Security Information & Event Management (SIEM)

Leave a Comment / SIEM, SOC, Uncategorized / By

কম্পিউটার সিকিউরিটির ক্ষেত্রে Data analysis খুবই গুরুত্বপূর্ণ একটি অংশ। Data analysis এর মাধ্যমে কম্পিউটারের নিরাপত্তা-দুর্বলতা খুজে পাওয়া যায়। Security Information & Event Management (SIEM) হলো কম্পিউটার সিকিউরিটির ক্ষেত্রে সফ্টওয়্যার, নেটওয়ার্ক, এবং অন্যান্য service গুলোর নিরাপত্তা এবং ব্যবস্থাপনার একটি মাধ্যম। এর মাধ্যমে real time event বিশ্লেষন করে দুর্বলতা অনুসন্ধান এবং কোন দুর্বলতার ব্যাপারে কী কী পদক্ষেপ নেওয়া যেতে পারে তা নির্ধারন করা হয়ে থাকে।

অর্থাৎ, কম্পিউটারের নিরাপত্তা সংক্রান্ত সমস্ত কিছু একসাথে নজরদারী করার একটি মাধ্যম।

‍নেটওয়ার্ক সম্পর্কে একটু জানি

কম্পিউটার নেটওয়ার্ক বলতে একটি কম্পিউটারের সাথে আরেকটি কম্পিউটার তারের মাধ্যমে অথবা বিনা তারে সংযুক্ত হয়ে তথ্য আদান-প্রদান করা হয়, তা-ই নেটওয়ার্ক। এভাবে অনেক কম্পিউটার একটি নিটওয়ার্কে যুক্ত হতে পারে। তেমনই একটি নেটওয়ার্ক হলো ইন্টারনেট। পৃথিবীর অসংখ্য কম্পিউটার যুক্ত হয়েছে ইন্টারনেটের সাথে। তাই ইন্টারনেট পৃথিবীর সর্ব বৃহৎ নেটওয়ার্ক। ইন্টারনেটে সুধু আমাদের টেবিলের উপর রাখা (সচারচর আমরা যেমন কম্পিউটার ব্যবহার করে থাকি এমন) কম্পিউটারই নয়, ভিন্ন ভিন্ন ধরনের কম্পিউটার এর সাথে কানেক্টেড থাকে। এর মধ্যে বিভিন্ন ধরনের সার্ভার(তথ্য স্টোর করে রাখা হয়), IOT devices(ইন্টারনেটের সাথে সংযুক্ত হার্ডওয়্যার) ইত্যাদি ডিভাইসগুলো সংযুক্ত থাকে।

Security Operation Center (SOC) কী?

যেখানে কম্পিটউটার সিকিউরিটি বিশেষজ্ঞগন কম্পিউটারের নিরাপত্তা রক্ষনাবেক্ষন করেন। কোনো একটি সিকিউরিটি অপারেশন সেন্টারে কোনো নেটওয়ার্কের সাথে যুক্ত সকল তথ্য ও নিরাপত্তা রক্ষনাবেক্ষন করা হয় এবং ডেটা অ্যনালাইসিস করে কোনো দূর্বলতা প্রকাশ পেলে কিভাবে সেটা সমাধান করা যাবে তা SOC Analyst বলে দেন।

এক কথায়, Security Operation Center (SOC) -এ কোনো সিস্টেম, সার্ভিস, আথবা কোনো নেটওয়ার্কের সাথে যুক্ত সকল ডিভাইস এবং তাদের সকল সিকিউরিটি স্ট্যাটাস নজরদারী করা হয়। এবং SIEM বা SOC Framework এর মাধ্যমে Security Operation Center এ সব কিছু মনিটরিং করা হয়ে থাকে।

SIEM এ প্রয়োজনীয়তা

যেহেতু আমাদেরকে তথ্য ব্যবহার, আদান-প্রদান ও যোগাযোগের ক্ষেত্রে বিশাল নেটওয়ার্কের সাথে যুক্ত হতেই হচ্ছে, তাই এখানে নিরাপত্তার প্রশ্ন থেকেই যায়। একটি মাত্র কম্পিউটারের ক্ষেত্রে ম্যনুয়ালি পর্যবেক্ষন করা সম্ভব হলেও কোনো অফিস বা এমন পরিবেশ যেখানে অনেক কম্পিউটার, নেটওয়ার্ক সহ বিভিন্ন সার্ভিস এবং ডিভাইস ব্যবহার হয়, সেক্ষেত্রে ম্যনুয়লি পর্যবেক্ষন করা সম্ভব হয় না।

এখানেই আমরা প্রয়োজনীয়তা অনুভব করি এমন একটি সলিউশনের, যার মাধ্যমে সকল সার্ভিসগুলোর নিরাপত্তা একই সাথে পর্যবেক্ষন করা যায়। সেই প্রয়োজনীয়তা পূরন করতেই SIEM Solution এর ব্যপার সামনে আসে। ‍SIEM এর মাধ্যমে একাধিক সিসটেমের সিকিউরিটি স্ট্যটাস একই সাথে খুবই সচেতনভাবে মনিটরিং করা যায়।

কিভাবে কাজ করে SIEM Solution

কম্পিউটারে প্রতিটি কাজের রেকর্ড রাখা হয়। কম্পিউটার অন করা থেকে শুরু করে Log in, Log out, Login failure, Power Failure, network traffic ইত্যাদি প্রতিটি বিষয় লগ আকারে সেভ করা হয়। প্লেনের ব্ল্যক বক্সে যেমন সকল তথ্য রেকর্ড করা থাকে, কম্পিউটারেও এর সকল তথ্য লগ আকারে সেভ করা থাকে।

SIEM Solution রিয়েল-টাইম লগ অ্যনালাইসিস করে আর্টিফিসিয়াল ইন্টেলিজেন্স, মেশিন লর্নিয়ের সাহায্যে এবং SIEM এর নিজস্ব ডেটাবেজ, লগ ম্যনেজমেন্ট, থ্রেট ইন্টেলিজেন্স, ইউজার এবং তাদের কার্যকলাপের আচরন বিশ্লেষণ(UEBA), নেটওয়ার্ক ট্রাফিক অ্যনালাইসিস, এন্ডপয়েন্ট এবং লগ এর vulnerable / suspicious characteristic অ্যনালাইসিসের মাধ্যমে কোনো Event কে থ্রেট হিসেবে সনাক্ত করে থাকে। এবং তার সম্ভাব্য Mitigation Technic বলে দেয়।

কোনো প্রতিষ্ঠানে কেন SIEM Solution ব্যবহার করা উচিত

এ সময়ে সকল প্রতিষ্ঠানেই একাধিক নেটওয়ার্ক এবং দৈনন্দিন কার্যকলাপকে আরো সহজতর করার জন্য অনেক কম্পিউটিং ডিভাইস একটার সাথে অন্যটা কানেক্টেড হয়ে থাকে। সেই নেটওয়ার্কের ডিভাইসগুলোর কার্যক্রমে সমস্যা করার জন্য একজন অ্যটাকারের সেই নেটওয়ার্কের কোনো একটির অ্যকসেস পাওয়াই যথেষ্ঠ।

এ সকল প্রতিষ্ঠানে অনেকগুলো ডিভাইস এক সাথে থাকার কারনে সিকিউরিটি-দুর্বলতার (Vulnerability) সম্ভাব্যতা অনেক বেশি। কিন্তু ডিভাইস একাধিক হওয়ার কারনে ঠিক কোথায় এর দূর্বলতা রয়েছে তা বের করা কঠিন।

একটি SIEM Solution এখানে নেটওয়ার্কের এবং নেটওয়ার্কের সাথে যুক্ত সকল ডিভাইসে সাইবার অ্যটাক হতে এবং অভ্যন্তরীন থ্রেট হতে রক্ষা করে এবং সর্বক্ষন পর্যবেক্ষন করে Vulnerability সম্পর্কে আগাম সতর্কতা প্রদান এবং তা হতে রক্ষা করে থাকে।

কিছু Siem Solutions

প্রচলিত অনেক ‍Siem Solution রয়েছে। এর মধ্যে অন্যতম কিছু SIEM Solution:

  • QRadar
  • Azure sentinel
  • McaFee
  • LogPoing
  • Elastic Stack
  • ArcSight
  • InsightiDR

এই সকল SIEM Service একই ধরনের কাজ করলেও তাদের নিজেদের কিছু বিশেষ বৈশিষ্ঠ থাকে যেমন, Microsoft এর Azure Staniel সুধু Microsoft এর ক্লাউডে ব্যবহার করা যায়, অপর দিকে ‍Securonix এর Open Source Architechture থাকার কারণে অনেক Third-party Analytics Plugins যুক্ত করে এর কার্যক্ষমতা আরো বাড়ানে সম্ভব।

তাবে এন্টারপ্রাইজ লেভেলের এই SIEM Solution গুলো অনেক ব্যায়-বহুল বা এর জন্য অনেক খরচ করতে হয়, যা একটি ছোটো কোম্পানী বা start-up এর জন্য সম্ভব হয় না। এর একটি সমাধান ও রয়েছে তা হলো Open Source SIEM এর ব্যবহার।

কিছু Open Source SIEM Solutions

Open Source SIEM ব্যবহারে কিছু সুবিধা রয়েছে যেমন, ‍Source Code প্রয়োজন মত পিরিমার্জন করে প্রয়োজন অনুযায়ী কাজ করা যায়, খরচ কম ইত্যাদি। কিছু Open Source SIEM Solution যেমন:

  • OSSIM
  • ELK Stack
  • OSSEC
  • WAZUH
  • Apache Metro
  • SIEMonster
  • Prelude
  • SecurityOnion
  • Snort
  • Suricata

Security Monitoring এর জন্য Open-Source Security Information & Event Management (SIEM) খুবই ভাল মাধ্যম হতে পারে। ডেটা, নেটওয়ার্ক, এবং অন্যান্য সার্ভিসগুলোর নিরাপত্তা পর্যবেক্ষনের জন্য কম খরচে Open source SIEM Solution এর ব্যবহার করা যেতে পারে। পরবর্তী ব্লগে ধাপে ধাপে SIEM Technology নিয়ে বিস্তারিত শিখব ইনশাআল্লাহ। পড়তে থাকুন, শিখতে থাকুন। ধন্যবাদ।

Leave a Comment

Your email address will not be published. Required fields are marked *

What is Lorem Ipsum?

Ipsum is simply dummy text of the printing and typesetting industry. Lorem Ipsum has been the industry’s standard dummy text ever since the 1500s, when an unknown printer took a galley of type and scrambled it to make a type specimen book. It has survived not only five centuries, but also the leap into electronic typesetting, remaining essentially unchanged. It was popularised in the 1960s with the release of Letraset sheets containing Lorem Ipsum passages, and more recently with desktop publishing software like Aldus PageMaker including versions of Lorem Ipsum.