IG2 IG3

مركزة تنبيهات الأحداث الأمنية

مجموعة الضابط: 13. مراقبة الشبكة والدفاع عنها

نوع الأصل: الشبكة

وظيفة الأمان: كشف

الوصف

مركزة تنبيهات الأحداث الأمنية عبر أصول المؤسسة للمراجعة والرؤية الأمنية. يتضمن ذلك استخدام SIEM التي تتضمن قواعد ربط وتنبيه معرفة من قبل البائع. يتضمن أيضًا استخدام حل مشابه يسمح بمراجعة وتحليل الأحداث الأمنية بما في ذلك سجلات التدقيق ذات الصلة.

قائمة التحقق من التطبيق

1

مراجعة متطلبات الضمانة مقارنة بالوضع الحالي

2

تطوير خطة تنفيذ بجدول زمني ومراحل رئيسية

3

تنفيذ الضوابط والإجراءات المطلوبة

4

التحقق من التنفيذ من خلال الاختبار والتدقيق

5

توثيق التنفيذ وتحديث الإجراءات التشغيلية

توصيات الأدوات

Darktrace DETECT + RESPOND Gartner MQ Visionary, NDR 2024; Forrester Wave Leader, NDR 2024

اكتشاف الشبكة والاستجابة المدعوم بالذكاء الاصطناعي مع تحليل التهديدات ذاتي التعلم والاستجابة المستقلة

Darktrace · اشتراك مؤسسي

Vectra AI Platform Gartner MQ Leader, NDR 2024

اكتشاف التهديدات والاستجابة المدعوم بالذكاء الاصطناعي للشبكة والسحابة والهوية مع استخبارات إشارات الهجوم

Vectra AI · اشتراك مؤسسي

ExtraHop RevealX Gartner MQ Leader, NDR 2024; Forrester Wave Leader, NDR 2024

منصة اكتشاف الشبكة والاستجابة مع تحليل حركة المرور في الوقت الفعلي وفحص حركة المرور المشفرة والرؤية السحابية

ExtraHop · اشتراك لكل جهاز أو حسب عرض النطاق

التهديدات والثغرات (CIS RAM)

سيناريوهات التهديد

تنقل أفقي غير مكتشف بسبب تحليل سجلات منعزل

السرية

يخترق مهاجم نقطة نهاية واحدة ويتنقل أفقياً عبر الشبكة دون كشف لأن أحداث الأمان من مصادر مختلفة لا تُربط في منصة مركزية.

تأخر كشف الاختراق من مصادر تنبيه مجزأة

السرية

تستمر حملة تسريب بيانات لأشهر لأن سجلات جدار الحماية ونقاط النهاية والمصادقة تُراجع بشكل مستقل بدلاً من ربطها، مما يمنع المحللين من ربط مؤشرات الاختراق المرتبطة.

إرهاق التنبيهات من أحداث أمنية غير مرتبطة

التوفر

يفتقد المحللون مؤشرات هجوم حرجة مدفونة عبر عشرات مصادر السجل المستقلة، مما يسمح لمشغلي برامج الفدية بإكمال سلسلة القتل الخاصة بهم قبل الكشف.

الثغرات (عند غياب الإجراء الوقائي)

غياب ربط سجلات مركزي

بدون SIEM أو منصة تنبيه مركزية، لا يمكن ربط مؤشرات الهجوم المرتبطة عبر أنظمة متعددة، مما يؤدي إلى رؤية مجزأة وعمليات كشف مفقودة.

تنبيهات غير متسقة عبر أدوات الأمان

تولد كل أداة أمان تنبيهات بشكل مستقل بدون عملية فرز موحدة، مما يخلق نقاطاً عمياء حيث تمتد الهجمات متعددة المراحل عبر حدود الأدوات دون تفعيل تنبيه موحد.

متطلبات الأدلة

النوع	عنصر الدليل	تكرار الجمع
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

قوالب السياسات ذات الصلة

سياسة أمن الشبكة

Control 12, Control 13

سياسة التحكم في الوصول إلى الشبكة

Control 13

الإجراءات الوقائية ذات الصلة في الضابط 13

13.2 نشر حل كشف التسلل القائم على المضيف

13.3 نشر حل كشف التسلل القائم على الشبكة

13.4 إجراء تصفية حركة المرور بين شرائح الشبكة

13.5 إدارة التحكم في الوصول للأصول البعيدة

13.6 جمع سجلات تدفق حركة مرور الشبكة

13.7 نشر حل منع التسلل القائم على المضيف

13.8 نشر حل منع التسلل القائم على الشبكة

13.9 نشر التحكم في الوصول على مستوى المنفذ

13.10 تنفيذ التصفية على مستوى التطبيقات

13.11 ضبط حدود تنبيه الأحداث الأمنية