تكامل SIEM
تعمل AuroraSOC بمثابة meta-SIEM، حيث تستوعب الأحداث وتربطها من مصادر SIEM متعددة من خلال واجهة موحدة. بدلاً من استبدال SIEM الحالي لديك، فإن AuroraSOC تتفوق عليه، وتضيف التحليل المدعوم بالذكاء الاصطناعي.
مصادر SIEM المدعومة
| مصدر | بروتوكول | وصف |
|---|---|---|
| وازه | REST API / سجل النظام | IDS المستندة إلى المضيف، ومراقبة سلامة الملفات |
| سوريكاتا | إيف جسون / ريديس | IDS/IPS للشبكة مع فحص كامل للحزم |
| زيك | سجلات JSON | تحليل حركة مرور الشبكة وتسجيل البروتوكول |
| ** فيلوسيرابتور ** | واجهة برمجة تطبيقات REST | رؤية نقطة النهاية والطب الشرعي الرقمي |
| مخصص | سجل النظام/JSON | أي مصدر عبر مُطبيع الصدأ |
خط أنابيب تطبيع الحدث
لماذا الصدأ الطبيعي؟
تتم كتابة أداة التسوية بلغة Rust لمعالجة الأحداث ذات الأداء الحرج. في أحجام الأحداث الكبيرة (10,000+ EPS)، يصبح Python's GIL عنق الزجاجة. الصدأ يوفر:
- تحليل النسخة الصفرية للتنسيقات المعروفة
- الإدخال/الإخراج غير المتزامن مع tokio لمعالجة المصدر المتزامن
- ضمان سلامة الذاكرة دون توقف مؤقت لجمع البيانات المهملة
- زمن وصول المعالجة أقل من مللي ثانية لكل حدث
صفحة لوحة تحكم SIEM
تعرض صفحة SIEM:
مصادر السجل
تظهر بطاقة لكل مصدر SIEM متصل:
- الحالة — متصل / غير متصل
- EPS — الأحداث الجارية في الثانية
- إجمالي الأحداث — العدد التراكمي لهذا اليوم
- الحدث الأخير — الطابع الزمني لأحدث حدث
بحث عن الأحداث
البحث عن النص الكامل عبر جميع الأحداث المستوعبة باستخدام المرشحات:
- النطاق الزمني — آخر 15 دقيقة، ساعة واحدة، 4 ساعات، 24 ساعة، 7 أيام، مخصص
- المصدر — التصفية حسب النظام الأصلي
- الخطورة — التصفية حسب الخطورة الطبيعية
- استعلام البحث — بناء جملة استعلام شبيه بـ Lucene
ارتباط الحدث
تقوم أداة CorrelateEvents تلقائيًا بالبحث عن العلاقات بين الأحداث:
| نوع الارتباط | طريقة | مثال |
|---|---|---|
| ** القائم على بروتوكول الإنترنت ** | نفس المصدر/الوجهة IP | فحص المنفذ متبوعًا بمحاولة استغلال |
| ** على أساس المستخدم ** | نفس اسم المستخدم عبر الأحداث | القوة الغاشمة تليها تسجيل الدخول الناجح |
| ** على أساس الوقت ** | الأحداث داخل النافذة | تنبيهات متعددة خلال 5 دقائق |
| ** على أساس التقنية ** | نفس تقنية MITRE | يظهر مضيفون مختلفون نفس نمط الهجوم |
نافذة الارتباط الافتراضية هي 15 دقيقة. يتم تلقائيًا ربط الأحداث التي تصل ضمن هذه النافذة والتي تشترك في مؤشرات مشتركة. اضبط عبر متغير البيئة AURORA_SIEM_CORRELATION_WINDOW.
رسم خرائط ميتري ATT&CK
يتم تعيين كل حدث تم تطبيعه إلى تقنيات MITRE ATT&CK بواسطة وكلاء الذكاء الاصطناعي:
تتضمن صفحة SIEM خريطة حرارية MITRE توضح مدى انتشار التقنية عبر بيئتك مع مرور الوقت.