یکی از قسمت های مهم در شبکه های کامپیوتری مرکز امینت اطلاعات یا (SOC(security operations center می باشد که رخداد های امنیتی را رصد می کند.نقش هایی مثل جمع آوری، نرمالیزه کردن، نگهداری و مرتبط کردن رویدادها در این مرکز انجام می شود تا فعالیت های بد را شناسایی شود.
تیم پاسخ گویی به حوادث امنیتی کامپیوتری(CSIRTs) در برابر دریافت و دیدن وعکس العمل نشان دادن به گزارشات و فعالیت های امنیتی مسئول است. اولین وظیفه CSIRT مانیتور کردن رخدادهای امنیتی مرتبط با دارایی های فناوری اطلاعات سازمان خود می باشد.
هدف SOC مانیتور کردن رویدادهای امنیتی دارایی ها فناوری اطلاعات یک سازمان می باشد که شامل شبکه های کامپیوتری و وسیستم های دفاعی محیطی مانند fire wall، IPS، IDS، پایگاه های داده و اکانت کاربران می شود. هر کدام از این دارایی ها ممکن است با مجموعه ای از سنسورها وسیستم های نگهداری log file ها مانیتور بشوند.
SOC اطلاعات رخداد ها را ازسنسورها دریافت می کند و برای نشان دادن رفتارهای مخرب آلارم می دهد. امروزه سازمان ها از انواع مختلف fire wall و IDS و سایر سیستم های امنیتی استفاده می کنند که هر کدام از این ابزار ها رابط کاربری و یا user interface مخصوص به خود را دارند و جمع آوری رخداد های هر کدام از این ابزارها کار دشواری خواهد بود و یکی از چالش هایی که در این زمینه وجود دارد افزایش آلارم ها است که خود باعث افزایش false positive یا مثبت اشتباه می شود برای مثال زمانی که چندین سنسور در پاسخ به یک عمل شروع به راه اندازی آلارم می کنند، این عمل خیلی شبیه به یک عمل مخرب می شود و یکی از وظیفه های SOC بر طرف کردن این مشکل است.
SOC رخداد ها را از منابع مختلف جمع آوری می کند و در مرحله بعد آنها را نرمالیزه کرده و برای نمایش آماده می کند. قوانینی که برای SOC در نظر گرفته شده است می تواند بین رخداد های مختلف همبستگی ایجاد کند. در شکل زیر ساختار SOC نمایش داده شده است که نشان می دهد ورودی را از سیستم های مختلف دریافت می کند و رخداد های آنها را تجزیه و تحلیل کرده وخروجی را به شکل فرمت رایج تبدیل می کنند
در شکل بالا هر دستگاه وسنسور برای حوادث امنیتی غیرمعمول با خروجی آن و یا رفتار غیرعادی که قصد مخربی را نشان می دهد پیکر بندی شده است و این وقایع بر حسب مدل دستگاه نشان داده می شوند. بنابراین اولین وظیفه SOC نرمالیزه کردن رخداد های مختلف به فرمت های رایج است که پردازش آنها را آسان تر می کند
همان طور که در شکل نمایش داده شده است اتصالات برای هر نوع دستگاه که رخداد ها را دریافت می کند سفارشی شده است. اتصال دهنده رخدادهای ورودی را تجزیه می کند و آنها را به فرمت رایج تبدیل می کند واین کار را به صورت scalable انجام می دهد تا در درون منابع رخداد ها را نگهداری کند.
پس از نرمالیزه کردن رخداد ها آنها را به سمت یک پلتفرم مدیریت امنیتی هدایت می کند و در یک پایگاه داده تجزیه وتحلیل آرشیو می شوند. با استفاده از یک نمایشگر می توان رخداد های امنیتی را که در چند ساعات پیش نمایش داده شده است مشاهده کرد و درصورت نیاز رخدادها برای زمان های طولانی در آرشیو نگهداری می شوند برای مثال ۴ تا ۶ ماه که از آن برای رسیدگی به اقدامات قانونی استفاده شود.
منبع:
Sandeep Bhatt, “the operational role of security information and event management systems” Hewlett-Packard Laboratories,IEEE,2014
