Parham

امروزه در دنیای شبکه‌ دیگر حملات موجود بروی شبکه‌ها بصورت فعالیت‌های نفوذ ساده و قابل پیشگیری با دانش محدود رخ نمی‌دهند. به منظور شناسایی و مقابله با این حملات، مدیران شبکه‌ها نیازمند دانشی فراتر در راستای درک و فهم  گزارشاتی هستند که از سیستم‌های تشخیص و جلوگیری از نفوذ ارسال می شوند. از این رودر راستای کاهش گزارش‌های اشتباه، کشف علت ریشه ای مسئله، پیش‌بینی درباره وضعیت وندهای حملات در آینده، کشف سناروی حملات، سامانه های تجمیع و همبسته سازی هشدارها پا به عرصه ظهور گذاشتند.
سامانه همبسته سازی هشداها وظیفه دریافت، تایید صحت، نرمالسازی، ذخیره سازی، همبسته سازی، تشخصی تمرکز و ساخت ریسمان حملات را در قبال هشدارهای امنیتی و رخدادهای سیستمی در شبکه زیر مجموعه ی خود به عهده دارد. این سامانه‌ها در نمایی انتزاعی و در کنار سیستم‌های تشخیص و جلوگیری از نفوذ ضامن پشتیبانی از امنیت در قبال حملات سایبری را که توسط دیگر سامانه های تشخیص و مقابله با حملات شناسایی و دیده نمیشوند دارد. سامانه پرهام “پردازشگر هشدارهای امنیتی”به عنوان یک سیستم همبستگی سنجی در کنار پایگاه دانش در این حوزه نقش آفرینی می‌کند.

اجزای سامانه‌های تجمیع و همبسته سازی پرهام را میتوان در موارد زیر خلاصه کرد.

Alert normalization: وظیفه‌ی یک‌دست کردن هشدارهای دریافتی از منابع مختلف را به عهده دارد.
Alert verification: وظیفه‌ی این واحد، انتساب هر هشدار به یکی از سه دسته‌ی زیر است:

  • حمله‌های موفق
  • حمله‌های ناموفق
  • تشخیص اشتباه

Data manager: وظیفه ی این بخش ذخیره سازی و بازیابی اطلاعات درون سیستم در پایگاه داده است. این اطلاعات شامل موارد زیر است:

  • هشدارها
  • رخداد ها
  • اطلاعات سیستمی

Alert Correlator: وظیفه ی این بخش همبسته سازی و تطبیق هشداها با همدگیر برای تولید و شناسایی ابر هشدارها از اتفاقات گزارش داده شده و شناسایی شده توسط سیستم است.

پایگاه دانش:این بخش از سیستم قلب سیستم و دانش سطح بالای سامانه را تشکیل میدهد. در این بخش اطلاعات و دانش مورد نیاز برای همبسته سازی هشدارها و شناسایی ابرهشدارها را در دل خود دارد.

عملکرد این سامانه به این گونه است که با وارد شدن هشدارها از سامانه ها و سخت افزارها ی امنیتی موجود در شبکه ی تحت پوشش این سامانه، این سامانه با استفاده از اطلاعات و دانش موجود در سامانه هشداها را با هم مرتبط کرده و ابر هشدارهای شناسایی شده را برای بررسی بیشتر به سامانه وارد میکند. این ابر هشدارها توسط واسط کاربری و امکانات سامانه در اختیار مدیر سیستم و یا ناظرین شبکه قرار میگرد.

همچنین این سامانه رخدادهای ارسالی توسط تمامی سامانه های پشتیبانی شده موجود در شبکه را در پایگاه داده ذخیره کرده و این اطلاعات را برای سنجش صحت هشدارها و همچنین استفاده به عنوان ادله دادگاهی رایانه ای مورد استفاده قرار میدهد.

این سامانه میتواند طیف وسیعی از نیازمندی های امنیتی سازمان ها و شرکت های مرتبط با بستر اینترنت را از دیدگاه امنیت شبکه پوشش دهد. این نیازمندها میتوان شامل موارد زیر باشد.

  • ذخیره و بازیابی اطلاعات رخدادهای امنیتی
  • ذخیره و بازیابی اطلاعات هشدارهای امنیتی
  • همبسته سازی هشدارها و شناسایی ابر حملات امنیتی
  • تضمین امنیت سازمان در مقابل ابر حملات

این محصول میتواند طیف وسیعی از مشتریان را پوشش دهد.این طیف میتواند از سازمان های مقیاس کوچک با چند IDS/IPS شروع شده تا سرویس دهنده های کشوری منطقه ای اینترنت در نظر گرفته شود. این سامانه میتواند نیازهای امنیت شبکه در این کسب و کارها را پوشش دهد.

ویژگی های منحصر به فرد این سامانه را میتوان در موارد زیر خلاصه کرد:

  • در نظر گرفتن مقیاس پذیری در معماری سامانه
  • توزیع شدگی در معماری و پیاده سازی پایگاه داده
  • High Availability در سامانه در نظر گرفته شده است
    • بروز بودن دانش تولید سامانه
    • بروز بودن تکنولوژی‌های سامانه
    • واسط کاربر ساده و زیبا و امن
    • تنوع گزارش‌های امنیتی.