SIEM Engineering: রিয়েল-টাইম থ্রেট মনিটরিংয়ের জন্য সিকিউরিটি ইনফরমেশন অ্যান্ড ইভেন্ট ম্যানেজমেন্ট!

SIEM শব্দটি দুটি পূর্বের প্রযুক্তির সমন্বয়ে গঠিত: SIM (Security Information Management) যা লগ সংগ্রহ এবং সংরক্ষণে কেন্দ্রীভূত ছিল, এবং SEM (Security Event Management) যা রিয়েল-টাইম ইভেন্ট মনিটরিং এবং কোরিলেশনে কেন্দ্রীভূত ছিল। ২০০৫ সালের দিকে Gartner এই দুই ধারণাকে একত্রিত করে SIEM ক্যাটেগরি প্রবর্তন করে।

প্রথম যুগের SIEM (ArcSight, RSA Envision, Q1 Labs) ছিল মূলত রুল-ভিত্তিক এবং on-premise। এরপর Splunk এসে লগ বিশ্লেষণে বিপ্লব আনে। আধুনিক যুগে এসেছে ক্লাউড-নেটিভ SIEM যেমন Microsoft Sentinel, Google Chronicle, Sumo Logic, এবং AWS Security Lake-ভিত্তিক সলিউশন। সর্বশেষ প্রবণতা হলো SIEM, SOAR (Security Orchestration, Automation and Response), UEBA (User and Entity Behavior Analytics) এবং XDR-এর সমন্বয়।

১. Log Sources

SIEM-এর শক্তি নির্ভর করে কোন কোন উৎস থেকে ডেটা সংগ্রহ করা হচ্ছে তার উপর। প্রধান উৎসসমূহ:

• Endpoint: Windows Event Log, Sysmon, Linux auditd, macOS Unified Log, EDR টেলিমেট্রি
• Network: Firewall, IDS/IPS, NetFlow/IPFIX, DNS, Proxy logs, Zeek/Suricata
• Identity: Active Directory, Azure AD, Okta, Auth0, LDAP
• Cloud: AWS CloudTrail, Azure Activity Log, GCP Audit Log, SaaS Audit API
• Application: Web Server, Database, ERP/CRM Audit Logs
• Security Tools: Vulnerability Scanner, DLP, CASB, WAF

২. Collection Layer

ডেটা সংগ্রহ বিভিন্ন উপায়ে হতে পারে:

• Agent-based: লক্ষ্য সিস্টেমে এজেন্ট ইনস্টল করে (Splunk Universal Forwarder, Elastic Agent, Wazuh Agent)
• Agentless: Syslog, WMI, REST API
• Streaming: Kafka, Kinesis, Event Hubs
• Network Tap: প্যাকেট ক্যাপচার ও বিশ্লেষণ

৩. Parsing এবং Normalization

বিভিন্ন উৎস থেকে আসা লগের ফরম্যাট ভিন্ন। সফল SIEM-এর মূল ভিত্তি হলো এই বিভিন্ন ফরম্যাটকে একটি সাধারণ স্কিমায় (যেমন Elastic Common Schema, OCSF, Splunk CIM) রূপান্তর করা। প্রতিটি ফিল্ড—ইউজার নাম, IP, প্রসেস নাম, ইভেন্ট টাইপ—মানসম্মত নাম পায়, যা পরবর্তীতে রুল এবং সার্চ লেখার কাজকে সহজ করে।

৪. Storage এবং Indexing

লগ দীর্ঘমেয়াদে সংরক্ষণ করা প্রয়োজন—কমপ্লায়েন্সের জন্য (HIPAA, PCI DSS-এ ১ বছর) এবং ফরেনসিক বিশ্লেষণের জন্য। আধুনিক SIEM হট, ওয়ার্ম এবং কোল্ড স্টোরেজ টায়ার ব্যবহার করে—সাম্প্রতিক ডেটা দ্রুত অ্যাক্সেসের জন্য SSD-তে এবং পুরনো ডেটা সস্তা অবজেক্ট স্টোরেজে (S3, Azure Blob)।

৫. Detection Engine

কোরিলেশন রুল, signature matching, anomaly detection, এবং ML মডেল ব্যবহার করে সন্দেহজনক প্যাটার্ন শনাক্ত করা হয়। আউটপুট হলো অ্যালার্ট যা SOC-তে যায়।

৬. Response এবং Integration

SOAR প্ল্যাটফর্মের সাথে ইন্টিগ্রেশন স্বয়ংক্রিয় প্রতিক্রিয়া সম্ভব করে—যেমন সংশ্লিষ্ট IP ব্লক, অ্যাকাউন্ট ডিজেবল, এন্ডপয়েন্ট আইসোলেশন।

ভালো ডিটেকশন রুল তৈরি একটি শিল্প। নিম্নলিখিত কাঠামো অনুসরণ করা যেতে পারে:

Hypothesis Building

প্রথমে নির্দিষ্ট করুন—কোন আক্রমণ আপনি ধরতে চান? MITRE ATT&CK ফ্রেমওয়ার্ক অনুসরণ করে নির্দিষ্ট টেকনিক চিহ্নিত করুন, যেমন T1059.001 (PowerShell)। তারপর প্রশ্ন করুন—এই টেকনিক ব্যবহার করলে কোন ডেটা সোর্সে কী ইভেন্ট দৃশ্যমান হবে? এই ম্যাপিং আপনাকে রুলের লজিক নির্ধারণে সাহায্য করবে।

Detection Engineering Lifecycle

1. Threat Modeling: প্রতিষ্ঠানের প্রকৃত হুমকি চিহ্নিতকরণ
2. Data Source Mapping: কোন কোন লগে এই হুমকির চিহ্ন আছে
3. Rule Authoring: SPL, KQL, EQL, Sigma বা Lucene-এ রুল লেখা
4. Testing: Atomic Red Team, Caldera, Stratus Red Team দিয়ে সিমুলেশন
5. Tuning: false positive কমানো এবং রুল উন্নয়ন
6. Deployment: প্রোডাকশনে রিলিজ
7. Monitoring: রুলের কার্যকারিতা ট্র্যাক করা

Sigma Rules: প্ল্যাটফর্ম-নিরপেক্ষ

Sigma একটি YAML-ভিত্তিক generic detection rule format যা Splunk, Sentinel, Elastic, QRadar—সব প্ল্যাটফর্মে কনভার্ট করা যায়। এটি ডিটেকশন রুল শেয়ারিং এবং পোর্টেবিলিটি অনেক সহজ করে।

একটি SIEM-এর সবচেয়ে বড় চ্যালেঞ্জ হলো অ্যালার্ট ক্লান্তি (Alert Fatigue)। যদি প্রতিদিন হাজারো false positive আসে, তবে বিশ্লেষকরা প্রকৃত হুমকিও মিস করবেন। এই সমস্যা সমাধানে:

• Allowlisting: পরিচিত বৈধ আচরণ (যেমন admin script, scheduled backup) সাদা তালিকায় যোগ করা
• Risk Scoring: প্রতিটি অ্যালার্টে স্কোর দিয়ে অগ্রাধিকার নির্ধারণ
• Aggregation: অনুরূপ অ্যালার্টগুলো একত্রিত করে একটি ইনসিডেন্ট হিসেবে প্রদর্শন
• Context Enrichment: প্রতিটি অ্যালার্টের সাথে IP geolocation, asset criticality, user role-এর মতো প্রসঙ্গ যুক্ত করা
• Periodic Tuning: প্রতি সপ্তাহে শীর্ষ ১০ false positive উৎস বিশ্লেষণ এবং সংশোধন

ঐতিহ্যবাহী রুল-ভিত্তিক SIEM যা পরিচিত প্যাটার্ন ধরে, তা আধুনিক হুমকির জন্য যথেষ্ট নয়। User and Entity Behavior Analytics (UEBA) মেশিন লার্নিং ব্যবহার করে প্রতিটি ব্যবহারকারী এবং সিস্টেমের সাধারণ আচরণের একটি baseline তৈরি করে এবং বিচ্যুতি ঘটলে অ্যালার্ট জেনারেট করে।

উদাহরণস্বরূপ, যদি একজন কর্মচারী সাধারণত সকাল ৯টা থেকে সন্ধ্যা ৬টার মধ্যে অফিস থেকে লগইন করেন এবং হঠাৎ রাত ২টায় বিদেশী IP থেকে লগইন করে বিশাল পরিমাণ ডেটা ডাউনলোড করেন, UEBA এটি অস্বাভাবিক হিসেবে চিহ্নিত করবে—এমনকি যদি কোনো নির্দিষ্ট সিগনেচার মিল না থাকে।

SOAR প্ল্যাটফর্মগুলো (Palo Alto Cortex XSOAR, Splunk SOAR, Microsoft Sentinel Automation) SIEM-এর সাথে কাজ করে স্বয়ংক্রিয় প্রতিক্রিয়া সম্ভব করে। উদাহরণ:

• ফিশিং ইমেইল রিপোর্ট হলে স্বয়ংক্রিয়ভাবে URL এবং অ্যাটাচমেন্ট বিশ্লেষণ
• ম্যালওয়্যার শনাক্ত হলে এন্ডপয়েন্ট আইসোলেশন
• ব্রুট ফোর্স আক্রমণ শনাক্ত হলে IP ব্লকলিস্টে যুক্ত করা
• সন্দেহজনক ট্রানজেকশনে অ্যাকাউন্ট সাময়িক স্থগিত

স্বয়ংক্রিয়করণ Mean Time to Respond (MTTR) নাটকীয়ভাবে কমায় এবং বিশ্লেষকদের অধিক মূল্যবান কাজে মনোনিবেশ করতে দেয়।

SIEM-এর খরচ সাধারণত ডেটা ভলিউমের সাথে সমানুপাতিক। প্রতিটি GB ডেটা লাইসেন্স খরচ যোগ করে। তাই সচেতন সিদ্ধান্ত প্রয়োজন:

• High-fidelity vs noisy logs: কোন লগ সত্যিই দরকার? Firewall accept logs সব সংগ্রহ করার বদলে denied logs-এ কেন্দ্রীভূত হওয়া যেতে পারে।
• Pre-filtering: SIEM-এ পাঠানোর আগে Edge Collector-এ ফিল্টার করুন।
• Tiered Storage: ৩০ দিন গরম, ৬০ দিন উষ্ণ, বাকি ঠাণ্ডা।
• Data Lake Approach: কম গুরুত্বপূর্ণ ডেটা S3/ADLS-এ রেখে শুধু query-on-demand করা।

আধুনিক "SIEM next-gen" প্ল্যাটফর্ম যেমন Panther, Hunters.AI এবং Anvilogic এই ডেটা লেক মডেল গ্রহণ করছে।

SIEM-এর কার্যকারিতা বহুগুণ বাড়ে যখন বাহ্যিক থ্রেট ইন্টেলিজেন্স ফিড একীভূত করা হয়। MISP, OpenCTI, AlienVault OTX, এবং বাণিজ্যিক ফিড (Recorded Future, Mandiant) থেকে আসা IoC (Indicators of Compromise) লগের সাথে ম্যাচ করে দ্রুত পরিচিত খারাপ অ্যাক্টরদের শনাক্ত করা যায়।

SIEM-এর performance চ্যালেঞ্জ গুরুত্বপূর্ণ। বিশাল ডেটা ভলিউম প্রক্রিয়াকরণে নিম্নলিখিত বিষয় খেয়াল রাখতে হবে:

• ইনজেশন রেট মনিটরিং—যাতে কোন উৎস হঠাৎ বাড়লে দ্রুত শনাক্ত হয়
• ইনডেক্সিং পারফরম্যান্স—ক্লাস্টার স্কেলিং পরিকল্পনা
• উচ্চ প্রাপ্যতা—মাল্টি-নোড ক্লাস্টার, ক্রস-অঞ্চল রেপ্লিকেশন
• দুর্যোগ পুনরুদ্ধার পরিকল্পনা
• লগ ক্ষতির প্রতিরোধ—মেসেজ কিউ buffer (Kafka)

SIEM-এর কার্যকারিতা SOC-এর পরিপক্বতার উপর নির্ভর করে। একটি সুপ্রতিষ্ঠিত পরিপক্বতা মডেলে পাঁচটি স্তর রয়েছে—Initial, Managed, Defined, Quantitatively Managed, Optimizing। প্রতিটি স্তরে SIEM থেকে যা আশা করা যায় তা ভিন্ন। প্রতিষ্ঠানগুলোর উচিত নিজেদের বর্তমান স্তর মূল্যায়ন করে ধাপে ধাপে এগিয়ে যাওয়া।

• Detection-as-Code: রুল-গুলো Git-এ সংরক্ষণ করুন, পিআর রিভিউ, CI/CD-তে স্বয়ংক্রিয় টেস্টিং
• MITRE ATT&CK Coverage Mapping: কোন কোন টেকনিক আপনার SIEM ধরতে পারে তা ম্যাট্রিক্স আকারে নিয়মিত পর্যালোচনা
• Purple Team Exercise: Red Team আক্রমণ চালাবে, Blue Team SIEM-এ ধরবে—এই অনুশীলন রুলের কার্যকারিতা যাচাই করে
• Documentation: প্রতিটি রুলের উদ্দেশ্য, লজিক, false positive পরিস্থিতি এবং response playbook ডকুমেন্ট করা
• Continuous Learning: SOC analyst-দের জন্য নিয়মিত প্রশিক্ষণ, রোটেশন এবং burnout প্রতিরোধ
• Vendor Neutrality: ডেটা ফরম্যাট ও পাইপলাইন এমনভাবে ডিজাইন করুন যাতে ভবিষ্যতে SIEM পরিবর্তন সহজ হয়