إدارة المعلومات والأحداث الأمنية

حلول إدارة المعلومات والأحداث الأمنية (سيم سليوشن-SIEM) أداة برمجية تجمع البيانات والتنبيهات الأمنية من أنظمة مختلفة لتمكين تحليلها في الوقت الفعلي لضمان الأمان مما يسمح للمؤسسات بتلبية متطلبات الامتثال والحماية من التهديدات، تشكل أنظمة SIEM عنصرًا أساسيًا في تشغيل مراكز العمليات الأمنية (SOCs)، وهي تجمع بين إدارة معلومات الأمان (SIM) وإدارة الأحداث الأمنية (SEM) . [1] [2]

يمكن استخدام أدوات SIEM على شكل برامج، أجهزة، أو خدمات مُدارة. [1] تقوم أنظمة SIEM بتسجيل الأحداث الأمنية وإعداد التقارير للامتثال للأطر التنظيمية، مثل قانون نقل التأمين الصحي والمساءلة (HIPAA) ومعيار أمان بيانات بطاقات الدفع (PCI DSS). يتيح دمج وظائف إدارة معلومات الأمان (SIM) ومراقبة الأحداث الأمنية (SEM) في SIEM للمؤسسات مراقبة الأحداث الأمنية بشكل مركزي والاستجابة للتهديدات في الوقت الفعلي.

ظهر مصطلح SIEM لأول مرة في عام 2005 على يد المحللين مارك نيكوليت وأمريت ويليامز من شركة Gartner، وتطور لاحقًا ليشمل ميزات متقدمة مثل استخبارات التهديدات والتحليلات السلوكية. تُمكِّن هذه الميزات حلول SIEM من التعامل مع التهديدات السيبرانية المعقدة، بما في ذلك الثغرات غير المكتشفة والبرمجيات الضارة متعددة الأشكال.

في الآونة الأخيرة، تم دمج SIEM بشكل متزايد في مبادرات الأمن السيبراني الوطنية. على سبيل المثال، يوجه الأمر التنفيذي رقم 14028، الذي وقعه الرئيس الأمريكي جوزيف بايدن في عام 2021، نحو اعتماد تقنيات SIEM لتعزيز اكتشاف الحوادث والإبلاغ عنها ضمن الأنظمة الفيدرالية. ويُدعم الامتثال لهذه المتطلبات عبر أطر مثل NIST SP 800-92، التي توضح أفضل الممارسات لإدارة سجلات أمن المعلومات.[1]

تاريخ

في البداية، كان يتم استخدام تسجيل النظام بشكل أساسي لاستكشاف الأخطاء وإصلاحها. ومع ذلك، مع تزايد تعقيد أنظمة التشغيل والشبكات، ازدادت أيضًا عملية إنشاء سجلات النظام. أصبحت مراقبة سجلات النظام أيضًا شائعة بشكل متزايد بسبب ارتفاع عدد الهجمات الإلكترونية المعقدة والحاجة إلى الامتثال للأطر التنظيمية، التي تفرض ضوابط أمان التسجيل ضمن أطر إدارة المخاطر (RMF).

منذ أواخر سبعينيات القرن العشرين، بدأت فرق العمل بوضع معايير لإدارة برامج التدقيق والمراقبة، مما مهد الطريق لممارسات الأمن السيبراني الحديثة مثل اكتشاف التهديدات الداخلية والاستجابة للحوادث. وكان من أبرز الإصدارات في تلك الفترة المنشور الخاص رقم 500-19 الصادر عن المعهد الوطني للمعايير والتكنولوجيا (NIST).[1]

في عام 2005، تم تقديم مصطلح "SIEM" (إدارة المعلومات الأمنية والأحداث) من قبل المحللين في شركة Gartner مارك نيكوليت وأمريت ويليامز. توفر أنظمة SIEM واجهة واحدة لجمع بيانات الأمان من أنظمة المعلومات وتقديمها كمعلومات استخباراتية قابلة للتنفيذ. [3] يقدم المعهد الوطني للمعايير والتكنولوجيا التعريف التالي لـ SIEM: "تطبيق يوفر القدرة على جمع بيانات الأمان من مكونات نظام المعلومات وتقديم تلك البيانات كمعلومات قابلة للتنفيذ عبر واجهة واحدة." [4] بالإضافة إلى ذلك، صمم المعهد الوطني للمعايير والتكنولوجيا ونفذ إطار عمل إدارة المخاطر الفيدرالي.

مع تبني إطار عمل إدارة المخاطر عالميًا، أصبح التدقيق والمراقبة عنصرين أساسيين لضمان أمن المعلومات. يعتمد متخصصو الأمن السيبراني الآن على تسجيل البيانات لتنفيذ وظائف الأمان في الوقت الفعلي، بفضل نماذج الحوكمة التي تدمج هذه العمليات في التحليلات. ومع تطور ضمان المعلومات من أواخر التسعينيات إلى أوائل القرن الحادي والعشرين، برزت الحاجة إلى مركزية سجلات النظام. تسهّل إدارة السجلات المركزية الإشراف والتنسيق عبر الأنظمة المرتبطة بالشبكة بشكل أكثر كفاءة.

في 17 مايو 2021، وقع الرئيس الأمريكي جوزيف بايدن الأمر التنفيذي رقم 14028، بعنوان "تحسين الأمن السيبراني في البلاد"، الذي أقر متطلبات إضافية للتسجيل، بما في ذلك تسجيل التدقيق وحماية نقاط النهاية، لتعزيز قدرات الاستجابة للحوادث.[1] جاء هذا القرار استجابة لتزايد هجمات برامج الفدية التي تستهدف البنية التحتية الحيوية. يهدف الأمر إلى تعزيز ضوابط ضمان المعلومات ضمن مؤسسات إدارة المخاطر، مع التركيز على تعزيز الامتثال وتأمين التمويل لمبادرات الأمن السيبراني.

ضمان المعلومات

تم نشر دليل NIST SP 800-92 لإدارة سجلات أمان الكمبيوتر في سبتمبر 2006، وهو بمثابة وثيقة أساسية ضمن إطار إدارة المخاطر NIST لتوجيه ما يجب أن يكون قابلاً للتدقيق. وكما يشير غياب مصطلح "SIEM"، فقد تم إصدار الوثيقة قبل التبني الواسع النطاق لتقنيات SIEM. [5] [6] ورغم أن الدليل ليس شاملاً بسبب التغيرات السريعة في التكنولوجيا منذ نشره، فإنه يظل ذا أهمية من خلال توقع نمو الصناعة. لا يعد المعهد الوطني للمعايير والتكنولوجيا المصدر الوحيد للتوجيه بشأن الآليات التنظيمية للتدقيق والمراقبة، ويتم تشجيع العديد من المنظمات على اعتماد حلول SIEM بدلاً من الاعتماد فقط على عمليات التحقق القائمة على المضيف.

تشير العديد من اللوائح والمعايير إلى إرشادات التسجيل الخاصة بالمعهد الوطني للمعايير والتكنولوجيا، بما في ذلك قانون إدارة أمن المعلومات الفيدرالي (FISMA)، [7] وقانون جرام-ليتش-بليلي (GLBA)، [8] وقانون قابلية نقل التأمين الصحي والمساءلة (HIPAA)، [9] وقانون ساربينز أوكسلي (SOX) لعام 2002، [10] ومعيار أمان بيانات صناعة بطاقات الدفع (PCI DSS)، [11] وISO 27001. [12] غالبًا ما تشير المؤسسات العامة والخاصة إلى مستندات NIST في سياساتها الأمنية.

يُعد NIST SP 800-53 AU-2 Event Monitoring عنصر تحكم أمني أساسي يدعم تدقيق النظام ويضمن المراقبة المستمرة لعمليات ضمان المعلومات والأمن السيبراني. غالبًا ما تُستخدم حلول SIEM كأدوات مركزية لتحقيق هذه الأهداف. تحتوي الأنظمة الفيدرالية، المصنفة وفقًا لتأثيرها على السرية والنزاهة والتوافر (CIA)، على خمسة متطلبات تسجيل محددة (AU-2 ae) يجب الالتزام بها.[13] ورغم أن تسجيل جميع الإجراءات ممكن، إلا أن ذلك غير مستحسن عمومًا بسبب الحجم الكبير للسجلات وصعوبة استخراج بيانات أمان قابلة للتنفيذ. يوفر التحكم AU-2 الأساس لبناء استراتيجية تسجيل متوافقة مع عناصر التحكم الأخرى.

تسلط معيار NIST SP 800-53 SI-4 لمراقبة النظام الضوء على متطلبات أنظمة المراقبة، بما في ذلك اكتشاف الوصول غير المصرح به وتتبع الشذوذ والبرامج الضارة والهجمات المحتملة. تحدد عناصر التحكم الأمنية هذه متطلبات الأجهزة والبرامج اللازمة للكشف عن الأنشطة المشبوهة. [14] وعلى نحو مماثل، يؤكد معيار NIST SP 800-53 RA-10 Threat Hunting، الذي تمت إضافته في المراجعة 5، على الدفاع الاستباقي عن الشبكة من خلال تحديد التهديدات التي تتجنب الضوابط التقليدية. تلعب حلول SIEM دورًا حاسمًا في تجميع معلومات الأمان لفرق البحث عن التهديدات. [15]

معًا، يُظهر AU-2 وSI-4 وRA-10 كيفية تكامل عناصر التحكم الخاصة بـ NIST في استراتيجية أمنية شاملة. تساعد هذه العناصر، المدعومة بحلول SIEM، في ضمان المراقبة المستمرة، وتقييم المخاطر، وتوفير آليات دفاع متعمقة عبر الشبكات الفيدرالية والخاصة.[16]

مصطلحات

في بعض الأحيان، يتم استخدام الاختصارات SEM و SIM و SIEM بالتبادل، [17] ولكنها تشير عمومًا إلى التركيز الأساسي المختلف للمنتجات:

  • إدارة السجلات : التركيز على التجميع البسيط وتخزين رسائل السجلات ومسارات التدقيق . [18]
  • إدارة معلومات الأمان ( SIM ): التخزين طويل الأمد بالإضافة إلى تحليل بيانات السجل وإعداد التقارير عنها. [19]
  • مدير الأحداث الأمنية ( SEM ): مراقبة في الوقت الفعلي، وربط الأحداث، والإشعارات، وعروض وحدة التحكم.
  • إدارة معلومات الأمان والأحداث (SIEM): تجمع بين SIM وSEM وتوفر تحليلاً في الوقت الفعلي للتنبيهات الأمنية التي تولدها أجهزة الشبكة والتطبيقات. [20][بحاجة لمصدر]</link>[ بحاجة لمصدر ]
  • خدمة الأمان المُدارة: ( MSS ) أو موفر خدمة الأمان المُدارة: (MSSP): يبدو أن الخدمات المُدارة الأكثر شيوعًا تتطور حول الاتصال وعرض النطاق الترددي ومراقبة الشبكة والأمان والافتراض واسترداد البيانات بعد الكوارث.
  • الأمان كخدمة ( SECaaS ) : غالبًا ما تتضمن خدمات الأمان هذه المصادقة ومكافحة الفيروسات ومكافحة البرامج الضارة /برامج التجسس واكتشاف التطفل واختبار الاختراق وإدارة الأحداث الأمنية، من بين أمور أخرى.

عمليًا، تحتوي العديد من المنتجات في هذا المجال على مزيج من هذه الوظائف، مما يؤدي غالبًا إلى بعض التداخل، بالإضافة إلى قيام العديد من البائعين التجاريين بالترويج لمصطلحاتهم الخاصة..[21] غالبًا ما يقدم البائعون مجموعات متنوعة من هذه الوظائف بهدف تحسين أداء SIEM بشكل عام. لا توفر إدارة السجلات وحدها رؤى فورية حول أمان الشبكة، كما أن SEM بمفرده لا يقدم بيانات شاملة لتحليل التهديدات بعمق. ولكن عند دمج SEM مع إدارة السجلات، يحصل SIEM على معلومات أكثر شمولاً للمراقبة والتحليل.

يركز SIEM بشكل أساسي على مراقبة وإدارة امتيازات المستخدمين والخدمات، وخدمات الدليل، وتغييرات تكوين النظام. كما يشمل توفير تدقيق السجلات، وإجراء المراجعات، والاستجابة للحوادث.[22]

القدرات

  • تجميع البيانات: تعمل إدارة السجلات على تجميع البيانات من العديد من المصادر، بما في ذلك الشبكات والأمان والخوادم وقواعد البيانات والتطبيقات، مما يوفر القدرة على دمج البيانات التي تتم مراقبتها للمساعدة في تجنب تفويت الأحداث الحاسمة.
  • الارتباط: يبحث عن السمات المشتركة ويربط الأحداث معًا في حزم ذات معنى. توفر هذه التقنية القدرة على إجراء مجموعة متنوعة من تقنيات الارتباط لدمج المصادر المختلفة، من أجل تحويل البيانات إلى معلومات مفيدة. الارتباط هو عادةً وظيفة لجزء إدارة الأحداث الأمنية في حل SIEM الكامل. [23]
  • تنبيه: التحليل التلقائي للأحداث المترابطة.
  • لوحات المعلومات: يمكن للأدوات أخذ بيانات الحدث وتحويلها إلى مخططات معلوماتية للمساعدة في رؤية الأنماط أو تحديد النشاط الذي لا يشكل نمطًا قياسيًا.
  • الامتثال: يمكن استخدام التطبيقات لأتمتة جمع بيانات الامتثال، وإنتاج التقارير التي تتكيف مع عمليات الأمن والحوكمة والتدقيق الحالية. [24]
  • الاحتفاظ: استخدام التخزين طويل الأمد للبيانات التاريخية لتسهيل ربط البيانات بمرور الوقت، وتوفير الاحتفاظ اللازم لمتطلبات الامتثال. يعد الاحتفاظ ببيانات السجل على المدى الطويل أمرًا بالغ الأهمية في التحقيقات الجنائية لأنه من غير المرجح أن يتم اكتشاف خرق الشبكة في وقت حدوث الخرق. [25]
  • التحليل الجنائي: القدرة على البحث عبر السجلات الموجودة على عقد مختلفة وفي فترة زمنية مختلفة استنادًا إلى معايير محددة. يخفف هذا من الحاجة إلى تجميع معلومات السجل في رأسك أو الحاجة إلى البحث بين آلاف وآلاف السجلات. [24]

عناصر

البنية الأساسية لـ SIEM

قد تختلف بنية SIEM حسب البائع؛ ولكنها عمومًا، تتكون من:

  • جامع بيانات: يقوم بإعادة توجيه سجلات التدقيق المحددة من المضيف (بث السجلات المستندة إلى الوكيل أو المضيف إلى الفهرس ونقطة التجميع) [26] [27]
  • نقطة تجميع: نقطة الاستيعاب والفهرسة للتحليل والارتباط وتطبيع البيانات [28]
  • عقدة بحث: تُستخدم للتصور والاستعلامات والتقارير والتنبيهات (يتم إجراء التحليل على عقدة بحث) [29]

تظهر البنية التحتية الأساسية لـ SIEM في الصورة الموجودة على اليمين.

حالات الاستخدام

قام باحث أمن الكمبيوتر كريس كوبيكا بتحديد حالات استخدام SIEM التالية، والتي تم تقديمها في مؤتمر القرصنة 28C3 ( مؤتمر Chaos Communication ). [30]

  • قد تساعد رؤية SIEM واكتشاف الشذوذ في اكتشاف الأيام الصفرية أو الكود المتعدد الأشكال . يرجع ذلك في المقام الأول إلى انخفاض معدلات اكتشاف برامج مكافحة الفيروسات ضد هذا النوع من البرامج الضارة سريعة التغير.
  • يمكن أن تتم عملية التحليل وتطبيع السجل وتصنيفه تلقائيًا، بغض النظر عن نوع الكمبيوتر أو جهاز الشبكة، طالما أنه يمكنه إرسال سجل.
  • يمكن أن يساعد التصور باستخدام SIEM باستخدام أحداث الأمان وأخطاء السجل في اكتشاف الأنماط.
  • يمكن تحديد تشوهات البروتوكول التي يمكن أن تشير إلى سوء التكوين أو مشكلة أمنية باستخدام SIEM باستخدام اكتشاف الأنماط والتنبيهات والخط الأساسي ولوحات المعلومات.
  • يمكن لـ SIEMS اكتشاف الاتصالات السرية والضارة والقنوات المشفرة.
  • يمكن اكتشاف الحرب السيبرانية بواسطة أنظمة SIEM بدقة، مما يتيح اكتشاف المهاجمين والضحايا على حد سواء.

أمثلة على قواعد الارتباط

قد تحتوي أنظمة SIEM على مئات أو آلاف من قواعد الارتباط، بعضها بسيط والآخر أكثر تعقيدًا. عند تفعيل إحدى هذه القواعد، يمكن للنظام اتخاذ الإجراءات المناسبة للتخفيف من الهجوم السيبراني، مثل إرسال إشعار للمستخدم، وتقييد الوصول، أو حتى إيقاف تشغيل النظام بالكامل.

اكتشاف القوة الغاشمة

يُعتبر اكتشاف القوة الغاشمة أمرًا بسيطًا نسبيًا، حيث يتعلق بمحاولة تخمين متغير بشكل مستمر. غالبًا ما يشير هذا المصطلح إلى شخص يحاول باستمرار تخمين كلمة المرور الخاصة بك، سواء يدويًا أو باستخدام أداة معينة. لكن يمكن أن يشمل أيضًا محاولات تخمين عناوين URL أو مواقع الملفات المهمة على نظامك.

من السهل اكتشاف القوة الغاشمة الآلية، حيث إن محاولة شخص إدخال كلمة المرور الخاصة به 60 مرة في الدقيقة تعتبر أمرًا غير ممكن. هذه الأنشطة المتكررة تثير الإنذار لدى أنظمة الأمان، مما يجعل من السهل تحديد محاولات الاختراق الآلي.

السفر المستحيل

عند تسجيل دخول المستخدم إلى النظام، يتم عادةً إنشاء علامة زمنية للحدث. بالإضافة إلى الوقت، قد يسجل النظام معلومات مفيدة أخرى مثل الجهاز المستخدم، والموقع الجغرافي، وعنوان IP، ومحاولات تسجيل الدخول غير الصحيحة. كلما زادت البيانات المجمعة، زادت الفائدة الممكن الحصول عليها. بالنسبة لمراقبة السفر المستحيل، ينظر النظام إلى تاريخ ووقت تسجيل الدخول الحالي والأخير، وكذلك الفرق بين المسافات المسجلة. إذا اعتبر النظام أن السفر غير ممكن، مثل قطع مئات الأميال في دقيقة واحدة، فسيقوم بإطلاق تحذير.

يستخدم العديد من الموظفين والمستخدمين حاليًا خدمات VPN، مما قد يخفي موقعهم الفعلي. يجب مراعاة هذا الأمر عند إعداد قواعد المراقبة، لأن استخدام VPN يمكن أن يؤثر على دقة تقييمات السفر المستحيل أو تحديد المواقع الجغرافية.

نسخ الملفات بشكل مفرط

عادةً لا يقوم المستخدم العادي بنسخ أو نقل الملفات بشكل متكرر على النظام. أي نسخ زائد للملفات قد يُعزى إلى محاولة مهاجم إلحاق الضرر بالمؤسسة. وقد يكون أخطر، حيث قد يعني أن شخصًا تمكن من الوصول إلى شبكتك بطريقة غير قانونية ويرغب في سرقة معلومات سرية. من الممكن أيضًا أن يكون موظفًا يتطلع لبيع معلومات الشركة، أو ربما يرغب فقط في أخذ بعض الملفات إلى المنزل لقضاء عطلة نهاية الأسبوع.

هجوم الحرمان من الخدمة الموزعة

يمكن أن يتسبب هجوم DDoS (الحرمان من الخدمة) في أضرار جسيمة لشركة أو مؤسسة. لا يمكن لهجوم DDoS أن يؤدي إلى إيقاف تشغيل موقع ويب فقط، بل يمكنه أيضًا إضعاف النظام. مع وجود قواعد ارتباط مناسبة، يجب أن يقوم SIEM بإطلاق تنبيه في بداية الهجوم حتى تتمكن الشركة من اتخاذ التدابير الاحترازية اللازمة لحماية الأنظمة الحيوية.

تغيير سلامة الملف

مراقبة سلامة الملفات والتغييرات (FIM) عملية تتعلق بمراقبة الملفات الموجودة على نظامك. أي تغييرات غير متوقعة في ملفات النظام تؤدي إلى إرسال تنبيه، حيث تعتبر هذه التغييرات مؤشرًا محتملاً على حدوث هجوم إلكتروني.

أمثلة تنبيهية

تشمل بعض الأمثلة على القواعد المخصصة للتنبيه حول ظروف الحدث قواعد مصادقة المستخدم، والهجمات المكتشفة، وكذلك العدوى التي تم اكتشافها.[31]

قاعدة هدف مشغل مصادر الحدث
تكرار الهجوم- مصدر تسجيل الدخول تحذير مبكر من هجمات القوة الغاشمة، وتخمين كلمة المرور، والتطبيقات التي تم تكوينها بشكل غير صحيح. تنبيه عند حدوث 3 أو أكثر من عمليات تسجيل الدخول الفاشلة في دقيقة واحدة من مضيف واحد. Active Directory، وSyslog (مضيفات Unix، والمفاتيح، وأجهزة التوجيه، وVPN)، وRADIUS، وTACACS، والتطبيقات التي تتم مراقبتها.
تكرار الهجوم-جدار الحماية الإنذار المبكر للفحوصات وانتشار الديدان وما إلى ذلك. تنبيه بشأن 15 أو أكثر من أحداث إسقاط/رفض/إنكار جدار الحماية من عنوان IP واحد في دقيقة واحدة. جدران الحماية وأجهزة التوجيه والمفاتيح.
تكرار الهجوم - نظام منع اختراق الشبكة الإنذار المبكر للفحوصات وانتشار الديدان وما إلى ذلك. تنبيه بشأن 7 أو أكثر من تنبيهات IDS من عنوان IP واحد في دقيقة واحدة أجهزة الكشف عن اختراقات الشبكة والوقاية منها
تكرار الهجوم - نظام منع اختراق المضيف ابحث عن المضيفين الذين قد يكونون مصابين أو معرضين للخطر



</br> (إظهار سلوكيات العدوى)
تنبيه بشأن 3 أحداث أو أكثر من عنوان IP واحد في 10 دقائق تنبيهات نظام منع اختراق المضيف
الكشف عن الفيروسات وإزالتها تنبيه عند اكتشاف فيروس أو برنامج تجسس أو برامج ضارة أخرى على جهاز مضيف تنبيه عندما يرى مضيف واحد قطعة قابلة للتعريف من البرامج الضارة مكافحة الفيروسات، HIPS، كاشفات الشذوذ السلوكي في الشبكة/النظام
تم اكتشاف فيروس أو برنامج تجسس ولكن فشل في التنظيف تنبيه عند مرور أكثر من ساعة منذ اكتشاف البرامج الضارة على أحد المصادر، دون إزالة أي فيروس مطابق بنجاح تنبيه عند فشل مضيف واحد في تنظيف البرامج الضارة تلقائيًا خلال ساعة واحدة من اكتشافها جدار الحماية، نظام منع الوصول غير المصرح به، مكافحة الفيروسات، نظام منع الوصول غير المصرح به، أحداث تسجيل الدخول الفاشلة

انظر أيضا

مراجع

  1. ^ ا ب ج د "What is SIEM". آي بي إم. 2024. مؤرشف من الأصل في 2024-11-19. اطلع عليه بتاريخ 2024-01-25.
  2. ^ Johnson، Arnold؛ Dempsey، Kelley؛ Ross، Ron؛ Gupta، Sarbari؛ Bailey، Dennis (10 أكتوبر 2019). "Guide for Security-Focused Configuration Management of Information Systems" (PDF). المعهد الوطني للمعايير والتقانة. DOI:10.6028/nist.sp.800-128. S2CID:63907907. مؤرشف من الأصل (PDF) في 2024-11-27. اطلع عليه بتاريخ 2024-01-23.
  3. ^ Williams، Amrit (2 مايو 2005). "Improve IT Security With Vulnerability Management". مؤرشف من الأصل في 2016-05-21. اطلع عليه بتاريخ 2016-04-09. Security information and event management (SIEM)
  4. ^ Johnson، Arnold؛ Dempsey، Kelley؛ Ross، Ron؛ Gupta، Sarbari؛ Bailey، Dennis (10 أكتوبر 2019). "Guide for Security-Focused Configuration Management of Information Systems" (PDF). المعهد الوطني للمعايير والتقانة. DOI:10.6028/nist.sp.800-128. S2CID:63907907. مؤرشف من الأصل (PDF) في 2024-11-27. اطلع عليه بتاريخ 2024-01-23.Johnson, Arnold; Dempsey, Kelley; Ross, Ron; Gupta, Sarbari; Bailey, Dennis (10 October 2019). "Guide for Security-Focused Configuration Management of Information Systems" (PDF). National Institute of Standards and Technology. doi:10.6028/nist.sp.800-128. S2CID 63907907. Retrieved 23 January 2024.
  5. ^ Kent، Karen؛ Souppaya، Murugiah (13 سبتمبر 2006). "Guide to Computer Security Log Management". المعهد الوطني للمعايير والتقانة. DOI:10.6028/NIST.SP.800-92. S2CID:221183642. مؤرشف من الأصل في 2024-12-02. اطلع عليه بتاريخ 2024-01-24.
  6. ^ "NIST Risk Management Framework". المعهد الوطني للمعايير والتقانة. 7 نوفمبر 2024. مؤرشف من الأصل في 2024-12-03. اطلع عليه بتاريخ 2024-01-25.
  7. ^ Computer Security Division, Information Technology Laboratory (30 Nov 2016). "NIST Risk Management Framework | CSRC | CSRC". CSRC | NIST (بالإنجليزية الأمريكية). Archived from the original on 2024-12-03. Retrieved 2021-07-23.
  8. ^ "Understanding the NIST cybersecurity framework". Federal Trade Commission (بالإنجليزية). 5 Oct 2018. Archived from the original on 2022-03-08. Retrieved 2021-07-23.
  9. ^ Rights (OCR), Office for Civil (20 Nov 2009). "Summary of the HIPAA Security Rule". HHS.gov (بالإنجليزية). Archived from the original on 2024-12-01. Retrieved 2021-07-23.
  10. ^ "The Role of Information Security in Sarbanes-Oxley Compliance". Issues in Information Systems. 2005. DOI:10.48009/2_iis_2005_124-130. ISSN:1529-7314.
  11. ^ "Mapping PCI DSS v3_2_1 to the NIST Cybersecurity Framework v1_1" (PDF). يوليو 2019. مؤرشف من الأصل (PDF) في 2022-03-04.
  12. ^ "NIST SP 800-53, Revision 5 Control Mappings to ISO/IEC 27001". 10 ديسمبر 2020. مؤرشف من الأصل في 2023-03-16.
  13. ^ "Risk Management Framework for Information Systems and Organizations" (PDF). المعهد الوطني للمعايير والتقانة. ديسمبر 2018. DOI:10.6028/nist.sp.800-37r2. مؤرشف من الأصل (PDF) في 2024-12-01. اطلع عليه بتاريخ 2024-01-24.
  14. ^ Computer Security Division, Information Technology Laboratory (30 Nov 2016). "Release Search - NIST Risk Management Framework | CSRC | CSRC". CSRC | NIST (بالإنجليزية الأمريكية). Archived from the original on 2023-07-06. Retrieved 2021-07-19.
  15. ^ "Security and Privacy Controls for Information Systems and Organizations" (PDF). المعهد الوطني للمعايير والتقانة. 12 أكتوبر 2020. DOI:10.6028/NIST.SP.800-53r5. مؤرشف من الأصل (PDF) في 2020-11-04. اطلع عليه بتاريخ 2024-01-24.
  16. ^ "Security and Privacy Controls for Information Systems and Organizations" (PDF). المعهد الوطني للمعايير والتقانة. 12 أكتوبر 2020. DOI:10.6028/NIST.SP.800-53r5. مؤرشف من الأصل (PDF) في 2020-11-04. اطلع عليه بتاريخ 2024-01-24.
  17. ^ Swift، David (26 ديسمبر 2006). "A Practical Application of SIM/SEM/SIEM, Automating Threat Identification". SANS Institute. ص. 3. مؤرشف من الأصل (PDF) في 2021-04-15. اطلع عليه بتاريخ 2014-05-14. ...the acronym SIEM will be used generically to refer...
  18. ^ Kent، Karen؛ Souppaya، Murugiah (13 سبتمبر 2006). "Guide to Computer Security Log Management". المعهد الوطني للمعايير والتقانة. DOI:10.6028/NIST.SP.800-92. S2CID:221183642. مؤرشف من الأصل في 2024-12-02. اطلع عليه بتاريخ 2024-01-24.Kent, Karen; Souppaya, Murugiah (13 September 2006). "Guide to Computer Security Log Management". National Institute of Standards and Technology. doi:10.6028/NIST.SP.800-92. S2CID 221183642. Retrieved 24 January 2024.
  19. ^ Jamil, Amir (29 مارس 2010). "The difference between SEM, SIM and SIEM". مؤرشف من الأصل في 2022-01-21.
  20. ^ "SIEM: A Market Snapshot". Dr.Dobb's Journal. 5 فبراير 2007. مؤرشف من الأصل في 2013-01-21.
  21. ^ Bhatt، S.؛ Manadhata، P.K.؛ Zomlot، L. (2014). "The Operational Role of Security Information and Event Management Systems". IEEE Security & Privacy. ج. 12 ع. 5: 35–41. DOI:10.1109/MSP.2014.103. S2CID:16419710. مؤرشف من الأصل في 2024-12-02.
  22. ^ Jamil, Amir (29 مارس 2010). "The difference between SEM, SIM and SIEM". مؤرشف من الأصل في 2022-01-21.
  23. ^ Correlation نسخة محفوظة 2014-10-19 على موقع واي باك مشين.
  24. ^ ا ب "Compliance Management and Compliance Automation – How and How Efficient, Part 1". accelops.net. مؤرشف من الأصل في 2011-07-23. اطلع عليه بتاريخ 2018-05-02.
  25. ^ "2018 Data Breach Investigations Report | Verizon Enterprise Solutions". Verizon Enterprise Solutions (بالإنجليزية الأمريكية). Archived from the original on 2013-02-05. Retrieved 2018-05-02.
  26. ^ Kotenko، Igor؛ Chechulin، Andrey (نوفمبر 2012). "Common Framework for Attack Modeling and Security Evaluation in SIEM Systems". 2012 IEEE International Conference on Green Computing and Communications. ص. 94–101. DOI:10.1109/GreenCom.2012.24. ISBN:978-1-4673-5146-1. S2CID:15834187.
  27. ^ Karl-Bridge-Microsoft. "Eventlog Key - Win32 apps". docs.microsoft.com (بالإنجليزية الأمريكية). Archived from the original on 2022-03-21. Retrieved 2021-07-18.
  28. ^ Kotenko، Igor؛ Polubelova، Olga؛ Saenko، Igor (نوفمبر 2012). "The Ontological Approach for SIEM Data Repository Implementation". 2012 IEEE International Conference on Green Computing and Communications. ص. 761–766. DOI:10.1109/GreenCom.2012.125. ISBN:978-1-4673-5146-1. S2CID:18920083.
  29. ^ Azodi، Amir؛ Jaeger، David؛ Cheng، Feng؛ Meinel، Christoph (ديسمبر 2013). "Pushing the Limits in Event Normalisation to Improve Attack Detection in IDS/SIEM Systems". 2013 International Conference on Advanced Cloud and Big Data. ص. 69–76. DOI:10.1109/CBD.2013.27. ISBN:978-1-4799-3261-0. S2CID:1066886.
  30. ^ "28c3: Security Log Visualization with a Correlation Engine". يوتيوب. 29 ديسمبر 2011. مؤرشف من الأصل في 2024-09-22. اطلع عليه بتاريخ 2017-11-04.{{استشهاد ويب}}: صيانة الاستشهاد: BOT: original URL status unknown (link)
  31. ^ Swift، David (2010). "Successful SIEM and Log Management Strategies for Audit and Compliance". SANS Institute. مؤرشف من الأصل في 2020-11-11.

روابط خارجية