طراحی، معماری و راه‌ اندازی SOC و SIEM

مدیریت رویداد امنیت اطلاعات SIEM

سیستم مدیریت وقایع و رخدادهای امنیتی تمامی زوایای امنیتی را به صورت بلادرنگ از یک نقطه مرکزی مدیریت و مانیتور می‌کند و تمامی حوادث امنیتی را کشف و اولویت‌دهی کرده، سطح ریسک و دارایی‌هایی که تحت تاثیر قرار خواهند گرفت را تشخیص می‌دهد.

021-۸۸۷۷۵۴۱۴
isms-1

مجموعه خدمات نصب و راه اندازی SIEM

  • تخمین EPS و میزان ترافیک شبکه
  • نصب Agentهای محصول SIEM در Hostهای حیاتی و جمع ­آوری اطلاعات حیاتی و مرتبط
  • جمع آوری لاگ زیرساخت شبکه و اپلیکیشن بصورت Agent و Agentless
  • حذف داده­های Noisy در جمع آوری داده­ها
  • پیکربندی سنسور های حیاتی بررسی رخدادها در لایه های شبکه و application و Host به منظور جمع آوری اطلاعات عمیق تر و ایجاد Use Caseهای وابسته یا همان Correlation
  • پیکربندی معماری تیم، نقش­ها و مسئولیت های زیرساخت مرکز عملیات امنیت
  • تدوین فرایندهای مرکز عملیات امنیت
  • پیکربندی تمامی رخدادهای جمع آوری شده در استوریج جداگانه از Indexerها
  • پیکربندی ذخیره لاگ ها به دو دسته حیاتی HOT بر روی زیرساخت ذخیره سازی SSD و Archive بصورت Cold بر روی زیساخت ذخیره سازی HDD
  • ایجاد مستندات Lookupهای حیاتی
  • پیکربندی داشبورد های حیاتی به منظور پایش توسط راهبر Tier1 و همچنین اطمینان از عملکرد صحیح Triggerها
  • ایزوله سازی ایستگاه­های کاری زیرساخت SIEM به منظور جلوگیری از حملات بر روی روند کاری Centralized Log Management
  • ایجاد دستورالعمل های شبیه­سازی حملات بر پایه فریمورک MITRE ATT@CK به منظور بررسی صحت عملکرد زیرساخت SOC
  • شبیه سازی تمامی حملات APT شناخته شده با توجه به مرجع MITRE و ایجاد Use Caseهای جلوگیری از حملات
  • ایجاد بستر Threat Intelligent به منظور تحلیل رخدادها به صورت Proactive با استفاده از MISP به منظور شکار حملات یا همان Threat Hunting حملات ناشناخته یا همان Zero-day Attacks
  • ایجاد بستر شکار تهدیدها با تغذیه IOCها و TTPها و Map کردن Triggerها با آنها
  • پیکربندی بستر ایجاد IOC در شکار تهدیدها براساس دسترسی به داده­های حیاتی
  • پیکربندی زیرساخت پاسخگویی به رخدادها بصورت Reactive و Proactive
  • طراحی و نگهداری سطوح مختلف CMM به منظور بازیابی بلوغ حداکثری زیرساخت SOC
  • پیکربندی Use Caseهای حیاتی با توجه به طبقه بندی داده ها و اهمیت آنها در محافظت از داده ها یا همان جلوگیری از Data Loss با استفاده از Correlation بین رویدادها
  • پیکربندی سازگاری امن سازی زیرساخت شبکه با Complianceها یا همان استاندارد های ISO 27001، PCI DSS، FISMA و SOX
  • بازرسی چرخه بلوغ SOC CMMI به صورت بازه­ای به منظور به بلوغ رساندن بیشتر زیرساخت مرکز عملیات امنیت و به حداقل رساندن زمان های MTTD و MTTR و به حداکثر رساندن بلوغ مرکز SOC
  • ایجاد و بازنگری Blacklist و Whitelist های مورد نیاز ابزار SIEM
  • کاهش حداکثری False-Positiveها در تشخیص و گزارش­دهی incidentها
  • بهبود Correlation و ایجاد Use Case بین رویدادها
  • بهبود عملکرد زیرساخت SOC با تسهیل در سرویس دهی
  • بازیابی دوره ای چرخه پاسخگویی به حوادث به منظور بالا بردن اثرپذیری سریع و دقیق طرح­های IR
  • بهبود و بازیابی SOC Workflow برای تمامی راهبران SOC
  • پیکربندی طرح مدیریت دسترسی ها همراه با Role و Action
  • ایجاد دستورالعمل­های Run Book برای راهبران Tier1 به منظور عملکرد استاندارد در برابر Incident و سپس ارسال گزارش Incident به راهبران Tier2 به منظور بهبود عملکرد و به بلوغ رساندن حداکثری طرح های پاسخگویی به حوادث
  • مستندسازی وقوع حوادث و تسهیل در تشخیص آنها یا همان Incident Remediation
  • مستندسازی SOC SLA به منظور تاییدیه سطح سرویس­دهی SOC و بازیابی بلوغ
  • مستندسازی تهیه گزارش­های SIEM و SOC Performance
  • مستندسازی پاسخگویی به حوادث، Run Book، Ticketing، ابزارهای کاربردی SOC و سایر
  • پیکربندی مستندات مربوط به گزارش دهی استانداردهای ISO 27001، PCI DSS، FISMA و SOX

مرکز عملیات امنیت SOC

در گذشته همواره ملاحظه کرده ایم که برای ارتقاء سطح امنیت یک سرویس یا خدمات و یا کسب و کار به راهکارهایی چون خرید تجهیزات امنیتی نظیر فایروال،  سامانه های کنترل و شناسایی نفوذ در شبکه ، دیواره آتشین نرم افزارهای مدیریت وب سرور و … اکتفا کرده و در بهترین حالت با صرف هزینه های بالا و استفاده از نرم افزارهای پایش مستمر شبکه و ایجاد یکپارچگی بین دارایی های دپارتمانهای مختلف با ابزار مدیریت پایش مستمر شبکه  با استفاده از پروتکل هایی نظیر SNMP, WMI و … و طراحی نمایشگر های مسطح و عریض یک دپارتمان مرکز عملیات شبکه  راه اندازی می شد. اما تمامی این جزئیات و هزینه ها تنها یکی از سه مؤلفه مثلث CIA را با عنوان “دسترس پذیری” را پوشش داده و مؤلفه های یکپارچگی و حفظ محرمانگی همچنان مقهور و بی اهمیت باقی می ماند.

این شرایط ادامه داشت تا زمانی که مفهومی با عنوان مرکز عملیات امنیت معرفی شد. با وجود این راهکار که با در کنار هم قرار دادن سه مؤلفه “تکنولوژی، نیروی انسانی و فرآیندها” بعنوان اصلی ترین پیش نیازهای ایجاد و استقرار یک مرکز عملیات امنیت، می توانستیم دو مؤلفه یکپارچگی و محرمانگی را نیز پوشش داده و به امنیت حداکثری (وابسته به پارامترهای دیگر نظیر کیفیت و کمیت حداقل سه مؤلفه نامبرده بعنوان پیش نیازهای استقرار یک مرکز عملیات امنیت) دست یابیم.

مرکز عملیات امنیت تعاریف و مؤلفه‌ها

بر اساس Best Practices یا به روش های ارائه شده، عموماً به مرکزی که در آن بتوان بین سه مؤلفه “فناوری، نیروی انسانی و فرآیندها” ارتباط و رویه ایی منطقی در جهت شناسایی و اعلان حملات، تهدیدات، آسیب پذیری های کشف شده، نقص تنظیمها یا هرگونه عاملی که باعث اختلال در عملکرد یک کسب و کار در ارائه سرویس یا تولید یک محصول گردد برقرار نمود، مرکز عملیات امنیت می گویند. در گذشته برای معرفی یک مرکز عملیات امنیت تنها به ارائه این تعریف بسنده می شد که یک مرکز عملیات امنیت جایی است که سه مؤلفه فوق الذکر در آن وجود داشته و تعریف شده باشد. اما برای تکمیل کردن این تعریف باید به این موضوع تاکید کرد که سه مؤلفه مذکور لازم بوده ولی کافی نیست. علاوه بر آن سه مؤلفه باید بتوان بین هر جزء آن ارتباطی منطقی و مبتنی بر رویه هایی قابل ارتقاء و در جهت بهبود ایجاد و برقرار نمود.

مرکز عملیات امنیت شامل سه بخش اصلی Technology اعم از تجهیزات به کار گرفته شده در SOC، Process اعم از اقدامات صورت گرفته در پایش و پاسخگویی در SOC و همچنین People اعم از راهبران امنیتی مرکز SOC می‌­باشد.

مجموعه خدمات ما در حوزه مرکز عملیات امنیت SOC

طراحی مرکز عملیات امنیت SOC

  • طراحی، نصب و راه اندازی زیرساخت مجازی سازی SOC
  • طراحی، نصب و راه اندازی زیرساخت ذخیره سازی SOC
  • تخمین EPS و میزان ترافیک Flowی شبکه
  • ارزیابی زیرساخت و معماری شبکه کنونی به منظور استقرار سنسور های تشخیص نفوذ
  • ارزیابی زیرساخت شبکه های مجازی و endpointها به منظور جمع آوری و ارسال لاگ ها
  • شناخت و مستندسازی سرورها و نود های شبکه
  • نصب و راه اندازی ماشین های مجازی
  • نصب و راه اندازی شبکه ایزوله جدید برای زیرساخت SOC و برقراری ارتباط با سایر نودها
  • نصب و راه اندازی ایستگاه های کاری محصول
  • امن سازی و هاردنینگ اولیه تمامی ماشین های مجازی و ایستگاه های کاری SOC
  • امکان سنجی و طراحی شبکه ارسال رخدادها به زیرساخت SOC
  • شناخت زیرساخت SIEM کنونی و سطح لاگ گزارش گیری و داشبوردهای فعلی
  • امکان سنجی و طراحی راه اندازی User Behavior Analytics به منظور برقراری ارتباط با DC
  • طراحی و نصب و راه اندازی لودبالانسرهای جمع آوری رخدادهای Agent less

پیکربندی SIEM

  • راه اندازی کلاستر به منظور اطمینان از افزونگی بالا و دسترسی پذیری در ذخیره اطلاعات
  • راه اندازی ایستگاه های کاری و ارتباط با سایر نودها
  • راه اندازی زیرساخت ذخیره سازی خارجی یا همان External Storage به منظور ذخیره اطلاعات در محل جداگانه به منظور اطمینان از حذف اطلاعات با خرابی
  • راه اندازی ایستگاه کاری پایش reactive رخدادها SH1
  • راه اندازی ایستگاه کاری پایش و پاسخگویی به رخدادهای
  • راه اندازی ایستگاه کاری بررسی رخدادهای Use Caseها و پاسخگویی به حوادث Proactive SH3
  • راه اندازی کلاستر Intermediate Forwarder به منظور اطمینان از افزونگی بالا و دسترسی پذیری در جمع آوری اطلاعات و Parse کردن داده­ها
  • راه اندازی Deployment Server به منظور مدیریت متمرکز Agentها
  • راه اندازی License Server
  • راه اندازی مانیتورینگ متمرکز ایستگاه­های کاری Monitoring Console
  • راه اندازی بستر UBA به منظور تشخیص رفتار های Anomaly بر پایه رفتارکاربران
  • راه اندازی Agent تشخیص رفتار کاربران UBA بر روی DC یا همان Lightweight Gateway
  • راه اندازی سنسور تشخیص نفوذ سطح شبکه
  • راه اندازی سنسور تشخیص نفوذ سطح اپلیکیشن

تیونینگ و آموزش

  • تخمین EPS و میزان ترافیک شبکه
  • نصب Agentهای محصول SIEM در Hostهای حیاتی و جمع­آوری اطلاعات حیاتی و مرتبط
  • جمع آوری لاگ زیرساخت شبکه و اپلیکیشن بصورت Agent و Agentless
  • حذف داده­های Noisy در جمع آوری داده­ها
  • پیکربندی سنسور های حیاتی بررسی رخدادها در لایه های شبکه و application و Host به منظور جمع آوری اطلاعات عمیق تر و ایجاد Use Caseهای وابسته یا همان Correlation
  • پیکربندی معماری تیم، نقش­ها و مسئولیت های زیرساخت مرکز عملیات امنیت
  • تدوین فرایندهای مرکز عملیات امنیت
  • پیکربندی تمامی رخدادهای جمع آوری شده در استوریج جداگانه از Indexerها
  • پیکربندی ذخیره لاگ ها به دو دسته حیاتی HOT بر روی زیرساخت ذخیره سازی SSD و Archive بصورت Cold بر روی زیساخت ذخیره سازی HDD
  • ایجاد مستندات Lookupهای حیاتی
  • پیکربندی داشبورد های حیاتی به منظور پایش توسط راهبر Tier1 و همچنین اطمینان از عملکرد صحیح Triggerها
  • ایزوله سازی ایستگاه­های کاری زیرساخت SIEM به منظور جلوگیری از حملات بر روی روند کاری Centralized Log Management
  • ایجاد دستورالعمل های شبیه­سازی حملات بر پایه فریمورک MITRE ATT@CK به منظور بررسی صحت عملکرد زیرساخت SOC
  • شبیه سازی تمامی حملات APT شناخته شده با توجه به مرجع MITRE و ایجاد Use Caseهای جلوگیری از حملات
  • ایجاد بستر Threat Intelligent به منظور تحلیل رخدادها به صورت Proactive با استفاده از MISP به منظور شکار حملات یا همان Threat Hunting حملات ناشناخته یا همان Zero-day Attacks
  • ایجاد بستر شکار تهدیدها با تغذیه IOCها و TTPها و Map کردن Triggerها با آنها
  • پیکربندی بستر ایجاد IOC در شکار تهدیدها براساس دسترسی به داده­های حیاتی
  • پیکربندی زیرساخت پاسخگویی به رخدادها بصورت Reactive و Proactive
  • طراحی و نگهداری سطوح مختلف CMM به منظور بازیابی بلوغ حداکثری زیرساخت SOC
  • پیکربندی Use Caseهای حیاتی با توجه به طبقه بندی داده ها و اهمیت آنها در محافظت از داده ها یا همان جلوگیری از Data Loss با استفاده از Correlation بین رویدادها
  • پیکربندی سازگاری امن سازی زیرساخت شبکه با Complianceها یا همان استاندارد های ISO 27001، PCI DSS، FISMA و SOX
  • بازرسی چرخه بلوغ SOC CMMI به صورت بازه­ای به منظور به بلوغ رساندن بیشتر زیرساخت مرکز عملیات امنیت و به حداقل رساندن زمان های MTTD و MTTR و به حداکثر رساندن بلوغ مرکز SOC
  • ایجاد و بازنگری Blacklist و Whitelist های مورد نیاز ابزار SIEM
  • کاهش حداکثری False-Positiveها در تشخیص و گزارش­دهی incidentها
  • بهبود Correlation و ایجاد Use Case بین رویدادها
  • بهبود عملکرد زیرساخت SOC با تسهیل در سرویس دهی
  • بازیابی دوره ای چرخه پاسخگویی به حوادث به منظور بالا بردن اثرپذیری سریع و دقیق طرح­های IR
  • بهبود و بازیابی SOC Workflow برای تمامی راهبران SOC
  • پیکربندی طرح مدیریت دسترسی ها همراه با Role و Action
  • ایجاد دستورالعمل­های Run Book برای راهبران Tier1 به منظور عملکرد استاندارد در برابر Incident و سپس ارسال گزارش Incident به راهبران Tier2 به منظور بهبود عملکرد و به بلوغ رساندن حداکثری طرح های پاسخگویی به حوادث
  • مستندسازی وقوع حوادث و تسهیل در تشخیص آنها یا همان Incident Remediation
  • مستندسازی SOC SLA به منظور تاییدیه سطح سرویس­دهی SOC و بازیابی بلوغ
  • مستندسازی تهیه گزارش­های SIEM و SOC Performance
  • مستندسازی پاسخگویی به حوادث، Run Book، Ticketing، ابزارهای کاربردی SOC و سایر
  • پیکربندی مستندات مربوط به گزارش دهی استانداردهای ISO 27001، PCI DSS، FISMA و SOX
  • آموزش گسترش پذیری، پیکربندی و نگهداری محصول
  • آموزش گسترش پذیری، پیکربندی و نگهداری سنسورهای تشخیص نفوذ
  • آموزش پیکربندی use caseها و تسلط در پیاده سازی
  • آموزش پیکربندی پاسخگویی به رخدادها
  • آموزش مستندسازی و تهیه گزارش
  • آموزش ایجاد داشبوردهای static و dynamic