IBM QRADAR - SIEM/SOC

מנהל מערכות מידע/ מנהל תשתיות/ מנהל אבטחת מידע/ מנכ"ל, האם אתם רוצים לישון טוב בלילה ? אתם חייבים את הפתרון הנ"ל 

SIEM (ראשי תיבות באנגלית של: Security Information and Event Management לפעמים מכונה בקיצור גם:SIM, SEM, תרגום: ניהול אבטחת מידע ואירועים) היא התקן או תוכנה המנתחת לוגים המגיעים מרכיבי תקשורת ותוכנות שונות.
סיבות להטמעת SIEM בארגון
אסקור את שתי הסיבות העיקריות להטמעת מערכת SIEM:
1 ) רגולציה - הסיבה הנפוצה להטמעת SIEM בארגון. אני מעריך שרוב הארגונים מתחילים את ההטמעה של מערכת SIEM מתוך דרישה של רגולציה כזו או אחרת, המחייבת את הארגון לאחסן ולנטר את הלוגים המכילים פעולות הנוגעות למידע רגיש, במקום מרכזי, ושתהיה לארגון אפשרות לקבל תמונת מצב כוללת על מצב אבטחת המידע בארגון, לרוב ע"י שליחת דו"חות מתוזמנים ממערכת ה-SIEM. לרוב, הטמעות מסוג זה הן פשוטות וקצרות יותר מהאפשרות שאציג מיד, ולרוב המטרה היא לסמן "V "על דרישות רגולציה. הערך של פתרון ה-SIEM בארגון בשיטה זו, מנקודת מבט של אבטחת מידע, יהיה מוגבל ברוב המקרים.
2 ) רצון לשפר את אבטחת המידע בארגון - במצב זה, בניית פתרון ה-SIEM יבוצע בצורה "נכונה" יותר ברוב המקרים, אך ההטמעה תהיה מורכבת יותר. ארגונים המעוניינים לשפר את מערך אבטחת מידע בוחרים פעמים רבות להטמיע מערכת SIEM ,כפתרון "שליטה ובקרה" )שו"ב(, המאפשר ניהול אירועים מנקודה מרכזית. כמו כן, מערכת SIEM גם מקנה יכולות תחקור )Forensic ,)כך שבמקרה אירוע ניתן לחפש מידע לאחור.

SOC
ה- SOC מופעל ומנוהל מקצועית על ידי צוות מומחים רב תחומי של IBM Security אשר הוכשרו הוסמכו ומופעלים מקצועית ע"י IBM Security Services על פי הנהלים והמתודולוגיה הבין לאומית של IBM Security, כפי שהיא מיושמת ב- CERT הלאומי ובמרכזי הסייבר המובילים בעולם.
הצוותים עוברים הכשרות שוטפות ב-IBM ושומרים על רמת כשירות ומוכנות גבוהה ביותר.
בחזית פעילות הניטור עומדAlert Analyst אשר עיקר תפקידו ולבצע אבחון ראשוני של התרעות אוטומטיות המגיעות מהמערכות השונות, כולל: מעקב רצוף אחר התרעות ע"פ סדר קדימויות, מיון התרעות, קבלת החלטה ראשונית על האירוע כאירוע אמת אפשרי, איסוף כל הנתונים הנדרשים להעברה לשכבה השנייה, העברה סדורה של האירוע לטיפול השכבה השנייה.
ב"שכבה" השנייה ניצב אנליסט ברמה גבוה ה - Incident Responder שתפקידו לבצע ניתוח מעמיק בכדי לוודא שאכן מדובר באירוע, לזהות אילו מערכות ומחשבים נמצאים בסיכון, להמליץ ע ל התגובה לצורך:
בלימת האירוע והכלתו, מניעת התפשטות, תיקון וניקוי, חזרה לתפקודיות והתאוששות.
בראש הפירמידה ניצב מנהל ה-SOC שמעבר לניהול הצוות עומד בקשר עם הלקוחות כולל דרג ההנהלה הבכירה ביותר של הלקוח, בעיקר בזמן טיפול באירוע לקבלת החלטות להן השפעה משמעותית על הארגון, בקרה על עמידה בנהלי התפעול ובביצועים הנדרשים לזמני ואיכות התגובה על פי ה-SLA וניהול תהליכי הסלמה באירועים חמורים