فن آوران گیتی افروز
سازمان دولتی

SIEM چندسطحی Air-Gap با Federation به SOC مرکزی؛ کاهش ۸۹٪ زمان تشخیص تهدید

یک معماری SIEM فدراسیونی و چندسطحی را برای تجمیع امن گزارش‌های امنیتی ۴۳ زیرسازمان پیاده‌سازی کردیم تا دید Real-time در SOC مرکزی با انطباق کامل افتا فراهم شود.

مدت پروژه: ۸ ماه 7 مؤلفه معماری 6 یکپارچه‌سازی
−۸۹٪
MTTD (۲۸ → ۳ ساعت)
−۷۱٪
میانگین زمان پاسخ به رخداد (MTTR)
۱۰۰٪
پوشش تجمیع Real-time هر ۴۳ زیرسازمان
−۸۳٪
حجم کار دستی تجمیع گزارش ماهانه

زمینه پروژه

این سازمان دولتی شامل یک ستاد مرکزی و ۴۳ زیرسازمان پراکنده با سطوح طبقه‌بندی متفاوت داده است که برخی در شبکه Air-Gap عمل می‌کنند. پیش از پروژه، گزارش‌های امنیتی هر زیرسازمان ماهانه و دستی به ستاد ارسال می‌شد.

چالش

  • تجمیع گزارش‌های امنیتی از ۴۳ زیرسازمان ماهانه و دستی و MTTD حدود ۲۸ ساعت
  • نبود دید Real-time؛ حملات هم‌زمان روی چند زیرسازمان به‌عنوان رخداد مجزا دیده می‌شد
  • بخشی از زیرسازمان‌ها در شبکه Air-Gap و بدون امکان ارسال مستقیم لاگ
  • ناهمگونی منابع لاگ که نرمال‌سازی و همبستگی را دشوار می‌کرد
  • نبود فرایند مدون پاسخ به رخداد و playbook یکنواخت میان زیرسازمان‌ها

معماری راهکار

یک معماری SIEM دوسطحی پیاده‌سازی کردیم؛ در هر زیرسازمان یک نمونه GITA SIEM محلی لاگ‌ها را گردآوری، نرمال‌سازی و همبسته می‌کند و فقط رخدادهای پالایش‌شده را از طریق Data Diode یک‌طرفه به سطح بالاتر منتقل می‌کند. SOC مرکزی با لایه Federation رخدادهای تمام زیرسازمان‌ها را تجمیع و همبستگی بین‌سازمانی، شکار تهدید و اجرای playbook را با حفظ Air-Gap انجام می‌دهد.

GITA SIEM Node (Tier-2 محلی)

گردآوری، نرمال‌سازی و همبستگی لاگ در هر زیرسازمان و تولید رخداد امنیتی

GITA Federation Hub (Tier-1 مرکزی)

تجمیع رخدادهای زیرسازمان‌ها در SOC مرکزی و همبستگی بین‌سازمانی برای تشخیص کمپین

GITA Air-Gap Transfer Gateway

انتقال یک‌طرفه و کنترل‌شده رخدادها از شبکه طبقه‌بندی‌شده با Data Diode

GITA Correlation & UEBA Engine

موتور قواعد همبستگی و تحلیل رفتار کاربر و موجودیت برای تشخیص ناهنجاری

GITA SOAR Playbook Orchestrator

اجرای خودکار playbook پاسخ به رخداد و هماهنگی میان زیرسازمان‌ها

GITA Log Normalizer (Parser Pack)

نرمال‌سازی منابع ناهمگون به اسکیمای واحد و غنی‌سازی با Threat Intelligence

GITA Compliance & Audit Module

گزارش‌دهی انطباق با افتا و نگهداری ممیزی‌پذیر رخدادها

یکپارچه‌سازی‌ها

  • دریافت لاگ با Syslog (RFC 5424)، Windows Event Forwarding و Filebeat
  • انتقال یک‌طرفه رخداد از Air-Gap از طریق Data Diode
  • غنی‌سازی با فید Threat Intelligence از طریق STIX/TAXII
  • ارسال هشدار و اقدام پاسخ از طریق Webhook و REST API
  • احراز هویت و کنترل دسترسی متمرکز با LDAP/Active Directory و RBAC
  • تبادل رخداد استانداردشده با فرمت CEF و OpenC2

فازهای پیاده‌سازی

  1. 1

    فاز ۱ — معماری چندسطحی و طراحی جداسازی

    طراحی توپولوژی دوسطحی، تعیین مرز شبکه‌های Air-Gap و تعریف سیاست انتقال یک‌طرفه رخداد از طریق Data Diode.

  2. 2

    فاز ۲ — استقرار Node محلی و نرمال‌سازی لاگ

    نصب GITA SIEM در زیرسازمان‌ها، اتصال منابع ناهمگون و توسعه Parser Pack برای سامانه‌های بومی.

  3. 3

    فاز ۳ — راه‌اندازی Federation و همبستگی مرکزی

    برقراری لایه Federation به SOC مرکزی، تعریف قواعد همبستگی بین‌سازمانی و فعال‌سازی UEBA.

  4. 4

    فاز ۴ — SOAR، playbook و انطباق افتا

    تدوین و خودکارسازی playbookهای پاسخ، تنظیم گزارش‌های انطباق افتا و آموزش تحلیل‌گران SOC.

استک فنی

Elasticsearch / OpenSearchLogstash / VectorKafkaSyslog (RFC 5424)STIX/TAXIIData Diode (unidirectional gateway)Wazuh-compatible agentsKubernetes (on-prem)RabbitMQGrafana / Kibana

انطباق و استانداردها

  • الزامات سازمان فناوری اطلاعات ایران (افتا)
  • ISO/IEC 27001
  • نظام مدیریت امنیت اطلاعات (ISMS)
  • سیاست‌های جداسازی شبکه و طبقه‌بندی داده

نتایج

−۸۹٪
MTTD (۲۸ → ۳ ساعت)
−۷۱٪
میانگین زمان پاسخ به رخداد (MTTR)
۱۰۰٪
پوشش تجمیع Real-time هر ۴۳ زیرسازمان
−۸۳٪
حجم کار دستی تجمیع گزارش ماهانه

راهکار مشابهی برای سازمان شما؟

جلسه فنی با معمار ارشد ما — معماری متناسب با زیرساخت و الزامات صنعت شما را با هم طراحی می‌کنیم.

درخواست جلسه فنی سایر مطالعات موردی