این محصول قدرتمند ایرانی، سامانهای است یکپارچه جهت مدیریت رخدادها و اطلاعات امنیتی (SIEM) که امکان جمعآوری لاگها از طریق حسگرهای متفاوت و نیز ایجاد همبستگی بین تمامی رخدادها را با بهکارگیری سناریوهای مختلف فراهم میکند.
این سامانه مسئولیت جمعآوری اطلاعات گرههای شبکه، بررسی وضعیت آسیبپذیری آنها، ارائه گزارش از حفرههای امنیتی، دریافت لحظه به لحظه هزاران داده و رخداد از کامپیوترها، سرورها، سختافزارها و نرمافزارهای شبکه و مقایسه رفتار این دادهها با الگوهای حملات سایبری و ارائه هشدارها و گزارشهای مختلف امنیتی را بر عهده دارد.
باید توجه داشت که این سامانه به صورت موازی و در مجاورت شبکه اصلی قرار میگیرد و هیچ خللی در عملکرد عادی شبکه ایجاد نمیکند. در حقیقت، بدون هیچ گونه دخالتی در محتوای بستههای اطلاعات، تنها به بررسی الگوی رفتاری ترافیک شبکه و الگوی رفتاری بدافزارها و نفوذگران میپردازد و بر اساس سناریوهای امنیتی، در لحظه وضعیت شبکه را ارزیابی مینماید و در صورت نیاز، واکنشهای لازم را نشان میدهد.
دلایل استفاده از SIEM بومی
- کشورهای صاحب فناوری SIEM اغلب دارای مواضع خصمانه و استعماری نسبت به کشورهای جهان سوم و در حال توسعه هستند.
- هزینه خرید محصولات خارجی بسیار بالا است و با توجه به نیاز بسیار گسترده در سطح کشور، خرید SIEM خارجی به مسأله خروج ارز از کشور نیز دامن میزند.
- پیچیدگی فناوری موجود در SIEM به سادگی، امکان قرار دادن راههای نفوذ پنهانی در آن را میسر میسازد. در حالی که کد نرمافزارهای داخلی در دسترس و قابل تأیید توسط مراجع داخلی است.
- با توجه به تنوع مشتریان و تفاوت در ارزشگذاری داراییهای هر سازمان، میبایست امکان سفارشیسازی محصول وجود داشته باشد. در مورد محصول غیر بومی، حتی اگر این امکان وجود داشته باشد مستلزم صرف هزینه و زمان بسیار زیادی است.
- لازمه استفاده از یک محصول SIEM دارا بودن پشتیبانی قوی و امکان بهروزرسانی فوری در مواجهه با مخاطرات جدید است که شرکتهای خارجیِ ارائهدهنده این محصول، توانایی ارائه این سطح از پشتیبانی را به مجموعههای داخلی ندارند.
بخشی از ویژگیهای اجزای اصلی سامانه
رابط کاربری
رابط کاربری این سامانه به دور از پیچیدگیهای معمول و به گونهای طراحی شده است که میزان در دسترس بودن منوها و سایر امکانات بصری، با میزان اهمیت و کاربرد آنها رابطه مستقیم داشته باشد. این رابط کاربری کاملاً تحت وب است و امکان دسترسی از راه دور به آن با رعایت استانداردهای امنیتی امکانپذیر است.
گزارشدهی و داشبورد
وجود انواع گزارشهای ازپیشتعریفشده، انواع خروجیهای استاندارد و نیز قابلیت گزارشگیری به صورت زمانبندیشده، جوابگوی تمامی نیازهای امنیتی و مدیریتی خواهد بود. در عین حال، امکان ایجاد گزارشهای متنوع و جدید نیز برای کاربر وجود دارد. همچنین، نمودارها به صورتی است که کاملاً گویا و قابلدرک باشد و در کوتاهترین زمان ممکن بیشترین حجم اطلاعات مفید را به کاربر ارائه دهد.
هوشمندی و پردازش همبستگی
موتور همبستگی این سامانه با بهکارگیری انواع الگوریتمهای همبستگی چندبعدی، به گونهای عمل میکند که با داشتن کمترین مقدار خطای مثبت کاذب (False Positive)، رخدادها را بر اساس اهمیت آنها اولویتبندی مینماید و با پردازش رخدادهای با اهمیتتر، میزان کمتری از منابع سیستم را اشغال میکند. همچنین با در نظر گرفتن میزان اهمیت داراییها و اولویت و اهمیت رخدادها، همواره به سنجش میزان ریسک میپردازد و از این طریق، حملات را در همان لحظات اولیه وقوع تشخیص میدهد.
جمعآوری دادهها
این سامانه دارای حسگرهایی است که اطلاعات رخدادها را از تمامی اجزای شبکه، بدون اثرگذاری بر عملکرد عادی شبکه، جمعآوری میکند و هیچ گونه محدودیتی در دریافت دادهها از انواع تجهیزات جدید، تجهیزات ساخت داخل و سایر اجزای شبکه ندارد. در این لایه، حسگرهای متعددی جهت تحلیل کامل ترافیک شبکه و نیز حسگرهای تشخیص نفوذ (IDS) در انواع واکنشگرا (Reactive)، غیر واکنشی (Passive)، مبتنی بر شبکه (NIDS)، مبتنی بر میزبان (HIDS)، مبتنی بر الگوی رفتاری (Anomaly Based) و مبتنی بر ساختار (Signature Based) قرار داده شده است.
سایر امکانات
- امکان ایمنسازی خطوط ارتباطی بین اجزای سامانه با استفاده از رمزکنندههای سختافزاری ساخت شرکت، با قابلیت پشتیبانی از انواع خطوط Ethernet و E1 و STM1 در کنار پروتکلهای نرمافزاری
- عدم محدودیت در تعداد Policyها و قابلیت تنظیم و اضافه کردن سناریوهای امنیتی توسط کاربر
- پایگاه دانش (Knowledge Database) کامل و پیشرفته
- امکان تعریف کاربران و گروههای کاربری به تعداد نامحدود و مدیریت پیشرفته کاربران
- امکان ارسال ایمیل و پیامک به هنگام تولید هشدار و سیستم Ticketing
- قابلیت تعامل با دیگر مراکز عملیات امنیت
- کاوش آسیبپذیریها (Vulnerability Scanning) و ارائه راهکار دقیق جهت برطرفسازی
- امکان پردازش نتایج کاوش آسیبپذیریها در موتور پردازش همبستگی
- قابلیت مانیتورینگ کامل ترافیک ورودی و خروجی شبکه به تفکیک اجزاء و نمایش گرافیکی آن
- قابلیت بهروزرسانی آنلاین و آفلاین