امروز به تفاوت دو واژه مهم و پرکاربرد در امنیت اطلاعات میپردازیم .این دو کلمه در بین صحبت ها و در نوشتار، برخی مواقع به اشتباه به جای هم استفاده میگردند یا تصور غلطی از آنها وجود دارد .
در دنیای مدرن فناوری_اطلاعات که حاوی تهدیدات پیچیده و خطرات مهلکی است ، دیگر تجهیزات امنیتی معمول همچون IPS و فایروال ها به تنهایی قادر به کشف نفوذ و مقابله نبودند .
برای غلبه بر این تهدیدات و مدیریت آنها ، SOC ها یا همان مرکز عملیات امیت ابداع شدند . این مراکز حاوی تجهیزات و نرم افزارهایی هستند که همه فعالیت ها در سیستم اطلاعاتی را تحت نظر دارند و در تلفیق کلیه لاگ ها میتوانند حوادث معمولی تا پیچیده را کشف و خنثی نمایند . در کنار این تجهیزات و نرم افزار ها ،عامل انسانی و فرآیند های کشف و مدیریت حادثه هم نقش بسیار مهمی دارند که در برخی مواقع از چشمها پنهان میماند .
پس SOC شامل مجموعه سخت افزار ،نرم افزار ،نیروی انسانی و فرآیند ها است که در یک هم افزایی و مشارکت میتوانند حوادث را کشف و با آنها در اسرع وقت مقابله کنند .
در این بین یکی از آن اقلام سخت افزاری و نرم افزاری فوق که در SOC مورد استفاده قرار میگیرد SIEM است . SIEM بعنوان قلب SOC وظیفه تلفیق عناصر و تسهیل امور را برعهده دارد . اما در حقیقت خود بخشی از مجموعه ای است که کلا بعنوان SOC میباشند . پس اگر SIEM تهیه کنید باید بدانید هنوز SOC ندارید چون SOC دستگاه یا نرم افزار به تنهایی نیست .
مهندس روزبه نوروزي
SOC:Security Operations Center
SIEM: Security Information and Event Management
سلام
ممنون حیلی خوب و واضح توضیح دادین
اگر در مورد siem بیشتر توضیح بدین ممنون می شوم
شما نیز نظر خود را بنویسید: