ניטור אירועי אבטחת מידע עם מערכת SIEM בתהליכים עסקיים
 

ניטור אירועי אבטחת מידע עם מערכות SIEM מבוצע לרוב לתשתיות ומערכות הגנה היקפיות ופחות בתהליכים עסקיים. יחד עם זאת ניתן לומר מהי ההשפעה/ההשלכה האפשרית של אירוע אבטחת מידע שפגע בתשתית מהותית או תשתית התומכת בתהליך קריטי לארגון.

ניטור תהליכים עסקיים מהווה אתגר ליישום ומימוש פתרון מערכת SIEM מכיוון שהדבר מחייב את המטמיע להכיר מספר תחומי ידע והבנה רב-מימדית, בשונה מניטור מערכות תפעול ותשתית שהיישום הדרוש עבורן טכני בעיקרו.

אינטגרציה של מערכת SIEM לתהליך עסקי כוללת:

1. ניתוח עסקי-תהליכי: יכולת ניתוח תהליך עסקי והבנת תהליכי זרימת המידע בתהליך, קישוריות, ממשקים ועוד.
2. מיפוי טכנולוגי: מיפוי תשתיות ומערכות המשתתפות בתהליך העסקי בכל שלב.

3. הגדרת תרחישים: הגדרת האירועים והתרחישים בגינם ארגון מעוניין לקבל דיווח התראה בהתאם להערכת סיכונים שבוצעה בארגון. בשלב זה מגדירים לרוב את האפיון    

    "על" של דרישות הניטור.
4. בחינת ישימות: בחינת הפן הטכנולוגי של התרחישים והאירועים שהוגדרו כנדרשים לניטור. בשלב זה בוחנים את היכולת 
לספק מידע למערכת הניטור (למשל: קיים 

    קובץ  LOG בפורמט מתאים). שלב זה כולל לרוב התאמות של קבצים, דוחות בסיסי נתונים וכדומה לפורמט שמערכת ה-SIEM תהה מסוגלת לקלוט.

קיימים שלבים נוספים לפרויקט מלא, אולם הצלחתם תלויה בתוצאות בחינת הישימות והם כוללים בין היתר:

- סימולציות, הגדרת אפיון מפורט, מבחני קבלה ועוד.
 

תכנון מקדים Vs אינטגרציה למערכת קיימת:

ניתן ליישם ניטור תהליכים עסקיים בכל שלב בפרויקט הטמעת מערכת SIEM, אולם מומלץ לבצע תהליך מקדים כמתואר לעיל (סעיפים 1-4) טרם רכישת הפתרון כדי להעריך את מידת התאמת המערכות הקיימות לספק נתונים למערכת ה-SIEM וכן על מנת לבחור את הטכנולוגיה המתאימה לארגון.


חשוב לזכור: במערכות עסקיות שפותחו בבית הלקוח או בהזמנה לפי צורך עסקי/תפעולי, יכולת הפקת נתונים 
לקובץ LOG או לשרת מרכזי כגון syslog לעתים מוגבלת או אינה קיימת כלל. במקרה זה יש לקחת בחשבון כי לאחר השלמת סעיף "בחינת הישימות", יידרש הלקוח לקבל החלטה על פיתוח במערכת או ויתור על ניטור אירועים לתרחיש.

       

דוגמא לתהליך מקדים לניטור מערכות/תהליכים עסקיים:

1. התהליך המוצג כולל 4 תת-תהליכים, מוצגים הממשקים וערוצי זרימת המידע.

2. לכל שלב בתהליך מצוין ערוץ זרימת המידע (IN1,2,3,4) אל השלב.

3. לכל שלב בתהליך מוגדר UC-Use Case (תרחיש נבדק/מקרה רצוי) המסומן כרלוונטי - V או אינו רלוונטי X.

4. לכל שלב בתהליך/מערכת מצויין סטאטוס לוג פעילות - Activity Log  - מתאים/אינו מתאים/חסר - עבור קליטה לערכת ה - SIEM.

5. היכן שהפורמט אינו מתאים או כמות המידע גדולה מדי ניתן לעשות שימוש בהעברת מידע בתחנות ביניים כגון SYSLOG.

עבור כל תרחיש אפשרי יש לבצע בחינה זהה על מנת לאמוד את מוכנות הארגון לקליטה של מערכת SIEM המיועדת

לבצע ניטור ודיווח אירועי אבטחת מיעד במערכות עסקיות.

להורדת תרשים תהליך כללי בפורמט PDF

 

להורדת תרשים קבלת החלטה - קובץ לוג בפורמט PDF

רועי רם | אבטחת מידע | ניהול אבטחת מידע | אסטרטגיית אבטחת מידע | מודעות עובדים | 27001 | ניהול סיכונים | תהליכים | ניהול תהליכים | BPM | COBIT | פרטיות | פרטיות עובדים בעבודה | פרטיות במאגרי מידע | סייבר | הגנה בסייבר | רגולציה | סוקס ישראלי | ISOX | SOX | סקר סיכונים | סקר חשיפות | מדיניות | נהלים | ניהול שינויים | המשכיות עסקית | אירועים | BIA | MIMA | מודל הבגרות | CMMI

 

תנאי שימוש  |  עמוד ראשי