سلام ، امروز تصمیم گرفتیم یه ابزار مفید برای دوستانی که علاقه دارند تجربه کار با تجهیزات مختلف شبکه رو داشته باشن ولی به دلایلی دسترسی اونها به منابع سخت افزاری و تجهیزات محدود هست قرار بدیم ، این ابزار یه آزمایشگاه مجازی هست ..یه آزمایشگاه مجازی بی نظیر برای یادگیری کاربردی Device های شبکه.
این نرم افزار کاملاً رایگانه اما اضافه کردن تمام کتابخونه اون زمانبره و با توجه به عدم دسترسی بعضی دوستان به منایع Firmware ها , این آزماشگاه کامل بسیار کاربردی میتونه باشه.
اصل این فایل چیزی در حدود 600 مگابایت حجم داره اما با اضافه شده تمامی Switch ها , Firewall ها , Router ها , … حجمش به حدود 12 گیگ رسیده .توی این آزمایشگاه مجازی چندین پروژه آماده که بوسیله INE و IPExpert هم وجود داره.
فرمت فایل بصورت OVA هست که میبایست بوسیله Vmware راه اندازی بشه.نرم افزار بر پایه Qemu و Dynamips که روی سیستم عامل Ubuntu شبیه سازی شده هست.شما نیاز به حداقل چهار CPU مجازی به همراه شش گیگابایت رم و حداقل چهار Network Adapter مجازی برای راه اندازی اون دارید.یوزر وب بصورت پیش فرض admin و پسورد اون unl و همچنین تو Ubuntu یوزر root با همون پسورد خواهد بود.
این نرم افزار کاملاً رایگانه اما اضافه کردن تمام کتابخونه اون زمانبره و با توجه به عدم دسترسی بعضی دوستان به منایع Firmware ها , این آزماشگاه کامل بسیار کاربردی میتونه باشه.
اصل این فایل چیزی در حدود 600 مگابایت حجم داره اما با اضافه شده تمامی Switch ها , Firewall ها , Router ها , … حجمش به حدود 12 گیگ رسیده .توی این آزمایشگاه مجازی چندین پروژه آماده که بوسیله INE و IPExpert هم وجود داره.
فرمت فایل بصورت OVA هست که میبایست بوسیله Vmware راه اندازی بشه.نرم افزار بر پایه Qemu و Dynamips که روی سیستم عامل Ubuntu شبیه سازی شده هست.شما نیاز به حداقل چهار CPU مجازی به همراه شش گیگابایت رم و حداقل چهار Network Adapter مجازی برای راه اندازی اون دارید.یوزر وب بصورت پیش فرض admin و پسورد اون unl و همچنین تو Ubuntu یوزر root با همون پسورد خواهد بود.
دستگاههای پشتیبانی شده توسط این آزمایشگاه مجازی :
Dynamips (Cisco IOS emulation)
c7200-adventerprisek9-mz.152-4.S6 (supported cards: PA-FE-TX, PA-4E, PA-8E)
c3725-adventerprisek9-mz.124-15.T14 (supported cards: NM-1FE-TX, NM-16ESW)
c1710-bk9no3r2sy-mz.124-23
Other images from the above series should work too
IOL (IOS on Linux also known as IOU)
L2-ADVENTERPRISE-M-15.1-20131216.bin
L2-ADVENTERPRISE-M-15.1-20140814.bin
L2-IPBASEK9-M-15.1-20130726.bin
L3-ADVENTERPRISEK9-M-15.4-1T.bin
L3-ADVENTERPRISEK9-M-15.4-2T.bin
L3-ADVIPSERVICES-M-15.1-2.9S.bin
And others
Qemu
Cisco ASA 8.0.2 (Singe and Multi Context)
Cisco ASA 8.4.2 (Support Multi Context)
Cisco ASA 9.1.15 (Support Multi Context)
Cisco ASAv (ver 9.3.2.200; 9.4.1; 9.5.1)
Cisco ACS (ver 5.7)
Cisco CDA (ver 1.0.0.011)
Cisco IPS – cips (ver 7.0-8)
Cisco ISE (ver 1.2)
Cisco vWAAS (ver 5.5.3)
Cisco WSA virtual appliance – coeus (ver 8-6-0-025-S000V)
Cisco CSR – csr1000v (ver 9.03.13.01.S.154-3.S1; 9.03.14.01.S.155-1.S1-std)
Cisco NX-OSv – titanium (ver 7.1.0.ZD.363; 7.2.0.ZD.0.120)
Cisco vIOS – vios-adventerprisek9 (ver 15.4.3M L3; 15.5.2 L3)
Cisco vIOS L2 – viosl2-adventerprisek9 (ver 15.2.411)
Cisco vNAM (ver 6.2.1)
Cisco Sourcefire – sourcefire (ver 5.4.0.763)
Cisco Wireless controller – vwlc (ver K9-8-0-100-0)
Cisco XRv – xrv-k9 (ver 5.2.2 – 5.3.2)
A10 Networks vThunder Virtual Appliance – a10-vthunder (ver 2.7.1-P3-b76)
Alcatel 7750 virtual service router – timos (ver 12.0.R6)
Arista networks switches (ver 4.14.2F; 4.14.5F; 4.15.0F)
Aruba Networks security – clearpass (ver 6.4.0.66263)
Brocade Virtual ADX – brocadevadx (ver 03.1.01)
Citrix Netscaler VPX virtual – nsvpx (ver 10.5.54.9008)
Checkpoint Firewall – cpsg (ver R77-20)
Cumulus VX
Extreme Networks virtual – extremexos (ver 15.3.2)
F5 BIG-IP LM – bigip (ver 11.6.0)
Fortinet virtual FW – fortinet (ver 5.2.2; 5.2.3_build670)
HP virtual router – hpvsr (ver 7.1.049P1; 7.10.R0204P01)
Juniper Networks M series router – olive (ver 12.3R8.7)
Juniper Networks vMX router – vmx (ver 14.1R1.10-domestic; 14.1R4.8-domestic)
Juniper Networks vSRX FW – vsrx (ver 12.1X46-D25.7-domestic)
Mikrotik (ver 6.30.2)
Ostinato Traffic Generator
Palo Alto virtual Firewall – paloalto (ver 6.1.0)
S-Terra Firewall
VyOS – vyos (ver vyos-1.1.6-amd64)
MS Windows 7
MS Windows XP
MS Windows Server 2008R2
MS Windows Server 2003 and 2003 R2
Various liveCD Linux images (eg. tinycore, damnsmalllinux, slax)
Dynamips (Cisco IOS emulation)
c7200-adventerprisek9-mz.152-4.S6 (supported cards: PA-FE-TX, PA-4E, PA-8E)
c3725-adventerprisek9-mz.124-15.T14 (supported cards: NM-1FE-TX, NM-16ESW)
c1710-bk9no3r2sy-mz.124-23
Other images from the above series should work too
IOL (IOS on Linux also known as IOU)
L2-ADVENTERPRISE-M-15.1-20131216.bin
L2-ADVENTERPRISE-M-15.1-20140814.bin
L2-IPBASEK9-M-15.1-20130726.bin
L3-ADVENTERPRISEK9-M-15.4-1T.bin
L3-ADVENTERPRISEK9-M-15.4-2T.bin
L3-ADVIPSERVICES-M-15.1-2.9S.bin
And others
Qemu
Cisco ASA 8.0.2 (Singe and Multi Context)
Cisco ASA 8.4.2 (Support Multi Context)
Cisco ASA 9.1.15 (Support Multi Context)
Cisco ASAv (ver 9.3.2.200; 9.4.1; 9.5.1)
Cisco ACS (ver 5.7)
Cisco CDA (ver 1.0.0.011)
Cisco IPS – cips (ver 7.0-8)
Cisco ISE (ver 1.2)
Cisco vWAAS (ver 5.5.3)
Cisco WSA virtual appliance – coeus (ver 8-6-0-025-S000V)
Cisco CSR – csr1000v (ver 9.03.13.01.S.154-3.S1; 9.03.14.01.S.155-1.S1-std)
Cisco NX-OSv – titanium (ver 7.1.0.ZD.363; 7.2.0.ZD.0.120)
Cisco vIOS – vios-adventerprisek9 (ver 15.4.3M L3; 15.5.2 L3)
Cisco vIOS L2 – viosl2-adventerprisek9 (ver 15.2.411)
Cisco vNAM (ver 6.2.1)
Cisco Sourcefire – sourcefire (ver 5.4.0.763)
Cisco Wireless controller – vwlc (ver K9-8-0-100-0)
Cisco XRv – xrv-k9 (ver 5.2.2 – 5.3.2)
A10 Networks vThunder Virtual Appliance – a10-vthunder (ver 2.7.1-P3-b76)
Alcatel 7750 virtual service router – timos (ver 12.0.R6)
Arista networks switches (ver 4.14.2F; 4.14.5F; 4.15.0F)
Aruba Networks security – clearpass (ver 6.4.0.66263)
Brocade Virtual ADX – brocadevadx (ver 03.1.01)
Citrix Netscaler VPX virtual – nsvpx (ver 10.5.54.9008)
Checkpoint Firewall – cpsg (ver R77-20)
Cumulus VX
Extreme Networks virtual – extremexos (ver 15.3.2)
F5 BIG-IP LM – bigip (ver 11.6.0)
Fortinet virtual FW – fortinet (ver 5.2.2; 5.2.3_build670)
HP virtual router – hpvsr (ver 7.1.049P1; 7.10.R0204P01)
Juniper Networks M series router – olive (ver 12.3R8.7)
Juniper Networks vMX router – vmx (ver 14.1R1.10-domestic; 14.1R4.8-domestic)
Juniper Networks vSRX FW – vsrx (ver 12.1X46-D25.7-domestic)
Mikrotik (ver 6.30.2)
Ostinato Traffic Generator
Palo Alto virtual Firewall – paloalto (ver 6.1.0)
S-Terra Firewall
VyOS – vyos (ver vyos-1.1.6-amd64)
MS Windows 7
MS Windows XP
MS Windows Server 2008R2
MS Windows Server 2003 and 2003 R2
Various liveCD Linux images (eg. tinycore, damnsmalllinux, slax)
برای دانلود این ابزار فوق العاده به لینک زیر مراجعه کنید :
http://www.padrasys.ir/index.php/news-event/training/159-unified-networking-lab-lite
http://www.padrasys.ir/index.php/news-event/training/159-unified-networking-lab-lite
دانلود ویدیو های آموزش این ابزار :
http://www.padrasys.ir/hadi/tools/unl-how-to.tar.gz
http://www.padrasys.ir/hadi/tools/unl-how-to.tar.gz
سیستم های SIEM طراحی شده اند تا log های امنیتی را از دستگاه مختلف جمع آوری کنند و به صورت متمرکز نگه داری کنند. با قرار دادن تمام این اطلاعات در کنار هم ، SIEM می تواند به صورت متمرکز به آنالیز و گزارشگیری رخدادهای امنیتی سازمان بپردازد. نتیجه آنالیز می تواند منجر به شناسایی حملاتی شود که توسط سایر روش ها شناسایی نشده باشد و همینطور برخی از SIEM ها این قابلیت را دارند که جلوی حمله را بگیرند. محصولات SIEM سال هاست که وجود دارند اما SIEM اولیه با هدف استفاده در سازمان های بزرگ با قابلیت های امنیتی پیشرفته و نیروهای تحلیل گر ارائه شده بودند. اما در حاضر SIEM ها نیاز های سازمان های کوچک و متوسط را نیز در نظر گرفته اند. معماری های مانند سرور لوکال ، سخت افزاری ، مجازی ، کلود همه نشان دهنده این موضوع است.
سازمان ها از سیستم های SIEM به دلایل مختلف استفاده می کنند درنتیجه مزایای SIEM ها در سازمان های مختلف متفاوت است. در اینجا سه مزیت عمده SIEM ها را داریم :
ساده سازی گزارشات و گزارشگیری
شناسایی حوادثی که از روش های دیگر قابل شناسایی نیستند.
بهبود بهره وری برای اداره حوادث
سازمان ها از سیستم های SIEM به دلایل مختلف استفاده می کنند درنتیجه مزایای SIEM ها در سازمان های مختلف متفاوت است. در اینجا سه مزیت عمده SIEM ها را داریم :
ساده سازی گزارشات و گزارشگیری
شناسایی حوادثی که از روش های دیگر قابل شناسایی نیستند.
بهبود بهره وری برای اداره حوادث
ساده سازی گزارشات و گزارشگیری
بسیاری از سازمان ها SIEM را فقط به این خاطر راه اندازی می کنند. ساده سازی گزارشات از طریق متمرکز کردن log ها. تمام هاست ها اطلاعات log های خود را به سرور SIEM ارسال می کنند و از طریق سرور SIEM با یک گزارش می تواند تمام log های مربوط به یک رخداد امنیتی تمام هاست ها را دید. بدون داشتن SIEM باید روی تمام هاست به صورت جداگانه گزارشگیری کرد و سپس این گزارش ها را در کنار هم قرار داد و سپس به تجزیه و تحلیل آنها پرداخت یا اینکه تمام log ها را به صورت دستی به یک نقطه منتقل کنیم تا گزارش های مورد نظر را بدست آورد. غیر از بحث آوری log ها ، فرمت آنها را نیز در نظر بگیرید که در اشکال مختلف هستند و تبدیل آنها به یک فرمت واحد برای گزارشگیری نیاز به کلی کار و تغییرات دارد. همینطور نسبت به تعداد دستگاه ها حجم کار نیز به همان اندازه بیشتر می شود. همینطور که میبینید در صورت عدم استفاده از SIEM تهیه گزارش کار بسیاری سختی و پیچیده ای خواهد بود.
بسیاری از سازمان ها SIEM را فقط به این خاطر راه اندازی می کنند. ساده سازی گزارشات از طریق متمرکز کردن log ها. تمام هاست ها اطلاعات log های خود را به سرور SIEM ارسال می کنند و از طریق سرور SIEM با یک گزارش می تواند تمام log های مربوط به یک رخداد امنیتی تمام هاست ها را دید. بدون داشتن SIEM باید روی تمام هاست به صورت جداگانه گزارشگیری کرد و سپس این گزارش ها را در کنار هم قرار داد و سپس به تجزیه و تحلیل آنها پرداخت یا اینکه تمام log ها را به صورت دستی به یک نقطه منتقل کنیم تا گزارش های مورد نظر را بدست آورد. غیر از بحث آوری log ها ، فرمت آنها را نیز در نظر بگیرید که در اشکال مختلف هستند و تبدیل آنها به یک فرمت واحد برای گزارشگیری نیاز به کلی کار و تغییرات دارد. همینطور نسبت به تعداد دستگاه ها حجم کار نیز به همان اندازه بیشتر می شود. همینطور که میبینید در صورت عدم استفاده از SIEM تهیه گزارش کار بسیاری سختی و پیچیده ای خواهد بود.
شناسایی حوادثی که از روش های دیگر قابل شناسایی نیستند
دو دلیل اصلی وجود دارد که نشان می دهد چرا SIEM ها قادر به شناسایی حوادثی هستند که از راه های دیگر قابل تشخیص نیست. دلیل اول و ساده آن این است که بسیاری از هاست ها به صورت پیش فرض قابلیت شناسایی حوادث را ندارند. همچنین این هاست ها قابلیت دیدن رخدادها و تولید log را دارند اما قادر به تجزیه و تحلیل آنها نیستند. در بهترین حالت ، این هاست ها مانند لپ تاپ ها و PC می توانند یک هشدار دهند که اتفاقی رخ داده است. دلیل دوم این است که با جمع آوری اطلاعات رخدادهای سراسر شبکه و در کنار هم قرار دادن آنها می توان به اطلاعات کامل تری دست پیدا کرد. برخی از حملات متشکل از چند مرحله و بخش می باشد به طور مثال بخشی از حمله توسط یک کلاینت بخشی توسط فایروال و ... گزارش شده است. SIEM با دیدن این چند رخداد متوجه می شود که حمله ای رخ داده است. درنتیجه برخی از حملات متشکل از چند رخداد می باشد.
بسیار مهم است که درک کرده باشید که SIEM قرار نیست جای یک سیستم کنترل امنیتی شبکه مانند IPS ، فایروال ، آنتی ویروس و ... را بگیرید. SIEM به تنهایی بلااستفاده است چون توانایی مانیتورینگ شبکه را برای تهدیدات امنیتی ندارد و عملکرد آن براساس اطلاعاتی است که توسط سایر تجهیزات مثل IPS ، فایروال ، آنتی ویروس و ... ارائه می دهند می باشد.
برخی از محصولات SIEM این قابلیت را دارند که جلوی حملاتی که شناسایی کرده اند را بگیرند. SIEM به صورت مستقیم این امکان را ندارد که جلوی حمله را بگیرد و در واقع از سایر دستگاه های امنیتی مانند فایروال می خواهد که اینکار را انجام دهد و به این شکل جلوی حمله گرفته می شود.
برای اینکه این قابلیت را گسترش دهیم سازمان می تواند اطلاعات خود را از یک دیتابیس خارجی دریافت و بروز کند. با دریافت اطلاعات جدید می تواند حملات جدید را شناسایی کند.
دو دلیل اصلی وجود دارد که نشان می دهد چرا SIEM ها قادر به شناسایی حوادثی هستند که از راه های دیگر قابل تشخیص نیست. دلیل اول و ساده آن این است که بسیاری از هاست ها به صورت پیش فرض قابلیت شناسایی حوادث را ندارند. همچنین این هاست ها قابلیت دیدن رخدادها و تولید log را دارند اما قادر به تجزیه و تحلیل آنها نیستند. در بهترین حالت ، این هاست ها مانند لپ تاپ ها و PC می توانند یک هشدار دهند که اتفاقی رخ داده است. دلیل دوم این است که با جمع آوری اطلاعات رخدادهای سراسر شبکه و در کنار هم قرار دادن آنها می توان به اطلاعات کامل تری دست پیدا کرد. برخی از حملات متشکل از چند مرحله و بخش می باشد به طور مثال بخشی از حمله توسط یک کلاینت بخشی توسط فایروال و ... گزارش شده است. SIEM با دیدن این چند رخداد متوجه می شود که حمله ای رخ داده است. درنتیجه برخی از حملات متشکل از چند رخداد می باشد.
بسیار مهم است که درک کرده باشید که SIEM قرار نیست جای یک سیستم کنترل امنیتی شبکه مانند IPS ، فایروال ، آنتی ویروس و ... را بگیرید. SIEM به تنهایی بلااستفاده است چون توانایی مانیتورینگ شبکه را برای تهدیدات امنیتی ندارد و عملکرد آن براساس اطلاعاتی است که توسط سایر تجهیزات مثل IPS ، فایروال ، آنتی ویروس و ... ارائه می دهند می باشد.
برخی از محصولات SIEM این قابلیت را دارند که جلوی حملاتی که شناسایی کرده اند را بگیرند. SIEM به صورت مستقیم این امکان را ندارد که جلوی حمله را بگیرد و در واقع از سایر دستگاه های امنیتی مانند فایروال می خواهد که اینکار را انجام دهد و به این شکل جلوی حمله گرفته می شود.
برای اینکه این قابلیت را گسترش دهیم سازمان می تواند اطلاعات خود را از یک دیتابیس خارجی دریافت و بروز کند. با دریافت اطلاعات جدید می تواند حملات جدید را شناسایی کند.
بهبود بهره وری برای اداره حوادث
یکی دیگر از مزایای محصولات SIEM بهبود بهره وری برای اداره حوادث است که باعث می شود در زمان کوتاه تر و با منابع کمتر حوادث را اداره کنیم. کوتاه تر شدن زمان برای مهار و اداره کردن حوادث باعث می شود که آسیب کمتری به سازمان وارد شود. SIEM با ارائه یک خروجی برای دیدن log های امنیتی از هاست های مختلف باعث افزایش بهره وری می شود.
مثال هایی از نحوی تسریع اداره حوادث :
باعث می شود که در شبکه های بزرگ سریع تر حمله شناسایی شود.
می توانید سریع تمام هاست هایی که توسط یک حمله مشخص آلوده شده اند را شناسایی کنید.
می توانید مکانیزم خودکار برای جلوگیری از حملات شناسایی شده تعریف کنید.
یکی دیگر از مزایای محصولات SIEM بهبود بهره وری برای اداره حوادث است که باعث می شود در زمان کوتاه تر و با منابع کمتر حوادث را اداره کنیم. کوتاه تر شدن زمان برای مهار و اداره کردن حوادث باعث می شود که آسیب کمتری به سازمان وارد شود. SIEM با ارائه یک خروجی برای دیدن log های امنیتی از هاست های مختلف باعث افزایش بهره وری می شود.
مثال هایی از نحوی تسریع اداره حوادث :
باعث می شود که در شبکه های بزرگ سریع تر حمله شناسایی شود.
می توانید سریع تمام هاست هایی که توسط یک حمله مشخص آلوده شده اند را شناسایی کنید.
می توانید مکانیزم خودکار برای جلوگیری از حملات شناسایی شده تعریف کنید.
مزایای محصولات SIEM ضرورت استفاده از آنها را مشخص می کند
مزایای محصولات SIEM سازمان را قادر می سازد یک تصویر بزرگ از رخدادهای امنیتی شبکه داشته باشد. با کنارهم قرار دادن اطلاعات log های امنیتی از تجهیزات امنیتی ، هاست ها ، سرورها ، نرم افزارها و ... SIEM می تواند حجم وسیعی از اطلاعات log های امنیتی را آنالیز کند و حملات را شناسایی کند. همچنین SIEM ها می توانند فعالیت های مخرب را شناسایی کنند که سایر تجهیزات قادر به اینکار نیستند چون SIEM تنها ابزار امنیتی است که یک دید جامع نسبت به شبکه دارد.
SIEM ها با اهداف مختلف مورد استفاده قرار می گیرند که یکی از مهمترین آنها ساده سازی گزارشات و گزارشگیری با متمرکز کردن log می باشد و همچنین SIEM می توانند حملاتی را شناسایی کنند که سایر روش ها قادر به شناسایی آن نیستند. همچنین قادر است به صورت خودکار جلوی حملات را بگیرد و همچنین بهره وری را افزایش می دهد که باعث می شود اداره حوادث را بتوانیم سریع تر انجام دهیم و از منابع کمتری استفاده کنیم.
امروزه SIEM در معماری های مختلف و با قابلیت های گوناگون برای سازمان ها با اندازه مختلف در دسترس هستند و استفاده از آن برای سازمان ها به امری ضروری تبدیل شده است.
مزایای محصولات SIEM سازمان را قادر می سازد یک تصویر بزرگ از رخدادهای امنیتی شبکه داشته باشد. با کنارهم قرار دادن اطلاعات log های امنیتی از تجهیزات امنیتی ، هاست ها ، سرورها ، نرم افزارها و ... SIEM می تواند حجم وسیعی از اطلاعات log های امنیتی را آنالیز کند و حملات را شناسایی کند. همچنین SIEM ها می توانند فعالیت های مخرب را شناسایی کنند که سایر تجهیزات قادر به اینکار نیستند چون SIEM تنها ابزار امنیتی است که یک دید جامع نسبت به شبکه دارد.
SIEM ها با اهداف مختلف مورد استفاده قرار می گیرند که یکی از مهمترین آنها ساده سازی گزارشات و گزارشگیری با متمرکز کردن log می باشد و همچنین SIEM می توانند حملاتی را شناسایی کنند که سایر روش ها قادر به شناسایی آن نیستند. همچنین قادر است به صورت خودکار جلوی حملات را بگیرد و همچنین بهره وری را افزایش می دهد که باعث می شود اداره حوادث را بتوانیم سریع تر انجام دهیم و از منابع کمتری استفاده کنیم.
امروزه SIEM در معماری های مختلف و با قابلیت های گوناگون برای سازمان ها با اندازه مختلف در دسترس هستند و استفاده از آن برای سازمان ها به امری ضروری تبدیل شده است.
این مقاله نوشته اقای جعفر قنبری شوهانی هست که برای مطالعه دوستان در کانال قرار گرفت ، امیدوارم مفید باشه
یه روز بابت تمام تلاش هایی که کردی و تمام درد که تحمل کردی، نتیجه شون رو میبینی و اون روز به اینکه امروز کم نیاوردی و سختی ها رو به جون خریدی به خودت افتخار می کنی !
امیدوار باش و ادامه بده ...
خورشید هرگز پشت ابر نمی مونه !
طلوع موفقیت تو ، یه روز برای همه نمایان میشه !
اون روز همه به بودن در کنار تو افتخار می کنند !
ادامه میدیم رو به جلو !!
امیدوار باش و ادامه بده ...
خورشید هرگز پشت ابر نمی مونه !
طلوع موفقیت تو ، یه روز برای همه نمایان میشه !
اون روز همه به بودن در کنار تو افتخار می کنند !
ادامه میدیم رو به جلو !!
هنگامیکه مدیریت وقایع دارای ساختار قوی و دارای پشتیبان مناسب باشد، همبستگی سنجی درست و معنادار خواهد بود. همانطور که میدانیم SIEM نظارت و همبستگی سنجی بر روی اطلاعات جمع آوری شده توسط مدیریت وقایع را انجام می دهد. همبستگی سنجی یک بخش حیاتی در SIEM می باشد. قبل از انتخاب SIEM، مطمئن شوید که درک کافی و همینطور فهرستی از مسیر حملات مختلف و سناریوهای متفاوت تهدید که حائز اهمیت بوده و شما بایستی در ارتباطات سازمان به آنها توجه کنید، داشته باشید. این موضوع مسیر درستی برای تهیه و تدوین قوانین پایه ای که شما باید در ابتدای کار آنها را درنظر بگیرید، در اختیار شما قرار می دهد.براساس تجارب مفید کارشناسان SIEM، برای شروع به ساخت قوانین ، ابتدا نیاز به داشتن درک صحیح از قوانین موردنیاز، بررسی آنها، سپس تنظیم جزئیات مربوط به هر یک از آنها خواهید داشت؛ و در نهایت پس از تهیه آنها، شروع به راه اندازی و بهره برداری نمایید.
سناریوی تشخیص تهدید
این سناریوی کاربردی وقتی ساخته و اجرایی می شود که تمامی وقایع در SIEM جمع آوری شده باشند. در این حالت که "قانون محور" (Rule Base) نامیده می شود، تهدیداتی که مستقیما از سوی دارایی های زیرساخت شبکه وارد می شوند را شناسایی نموده و سپس همبستگی سنجی براساس مجموعه داده های داخلی انجام می شود. برای مثال هشدارهای تشخیص نفوذ با لاگ های Web server، هشدارهای بدافزارها با لاگ های دیواره آتش و همچنین هشدارهای SPAM با لاگ های end userها، همبستگی سنجی می شود.
این سناریوی کاربردی وقتی ساخته و اجرایی می شود که تمامی وقایع در SIEM جمع آوری شده باشند. در این حالت که "قانون محور" (Rule Base) نامیده می شود، تهدیداتی که مستقیما از سوی دارایی های زیرساخت شبکه وارد می شوند را شناسایی نموده و سپس همبستگی سنجی براساس مجموعه داده های داخلی انجام می شود. برای مثال هشدارهای تشخیص نفوذ با لاگ های Web server، هشدارهای بدافزارها با لاگ های دیواره آتش و همچنین هشدارهای SPAM با لاگ های end userها، همبستگی سنجی می شود.