی که توسط کاربران، سرورها، تجهیزات و سنسورهای امنیتی در شبکه تولید می‌شود را جمع‌آوری و آنها را به سیستم مدیریت رویدادها ارسال می‌کنند.

  • دریافت و نرمال سازی لاگ‌های ورودی از تجهیزات و سرویس‌های متعدد
  • فشرده سازی جهت صرفه جویی در پهنای باند مورد استفاده در هنگام ارسال رویداد
  • استفاده از روش‌های رمزنگاری جهت حفظ محرمانگی اطلاعات
  • پشتیبانی از پروتکل‌های مختلف از قبیل Syslog، WMI، SNMP
  • دریافت و ارسال بلادرنگ رویدادها
  • توزیع‌پذیری در نقاط و نواحی مختلف
  • غنی‌سازی رخدادهای ورودی متناسب با بروزترین تهدیدات حوزه سایبری
  • غنی‌سازی رخدادهای ورودی با استفاده از اطلاعاتی نظیر IOC و GEO
  • امکان تولید داده‌های Netflow با توجه به ترافیک ورودی
  • امکان تحلیل امنیتی ترافیک ورودی با استفاده از ماژول NDIS

تحلیل کلان داده

apksiem bda

این ابزار وظیفه ذخیره سازی رویدادهای جمع‌آوری شده جهت تحلیل و یا تهیه گزارش‌ها در بازه‌های زمانی متفاوت، بنابه سیاست‌های امنیتی سازمان را بر عهده دارد.

  • جستجو پیشرفته بر روی رویدادهای فشده شده به منظور Forensic Investigation
  • استفاده از روش‌های یادگیری ماشین برای پیش بینی منابع و تشخیص حملات
  • تحلیل ناهنجاری ترافیک، رخدادها و دادهای Netflow
  • تحلیل داده‌ها با الگوریتم‌های مختلف هوش مصنوعی
  • ذخیره سازی بلندمدت رویدادهای دریافتی از سرور
  • قابلیت تعریف Retention Policy به ازای Source Typeهای مختلف
  • حفظ محرمانی در ارسال، دریافت و ذخیره رویداد
  • اتصال به سیستم Ticketing
  • قابلیت Scalability، Clustering، HA و Fault Tolerance
  • مدیریت پاسخ‌دهی به تهدیدات
  • پشتیبانی از داده‌های Threat Intelligent
  • قابلیت SOAR برای انجام اقدامات مناسب در هنگام وقوع حوادث

سامانه هشداردهی (Alerting)

این ابزار به منظور هشداردهی سریع و فعال برروی حوادث امنیتی به صورت Historical طراحی شده است.

  • وجود چندین هزار Use Case امنیتی متناسب با تهدیدات سازمان‌ها
  • قابلیت تعریف سریع سیاست‌های سازمانی و دغدغه‌های امنیتی سازمان در محیطی کاربر پسند
  • یکپارچگی با ماژول‌های Asset Management و Risk Management
  • قابلیت SOAR به منظور انجام سریع‌تر اقدامات
  • اعلام گام‌های حملات انجام شده در قالب MITRE Attack و Unified Kill Chain
  • قابلیت ارسال Email و SMS به منظور آگاهسازی افراد مرتبط

تحلیل رفتار کاربران و موجودیت‌ها

apksiem ueba

ماژول UEBA یک سیستم پیشرفته برای آنالیز و پروفایلینگ رفتار شبکه و کاربران می‌باشد که دیدی یکپارچه نسبت به وضعیت امنیت سازمان را فراهم می‌کند.

  • جامعیت و یکپارچگی با سامانه‌های خارجی نظیر Cisco ISE، Active Directory و OpenLDAP
  • یکپارچگی با سامانه‌هایی نظیر اسکنرهای آسیب پذیری به منظور تکمیل دید امنیتی SIEM
  • یکپارچگی سایر ماژول‌های APK SIEM در راستای غنی سازی توانمندی تحلیل جامع تیم SOC
  • مدیریت و ردیابی کاربران و دارایی‌های سازمان
  • مدیریت ریسک و ارزش دارایی‌ها و کاربران
  • استخراج الگوی رفتاری کاربران و دارایی‌ها
  • اسکن فعال آسیب پذیری‌های موجود در سازمان
  • یکپارچگی Nessus و GVM

مزایای سامانه مدیریت وقایع و امنیت اطلاعات APK SIEM

سازگاری با نیازمندی‌های سازمان

طراحی ماژولار محصول APK SIEM این قابلیت را فراهم آورده که متناسب با نیازمندی‌های سازمان‌ها و منابع موجود با معماری‌های متفاوت پیاده‌سازی گردد.

معماری سلسه مراتبی

این معماری در مواردی که سازمان دارای زیر مجموعه‌های مستقلی با منابع متفاوت است مورد استفاده قرار گرفته و متناسب با این معماری، فرآیند رصد و به‌روزرسانی سلسله مراتبی در سازمان‌ها و شعبه‌های مربوط انجام می‌پذیرد.

معماری مقیاس پذیر

در این معماری متناسب با نیازهای سازمان با استفاده از امکانات زیر، پشتیبانی از نرخ EPS بالاتر به همراه جستجوی سریع‌تر و نگهداری طولانی مدت‌تر داده‌ها شخصی سازی می‌شود. نمونه‌ای از این شخصی سازی در ادامه نشان داده شده است.

  • قابلیت افزودن ماژول‌های متنوع به صورت Plug & Play
  • قابلیت Clustering ماژول‌های متنوع APK SIEM
  • پشتیبانی از HA در سطح ماژول‌ها
  • پشتیبانی از Replica در سطح داده‌ها
  • تنظیم سیاست‌های Retention برای مدیریت داده‌ها