سامانه پرهام

سامانه SIEM به‌عنوان هسته اصلی مرکز عملیات امنیت (SOC)، یکی از کلیدی‌ترین ابزارهای حفاظت سایبری در دنیاست. این سامانه نخستین بار در اوایل دهه ۲۰۰۰ میلادی معرفی شد و امروز به یک استاندارد جهانی در حوزه امنیت سازمانی تبدیل شده است. در ایران نیز طی بیش از یک دهه گذشته، سازمان‌های بزرگ و حساس به تدریج به اهمیت آن پی برده و پیاده‌سازی آن را آغاز کرده‌اند.

قدرت اصلی SIEM در توانایی آن برای جمع‌آوری، یکپارچه‌سازی و تحلیل هوشمند داده‌ها از منابع متنوع است؛ از فایروال‌ها و IDS/IPS گرفته تا سرورها، آنتی‌ویروس‌ها و سرویس‌های ابری. این سامانه با کنار هم قرار دادن رخدادهای پراکنده و یافتن الگوهای پنهان، امکان شناسایی تهدیدات پیچیده‌ای را فراهم می‌کند که به‌طور سنتی ممکن بود از چشم کارشناسان پنهان بمانند. تحقیقات بین‌المللی نشان داده‌اند که استفاده از SIEM به طور میانگین ۲۵ تا ۳۵ درصد توانایی کشف حملات را افزایش می‌دهد و در برخی صنایع حیاتی این عدد به بیش از ۴۰٪ هم می‌رسد.

یکی از مهم‌ترین دستاوردهای به‌کارگیری SIEM، بهبود چشمگیر شاخص‌های عملکردی در کشف و پاسخ به حوادث امنیتی است. شاخص MTTD (میانگین زمان کشف تهدید) که در گذشته ممکن بود چند روز یا حتی چند هفته طول بکشد، با کمک SIEM به چند ساعت یا حتی چند دقیقه کاهش یافته است. همچنین شاخص MTTR (میانگین زمان واکنش) در بسیاری از سازمان‌ها تا ۵۰٪ سریع‌تر شده و این یعنی تهدیدات پیش از آنکه به بحرانی بزرگ تبدیل شوند، مهار می‌شوند.

پرهام نام تجاری SIEM تولید شده در شرکت امن افزار گستر شریف است. همزمان با پیشرفت و تکامل این محصول در خارج از دنیا،  فرایند طراحی و تولید سامانه پرهام در اوایل دهه 90 شمسی شروع شد. سامانه پرهام وظیفه­ی دریافت، نرمال‌سازی و ذخیره‌سازی رخدادهای امنیتی و عادی در شبکه را دارد. سامانه پرهام وظیفه­‌ی شناسایی رخدادهای امنیتی سطح بالاتر که بوسیله موتور همبسته­‌سنجی شناسایی می‌شوند را نیز بر عهده دارد. در معماری پرهام، هر بخش از شبکه توسط یک جمع‌­کننده پشتیبانی می­‌شود. ذخیره‌ساز‌ها به صورت خوشه‌ای و همبسته‌سنجی به صورت متمرکز در سرور اصلی انجام می‌شود.

مزایای استفاده از siem پرهام برای سازمان شما:

1. تحلیل بومی‌شده و تطبیق با ساختار امنیتی ایران

2. پشتیبانی از زبان فارسی در لاگ‌ها و تحلیل

3. انعطاف در استقرار در محیط‌های حساس و ایزوله

4. طراحی ماژولار و مقیاس‌پذیر برای رشد تدریجی

5. امکان توسعه و سفارشی‌سازی بر اساس نیازهای اختصاصی سازمان

6. پشتیبانی مستقیم و سریع از سوی تیم توسعه و پشتیبانی

ویژگی های فنی siem پرهام برای سازمان شما:

1. هسته اصلی (جمع کننده، موتور همبسته سنجی، واسط کاربری) کاملا بومی 

2. انعطاف@پذیری در رصد و پوشش حملات با استفاده از زبان خاص منظور جست‌و‌جو پرهام

3. دریافت انواع لاگ حسگرها و تجهیزات روی درگاه  UDP ,TCP

4. قابلیت جستجو روی متن لاگ خام و سایر فیلدها 

5. قابلیت غنی‌سازی رخدادها بر اساس نیازمندی 

6. تعیین اولویت در تمامی مراحل چرخه حیات تهدید

7. تعیین میزان محرمانگی در سامانه با استفاده از  TLP

8. زیرسامانه تیکتینگ اختصاصی

9. قابلیت دریافت رول‌های با فرمت سیگما

10. مقیاس پذیری سامانه برای پشتیبانی نرخ‌های بالاتر لاگ ورودی

11. تطبیق و دسته‌بندی رخداد‌ها بر اساس MITRE 

12. شناسایی و نرمال‌سازی لاگ‌های بیش از ۴۰۰ تجهیز مختلف و 2000 قانون امنیتی پیش‌فرض