مرکز عملیات امنیت (SOC) Security Center Operation یک واحد متمرکز درون سازمانی است که با بهکارگیری افراد، فرآیندها و فناوریها، بهطور مستمر وضعیت امنیتی سازمان را نظارت و بهبود میبخشد و از بروز حوادث سایبری جلوگیری میکند. همچنین مخاطرات را شناسایی و تحلیل نموده و در نهایت پاسخ مناسب را ارائه میدهد. واحد SOCرا میتوان یک مرکز فرماندهی مرکزی دانست که اطلاعات دقیق و جزئی را از تمام زیرساختهای فناوریاطلاعات از جمله تجهیزات شبکه، سرورها، ذخیرهسازها و سایر نرمافزارها و سامانههای امنیتی و همچنین از سرویسهای اختصاصی و سفارشی سازه شده در تمام بخشهای سازمان دریافت میکند.
جمع آوری اطلاعات از منابع مختلف نقش بسزایی در شناسایی و پیشگیری از تهدیدات پیشرفته ایفا می کند و اساسا می توان SOC را نقطه همبستگی و تجمیع تمام رخدادهای سایبری ثبت شده درون سازمان دانست. کاربرد اصلی SOC شناسایی این رخدادها و اتخاد عکسالعمل مناسب و بهموقع برای هر رخداد میباشد. وظایف مرکز عملیات امنیت را میتوان در نظارت، شناسایی، بررسی و پاسخ به تهدیدات سایبری بهطور شبانهروزی خلاصه نمود. این مرکز معمولاً بر اساس معماری چرخ و پره پیاده سازی میشوند بهطوری که پرههای آن را میتوان شامل سیستمهای مختلفی مانند راهکارهای مدیریت و کشف آسیبپذیری، تجهیزات زیرساخت شبکه (سوئیچ، روتر، سرور، ذخیرهساز)، تجهیزات دیوارآتش (فایروال)، سیستمهای پیشگیری از نفوذ(IPS)، راهکارهای شناسایی و پاسخ به تهدیدات در پایانهکاری (EDR)و نرمافزارهای جلوگیری از نشت اطلاعات (DLP) دانست. وظایف اصلی SOC شامل موارد زیر است:
- نظارت و تحلیل: پیگیری و بررسی رویدادهای امنیتی و فعالیتهای مشکوک
- شناسایی تهدیدات: تشخیص و شناسایی حملات و نقایص امنیتی
- بررسی رفتار کاربران: بررسی و تحلیل رفتار عادی کاربران و شناسایی رفتار غیر عادی ناشی از آلودگی سایبری
- پاسخ به حوادث: واکنش به حملات و حوادث امنیتی و مدیریت آنها
- مدیریت آسیبپذیریها: شناسایی و مدیریت نقاط ضعف در سیستمها و شبکهها
همانطور که گفته شد مرکز عملیات امنیت شامل افراد، فرآیندها و فناوریها میباشد که اصلیترین فناوری مورد استفاده در این حوزه را میتوان Security Information and Event Management (SIEM) دانست، در ادامه به معرفی کامل این فناوری میپردازیم.
معرفی راهکار SIEM به عنوان یکی از مهمترین اجزای SOC

اطلاعات امنیتی و مدیریت رویداد یا به اختصار SIEM را میتوان راهکاری برای شناسایی، تجزیه، تحلیل و پاسخ به تهدیدات امنیتی قبل از وقوع هرگونه آسیب به زیرساختهای فناوری اطلاعات دانست. SIEM مدیریت اطلاعات امنیتی (SIM) و مدیریت رویدادهای امنیتی (SEM) را در یک سیستم مدیریت، ترکیب و تجمیع میکند. راهکار SIEM دادههای گزارش رویداد را از طیف وسیعی از منابع جمعآوری میکند و فعالیتهایی نامتعارف و مخرب را با تجزیه و تحلیل شناسایی نموده و اقدامات مناسب را انجام میدهد. طی سالهای گذشته فناوریهای حوزه SIEM تکامل یافته و قادرند با استفاده از هوش مصنوعی، تشخیص تهدید و پاسخ به حوادث سایبری را هوشمندتر و سریعتر به انجام رساند.
راهحلهای SIEM به سازمانها این امکان را میدهد که دادههای گزارش شده از تمام داراییهای فناوری اطلاعات را در یک مکان متمرکز به طور کارآمد جمعآوری و تجزیه و تحلیل کنند. این کار به آنها توانایی بازآفرینی حوادث گذشته یا تجزیه و تحلیل رویدادهای جدید را برای بررسی فعالیتهای مشکوک و اجرای فرآیندهای امنیتی مؤثرتر میدهد. به طور خلاصه، SIEM به مدیران امنیت سازمانها امکان مشاهده فعالیتهای درون شبکه را میدهد تا بتوانند به سرعت به حملات سایبری بالقوه پاسخ دهند و الزامات و اقدامات مناسب را به عمل آورند.
شرکتهای مختلفی اقدام به ارائه راهکارهای موثر و کارآمد در حوزه SIEM نمودهاند که از جمله آنها میتوان بهIBM, Splunk, LogRythm, Rapid7 و غیره دانست که از بین موارد ذکر شده محصولات شرکت اسپلانک به دلیل داشتن قابلیت نصب On-Premise و خرید این شرکت
توسط شرکت نام آشنای Cisco، از محبوبیت بسیار بالایی در ایران برخوردار هستند.
همانطور که ذکر گردید شرکت اسپلانک دارای محصولات متنوعی میباشد که با پیادهسازی تمام آنها در شبکه سازمانی میتوان یک سامانه کامل SEIM و SOAR را در سازمان پیاده سازی کرده و شبکه داخلی را از بسیاری از حملات سایبری ایمن نمود. در ادامه به تفصیل به شرح جزئیات و شیوه عملکرد هر یک از محصولات مختلف این شرکت میپردازیم:
معرفی نرمافزار Enterprise Splunk
این نرمافزار را میتوان یک راهکار موثر برای کمک به مدیران فناوری اطلاعات سازمانها در مدیریت دادههای بزرگ و تحلیل دادههای ماشینی دانست. این راهکار میتواند بهصورت داخلی مورد استفاده قرار گرفته یا در فضای ابری مستقر شود. ویژگیهای کلیدی آن شامل بصریسازی دادهها، تعیین معیارهای عملکرد، جمعآوری دادهها، جستجوی لحظهای، ایندکسگذاری، پیگیری شاخصهای عملکرد (KPI) و گزارشدهی میباشد.
از جمله قابلیت های این نرمافزار میتوان به موارد زیر اشاره کرد:
جمعآوری و ایندکسگذاری دادهها: اسپلانک دادهها را تقریبا از هر منبع و هر مکانی جمعآوری میکند. این نرمافزار لاگها را به متریک تبدیل نموده و بدون محدودیتهای ساختار پایگاه داده موجود، آنها را به صورت آزادانه تحلیل و همبسته میکند. همچنین میتواند دادهها را از پایگاههای داده رابطهای و انبارهای داده استخراج کند.
جستجو، تحلیل و بصریسازی: اسپلانک امکان انجام جستجوهای ساده و همچنین کاوش پیشرفته دادهها را فراهم میکند. این نرمافزار یک رابط کاربری گرافیکی ارائه میدهد که برای کارشناسان سطح پایین (Tier1) بدون تخصص فنی و همچنین تحلیلگران پیشرفته (Tier2) قابل دسترسی است. این نرمافزار طرح های بصری مهم و ارزشمند از نتایج جستجو ها و تحلیل ها را برای هر نوع مخاطبی بهراحتی قابل درک میسازد.
نظارت، هشدار و گزارشدهی: نرمافزار اسپلانک آستانههایی برای نظارت بر رویدادها فراهم میکند و در صورت عبور دادهها از آستانههای تعیین شده بهطور پیشگیرانه درباره مشکلات احتمالی هشدار میدهد. هشدارها میتواند منجر به ایجاد یک اعلان شود، یک برنامه به خصوص را اجرا نموده یا یک اقدام سفارشی را به انجام رسانند. تیمهای امنیت میتوانند از داشبوردهای سفارشی برای سازماندهی دادهها استفاده نمایند یا آنها را در برنامههای امنیتی دیگر مشاهده نمایند.
یادگیری ماشینی: این ویژگی به تیمهای امنیت امکان میدهد مدلهای یادگیری ماشینی سفارشی ایجاد کنند و یک دستیار هوشمند با رابط کاربری گرافیکی ساده ارائه میکند. این دستیار، کاربران را در مراحل ایجاد الگوریتم یادگیری ماشینی راهنمایی میکند و با فیلتر کردن نویز از طریق تشخیص نقاط دورافتاده و ناهنجاری، تحلیلهای پیشبینی و الگوریتمهای هوشمند را پیاده سازی میکند.
معرفی افزونه Enterprise Security (ES)

افزونه اسپلانک ES اصلیترین و پرکاربردترین افزونه ارائه شده توسط شرکت اسپلانک میباشد که طیف گستردهای از موارد استفاده در تحلیلها و عملیات امنیتی را ارائه مینماید. از جمله این موارد میتوان به نظارت مستمر بر امنیت، تشخیص تهدیدهای پیشرفته، تطابق با قوانین، بررسی حوادث، جرمشناسی و پاسخ به حوادث اشاره کرد. این افزونه یک دید جامع، کامل و بهروز از وضعیت امنیت زیرساختهای فناوری اطلاعات در سازمانها را ارائه میدهد که با گزینههای انعطافپذیر در مدلهای ابری، درون سازمانی یا ترکیبی، همراه است.
این افزونه روی بستر نرمافزار اسپلانک Enterprise پیاده سازی میشود و آن را به یک سامانه مدیریت اطلاعات امنیتی و رویدادها (SIEM) تبدیل میکند که به سازمانها در مدیریت تهدیدات امنیتی کمک شایانی مینماید. افزونه ES با استفاده از قابلیتهای جستجو و همبستگی به تیمهای امنیت امکان میدهد دادهها را از دستگاههای امنیتی، سیستمها، تجهیزات زیرساخت شبکه و برنامههای مختلف دریافت، نظارت و گزارشگیری نمایند.
معرفی افزونه IT Service Intelligence (ITSI)
افزونه ITSI یک راهکار کارآمد برای نظارت و تحلیل شبکه است که به هوش مصنوعی تجهیز شده و برای عملیات فناوری اطلاعات (AIOps)مورد استفاده قرار میگیرد. این راهکار دید کاملی نسبت به وضعیت سلامت خدمات مربوط به فناوری اطلاعات و زیرساختهای آنها ارائه میدهد. ITSI از طریق نظارت، تحلیل و تجسم دادهها از منابع مختلف بهصورت لحظهای، گزارشهای دقیق و سفارشی درباره عملکرد شبکه سازمان ایجاد میکند.
این افزونه از قابلیتهای یادگیری ماشینی و تحلیلهای پیشرفته بهره میبرد تا چشم اندازهای پیشبینیکنندهای درباره عملکرد و وضعیت سلامت خدمات فناوری اطلاعات ارائه دهد. این ابزار میتواند دادهها را طی مدت طولانی تحلیل کرده، الگوها را شناسایی کند و مدلهای پیشبینیکنندهای بسازد که میتوانند تداوم عملکرد و سرویسدهی زیرساختهای فناوری اطلاعات را تضمین نمایند. قابلیت تحلیل و پیشبینی به تیمهای فناوری اطلاعات کمک میکند تا مشکلات یا ناهنجاریهای احتمالی را قبل از تبدیل شدن به حوادث بحرانی شناسایی کنند و اقدامات پیشگیرانهای برای جلوگیری یا کاهش اختلالات اتخاذ نمایند. به عنوان مثال ITSI میتواند تنگناهای احتمالی منابع، خرابی برنامهها یا مشکلات شبکه را پیشبینی کرده و توصیههایی برای بهینهسازی عملکرد و تداوم در دسترس بودن و عملیاتی بودن زیرساختهای شبکه ارائه دهد.
با استفاده از افزونه ITSI سازمانها میتوانند نظارت مبتنی بر خدمات را راهاندازی کرده، توافقنامههای سطح خدمات (SLA) را تعریف کنند، داشبوردها و تجسمهای گرافیکی ایجاد کرده و مکانیسمهای هشدار و اطلاعرسانی برای مدیریت پیشگیرانه خرابیها را برقرار نمایند. این ابزار ویژگیهای پیشرفتهای مانند همبستگی رویدادها، تحلیل علل ریشهای، تحلیل پیشبینیکننده و برنامهریزی ظرفیت را فراهم میکند.
معرفی افزونه Security Orchestration, Automation and Response (SOAR)
افزونه هماهنگسازی و خودکار سازی واکنشهای امنیتی یا به اختصار SOAR به طور کلی عملیات امنیت سایبری را متحول کرده است. این افزونه یک سامانه واحد، بسیار قدرتمند و انعطافپذیر برای مشاهده، درک و تصمیمگیری درباره چگونگی پاسخ به رخدادهای امنیتی فراهم میکند. خودکار سازی واکنش های امنیتی به این معنی است که به ازای هر حادثه امنیتی یک واکنش از پیش تعریف شده وجود دارد که به صورت خودکار اجرا و اعمال خواهد شد و لزوم دخالت انسانی در پاسخ به حوادث امنیتی را به حداقل رسانده و سرعت واکنش را به میزان قابل توجهی افزایش میدهد. همچنین هماهنگ سازی واکنش های امنیتی نیز به این معنی است که تمام داده و ابزارهای حوزه امنیت سایبری حتی اگر در بخش های مختلف شبکه و مکان های مختلف توزیع شده باشند نیز در یک نقطه تجمیع و به هم متصل میشود و در پاسخ به هر حادثه امنیتی میتواند زنجیرهای از پاسخ های خودکار و هماهنگشده را به صورت همزمان اجرا نمایند. این واکنش ها دارای نقطه شروع و نقطه پایان مشخصی بوده و پس از برطرف شدن حادثه امنیتی به طور خودکار غیر فعال خواهند شد.
استفاده از افزونه اسپلانک SOAR به معنی بینیاز شدن سازمانها از استخدام نیروهای خبره امنیت نیست اما میتواند تعداد نیروهای که همواره برای پاسخ به حملات امنیتی در حالت آماده باش هستند را کاهش دهد و در نتیجه هزینه تمام شده سازمان برای حفظ امنیت زیرساخت های فناوری اطلاعات خود را به میزان ملموسی تقلیل دهد. این افزونه قادر است از تمام ابزارهای امنیتی موجود در شبکه اعم از Firewall, IPS, WAF, EDR DLP, DAM استفاده نماید و سیاست ها و اقدمات پیشگیرانه لازم را با استفاده از این ابزارها در شبکه سازمان پیادهسازی و اعمال کند.