تحليل الأحداث الأمنية أم تحليل الشبكات: ما هو الأفضل لحماية بياناتك؟ (SIEM vs Sguil)

وفقًا لمجلة cybersecurity ventures، فإنه من المتوقع أن تصل تكلفة الجرائم الإلكترونية إلى 8 تريليونات دولار في عام 2023 وسترتفع إلى 10.5 تريليون دولار بحلول عام 2025. ويشمل ذلك الخسائر المباشرة من السرقة والاحتيال وبرامج الفدية، وغير المباشرة من التعطيل والإضرار بالسمعة وزيادة الإنفاق على الأمن السيبراني.

ولذلك فإن الكثير من الشركات تصدر منصات وبرامج وأدوات لتساعد مختصين الأمن السيبراني في عملهم لاكتشاف التهديدات والتعامل معها، وبسبب الكثرة والتنافس فإن هناك تشابه بين بعض تلك الأدوات والبرامج قد يسبب الحيرة عند مهندسين الأمن السييبراني،

نحن الآن بصدد أن نتحدث عن آداتين متشابهاتان إلى حدِ ما، الأولى الـ SIEM والثانية الـSguil .

أداة الـ SIEM :

هي اختصار لـ security information and event management ، تساعد هذه الآداة مهندسين الأمن السيبراني على اكتشاف التهديدات في الشبكة قبل أن تؤدي لأضرار فيها.

يجمع الـsiem المعلومات من ملفات السجلات مثل:

• سجلات الجدار الناري Firewall logs
• سجلات نظام كشف ومنع التسلل IDS/IPS logs
• سجلات الويب Web logs
• سجلات البريد الإلكتروني Email logs
• سجلات الأكتف دايركتوري Active Directory logs
• سجلات الأنظمة والتطبيقات System and application logs
• سجلات التوثيق Authentication logs
• سجلات الشبكة Network logs
• سجلات السيرفرات Server logs
• سجلات قاعدة البيانات Database logs

أشهر إصدارات الشركات للـSIEM :

• Splunk
• IBM Qradar
• LogRhythm
• FortiSIEM
• Cisco SecureX

أهم الوظائف التي يقوم بها الـSIEM :

1.تجميع السجلات:

يجمع كل السجلات التي ذكرناها سابقًا في مكان واحد، تحتوي هذه السجلات على كل المعلومات الهامة في الشبكة.

2.تنميط السجلات:

هذه الخطوة هامة جدًا لأنها توحد طريقة كتابة السجلات والأحداث التي يتم كتابتها بطرق مختلفة بسبب اختلاف مصادرها، وهذا مثال:

هذا مثال من سجلات راوتر من شركة سيسكو:

May 25 14:30:00 Router1: %SYS-5-CONFIG_I: Configured from console by admin on vty0 (10.0.0.1)

وهذا مثال من سجلات راوتر من شركة جونيبر:

May 25 14:32:00 Router2: User 'admin' has committed the configuration

لاحظ كيف اختلفت صياغاتهم، ولكن الـSIEM يحولهم للآتي:

سجل سيسكو:

timestamp=2023-05-25T14:30:00.000Z source_ip=Router1 source_port=- destination_ip=- destination_port=- protocol=- action=config_change user=admin

سجل جونيبر:

timestamp=2023-05-25T14:32:00.000Z source_ip=Router2 source_port=- destination_ip=- destination_port=- protocol=- action=config_change user=admin

3.ربط السجلات :

 تربط هذه الآداة كل السجلات ذات الصلة ببعضها البعض، فمثلًا لو كان في الشبكة أكثر من جهاز كومبيوتر، وتم تسجيل الدخول باسم نفس المستخدم فإن الSIEM ييربط كل تلك السجلات من الأجهزة معًا ليعطي إنذار واحد.

ولاحظ أن التجميع يكون سهلًا هذه المرة لأن كل السجلات تمت كتابتها بنفس الصيغة، ويتم جمعها منعًا للتكرار، فمثلًا المثال السابق يصبح:

timestamp=2023-05-25T14:30:00.000Z source_ip=Router1 source_port=- destination_ip=- destination_port=- protocol=- action=config_change user=admin count=1

timestamp=2023-05-25T14:32:00.000Z source_ip=Router2 source_port=- destination_ip=- destination_port=- protocol=- action=config_change user=admin count=1

4.التنبيه والإشعار:

يقوم الـ Siem بتنبيه مهندسين الأمن السيبراني عند اشتباه خطر محتمل، وتتفاوت طرق التنبيه باختلاف اصدارات وشركات الsiem فممكن أن تكون على البريد الإلكتروني مثلًا.
كمثال على ذلك لو تم رصد أكثر من محاولة فاشلة لتسجيل الدخول لنفس الحساب، فهذا اشتباه لهجمة اختراق بتخمين كلمة المرور.

نقاط الضعف في الـSIEM :

• السعر: غالي وغير مناسب للشركات الصغيرة والناشئة.
• التعقيد: يحتاج لمتخصصين في الأمن السيبراني ومهارات قبلية.
• تنبيهات مزيفة: قد يشك في أحداث عادية ويصدر تنبيهات لا تحمل تهديدًا حقيقيًا.

أداة الـ Sguil :

هذه الأداة من أدوات مراقبة أمان الشبكات واكتشاف المخاطر(NSM)، هي ضمن منصة security onion، وهذه المنصة تملك الكثير من الأدوات الأخرى التي تمكنها من مراقبة الشبكة واكتشاف التهديدات والتعامل معها.

تملك هذه الأداة واجهة سهلة الإستخدام لمهندس الأمان ليعرف حركة المرور في الشبكة، تأخذ بياناتها من أدوات مراقبة أمان الشبكات واكتشاف المخاطر الأخرى مثل:

• Snort
• Suricata
• Bro/Zeek

وتجمع تلك البيانات وتقوم بتنميطهم وعرضهم في واجهة واحدة ، وتسهل على المستخدم الفلترة والبحث مما يسهل فهم وتحليل الشبكة.

كما تحتوي على ميزة رائعة تسمى الـpivoting والتي تعني الدوران حول الدليل ، تمكنها تلك الميزة من الانتقال بحادث معين أو تهديد تم اكتشافه إلى أداة أخرى للتحليل الأعمق و للحصول على معلومات أخرى ومن تلك الأدوات:

• Wireshark
• NetworkMiner
• Transcript
• Kibana

أهم خصائص الـ Sguil:

1.التكامل مع snort :

تم تصميم Sguil للعمل بشكل سلس مع نظام كشف التسلل snort (وهو نظام مفتوح المصدر).

يتيح هذا التكامل لـ Sguil عرض وتحليل التحذيرات التي يولدها Snort في الوقت الفعلي.

من خلال العمل معًا، يمكن توفير رؤية أكثر شمولاً للتهديدات الأمنية المحتملة على الشبكة، مما يسمح لمحللي الأمن بتحديد التهديدات المحتملة والرد عليها بسرعة.

2. يوفر واجهة سهلة الاستخدام للمستخدم:

يوفر Sguil واجهة مستخدم رسومية سهلة الاستخدام، مما يجعل من الأسهل على محللي الأمن تصور وتحليل حركة الشبكة والتنبيهات.

تتضمن واجهة المستخدم ميزات مثل:

• تقسيم البيانات على نوافذ
• اتاحة فرصة تخصيص الواجهة للمستخدم
• ووظيفة السحب والإفلات(drag&drop)

 مما يجعل من الأسهل على المحللين التنقل وتخصيص واجهتهم.

3.المراقبة في الوقت الحقيقي:

يوفر Sguil المراقبة في الوقت الحقيقي لحركة الشبكة، مما يسمح لفرق الأمن بالاستجابة بسرعة للحوادث الأمنية المحتملة.

4.تخصيص القواعد التي تسبب التنبيه:

يتيح Sguil لمهندسين الأمن إنشاء قواعد مخصصة للكشف عن التهديدات الأمنية.

مثلًا لو أن مهندس الأمان قام بتصميم هذه القاعدة:

alert tcp any any -> any 80 (msg:"Potential HTTP traffic to malicious domain"; content:"example.com"; sid:1000001; rev:1;)

فهذا يعني أنه إذا تم رصد أي حركة مرور:

من أي عنوان إلى أي عنوان(على المنفذ 80) ويحمل النص "example.com"

فإنه سوف يصدر تنبيهًا.

نقاط ضعف الـ Sguil:

1.نطاقها محدود:

هذه الأداة مصنوعة بلغة Tcl/Tk التي تتيح له فقط 1024 قناة اتصال في الوقت الواحد، لذلك فهو غير صالح للشبكات الكبيرة التي يحدث فيها اتصالات أكثر من ذلك.

2.عدم وجود دعم فني والوثائق:

نظرًا لأن هذه الأداة من نوع الـopen source  التي لا تتحكم فيه شركة معينة وتحتكره.

مقارنة بين الـ Sguil و الـ SIEM :

1.من حيث الوظيفة والنطاق:

• SIEM هو حل أكثر شمولاً يمكنه التعامل مع مجموعة واسعة من الأحداث والتنبيهات الأمنية ، في حين أن Sguil هو حل أبسط وخفيف الوزن ومناسب بشكل أفضل للشبكات الأصغر أو المنظمات ذات الموارد المحدودة.
• يوفر SIEM تغطية أمنية شاملة وتحليلات متقدمة وقدرات التعلم الآلي والذكاء الاصطناعي ، بينما يقدم Sguil مراقبة وتحليلات فعالة لأمن الشبكة من خلال واجهة مستخدم رسومية سهلة الاستخدام وقواعد قابلة للتخصيص.

2.من حيث السلبيات:

• يمكن أن تكون إدارة SIEM مكلفة ومعقدة، مع إمكانية توليد تنبيهات كاذبة.
• يتمتع Sguil بوظائف محدودة، ودعمًا محدودًا بسبب طبيعته مفتوحة المصدر.

3.من حيث مصادر جمع البيانات:

• يمكن لـ SIEM جمع البيانات من مصادر مختلفة مثل السجلات وحركة مرور الشبكة وأحداث النظام .
• تم تصميم Sguil للعمل مع نظام Snort للكشف عن التطفل ويجمع البيانات بشكل أساسي من حركة مرور الشبكة.

4.من حيث التحليلات:

• يستخدم SIEM التحليلات أكثر تطورًا ويعتمد في بعض الأحيان على التعلم الآلي لاكتشاف التهديدات الأمنية المحتملة.
• يعتمد Sguil على الاكتشاف القائم على الأنماط المسجلة عنده مسبقًا (signature_based).

5.من حيث نظام التنبيه:

• يوفر SIEM تنبيهات في الوقت الفعلي عند اكتشاف تهديدات أمنية محتملة وقد يرسل بريد إلكتروني وإنذارات.
• بينما يعتمد Sguil على واجهة مراقبة في الوقت الفعلي لحركة مرور الشبكة.

6.من حيث واجهة المستخدم:

• يوفر Sguil واجهة مستخدم رسومية لتصور وتحليل حركة مرور الشبكة والتنبيهات (قابلة للتغيير من المستخدم).
• بينما تكون واجهة SIEM واحدة وتختلف من إصدار شركة لإصدار شركة أخرى.

7.من حيث التخصيص:

• يسمح Sguil لمهندسين الأمن بإنشاء قواعد(rules) مخصصة لاكتشاف تهديدات أمنية محددة.
• تأتي حلول SIEM غالبًا بقواعد تم إنشاؤها مسبقًا تحتاج إلى التخصيص.

8.من حيث التكلفة:

• يمكن أن تكون حلول SIEM مكلفة، والتي يمكن أن تكون عائقًا للمؤسسات الصغيرة.
• Sguil مفتوح المصدر ومجاني للاستخدام.

9.من حيث التنبيهات الخاطئة:

• يمكن أن ينتج عن SIEM تنبيهات خاطئة ، والتي يمكن أن تؤدي إلى قيام فرق أمنية بالتحقيق في بيانات لا تمثل مصدر تهديد حقيقي مما يُعرف بـ false positives ، أو يخطيء في تعريف تهديد حقيقي بما يسمى بالـ false negatives.
• في Sguil قد لا يصدر تنبيه على تهديد حقيقي بناءًا على الاكتشاف القائم على الأنماط المسجلة عنده مسبقًا (signature_based) ، مما يعني أنه قد يفوت بعض التهديدات الأمنية المحتملة، ويكون هذا أحيانًا بسبب عدم كتابة القواعد (Rules) بشكل صحيح.

10.من حيث تحليل البيانات:

• تم تصميم Sguil لتحليل بيانات حركة مرور الشبكة في الوقت الفعلي، مع التركيز على اكتشاف التهديدات الأمنية المحتملة عند حدوثها.
• تم تصميم أدوات SIEM للتحليل في الوقت الفعلي كما في Sguil وفي الوقت السابق أيضًا، مع التركيز على تحديد الأنماط  والتهديدات والثغرات المشهورة في الأحداث الأمنية بمرور الوقت.

11.من حيث سهولة الاستعمال:

• يتمتع Sguil بمتطلبات أكثر نسبيًا وخبرة لاستخدامه بفعالية، وذلك لأن مهندس الأمان هو الذذي يحدد القواعد والأنماط التي سيصدر تنبيهات بالمقارنة إليها.
  ومع ذلك ، فإنه يوفر درجة عالية من التخصيص والمرونة للمستخدمين ذوي الخبرة.
• تعتبر أدوات SIEM أسهل في الاستخدام وقد تتطلب تدريبًا وخبرة أقل من Sguil.
  غالبًا ما تتضمن لوحات معلومات وتقارير مدمجة توفر عرضًا متكاملًا لأحداث الأمان والمخاطر.

الخاتمة:

كل أدوات مراقبة الشبكة هامة، والفروقات بينهم لها عدة فوائد، فهي تجعلنا نحدد الاختيار الأنسب بناءًا على عوامل منها حجم الشبكة، وتكلفة الأداة، وأنواع التهديدات، ومستوى الخبرة لدى الفريق.

ولكن أفضل الحلول دائمًا هو استخدام أدوات مختلفة معًا حتى نستفيد من جميع ميزاتهم في وقت واحدد.

المراجع:
 

1. Global Cybersecurity Outlook 2023 (weforum.org)
2. Cybersecurity Trends & Statistics For 2023; What You Need To Know (forbes.com)
3. World Economic Forum (weforum.org)
4. What is SIEM? | Microsoft Security
5. What is Security Information and Event Management (SIEM)? | IBM
6. Security Onion and Sguil - YouTube
7. Sguil - Open Source Network Security Monitoring (bammv.github.io)
8. The Basic Sguil Interface | Why Sguil Is the Best Option for Network Security Monitoring Data | InformIT
9. When to use 5 telemetry types in security threat monitoring | Google Cloud Blog
10. Replace SIEM with Security Onion - Infosec Professional's Testimony : r/securityonion (reddit.com)