پایش 24/7 IT/OT | زیرساخت حیاتی

پلتفرم امنیت یکپارچه XDR / SOC

پایش و تحلیل تهدیدات برای محیط‌های IT/OT و زیرساخت حیاتی

نسخه دمو ویژه برق منطقه‌ای سمنان

ورود به دمو XDR باز کردن دمو داخل ارائه

Real-time Monitoring Playbook Response Evidence & Audit

Agenda

دستور جلسه

چرا XDR/SOC برای برق (IT/OT) ضروری است
قابلیت‌های کلیدی سامانه (طبق دمو)
معماری مرجع و منابع داده
سناریوهای عملیاتی SOC
نیازمندی‌های اجرای واقعی (دیتا/ابزار/سخت‌افزار)
معیارهای موفقیت و KPI

Pain Points

مسئله‌ای که حل می‌کنیم

شکاف دید یکپارچه بین IT و OT
تعدد ابزارها و پراکندگی لاگ‌ها و هشدارها
دیر کشف شدن رخدادها و پاسخ‌های غیرهمسان
نیاز به تصمیم قابل دفاع و ثبت شواهد (Evidence)

Threat Landscape

تهدیدهای کلیدی برای شرکت برق

باج‌افزار (Ransomware)
DDoS / حملات لبه و اختلال سرویس
فیشینگ و سرقت هویت
ناهنجاری OT و تغییرات غیرمجاز در زنجیره کنترل

SOC Scenarios IT + OT Edge + Identity

What It Means

XDR/SOC اینجا یعنی چه؟

پایش 24/7 IT/OT
پوشش سنسورها و جمع‌آوری داده
Playbook برای پاسخ هدایت‌شده
هم‌راستایی با MITRE و استانداردهای صنعتی

SOC Overview (Demo)

وضعیت امنیت شبکه در دمو

این داشبورد برای نمایش رفتار سامانه است و در استقرار واقعی با داده‌های شبکه شما جایگزین می‌شود.

هشدار بحرانی

2 Critical

ناهنجاری رفتاری

7 UEBA

پاسخ خودکار

14 Actions

انطباق کنترل‌ها

92%

Navigation

ساختار صفحات دمو روی وب‌سایت

قابلیت‌ها
معماری
سناریوها
آمادگی (چک‌لیست استقرار)

باز کردن وب‌سایت دمو نمایش داخل ارائه

وب‌سایت دمو محتوا را چهار بخش کرده: قابلیت‌ها، معماری، سناریوها و آمادگی برای استقرار. من ارائه را دقیقاً با همین ترتیب جلو می‌برم تا با روایت خود سامانه یکی باشد. سناریوی دمو برای ارائه حضوری (۳ تا ۵ دقیقه): 1) از صفحه اصلی وارد می‌شوم و چهار بخش را نشان می‌دهم: قابلیت‌ها، معماری، سناریوها، آمادگی. 2) قابلیت‌ها: توپولوژی و جریان‌ها، تحلیل رفتاری، پاسخ هدایت‌شده، هویت، دارایی‌ها، یکپارچگی. 3) معماری: زون‌بندی و جریان جمع‌آوری از فایروال/سوئیچ/سرور/حسگر صنعتی، سپس دریاچه داده و موتور تحلیل. 4) سناریوها: باج‌افزار، DDoS، فیشینگ، ناهنجاری OT. 5) آمادگی: چک‌لیست نیازمندی‌ها، کنترل‌ها، سیاست‌ها و Playbookهای رخداد ویژه شرکت برق.

Key Capabilities

قابلیت‌های کلیدی سامانه

پایش توپولوژی و جریان‌ها در IT/OT
تحلیل رفتاری و تشخیص ناهنجاری
پاسخ هدایت‌شده: ایزوله/قرنطینه/جمع‌آوری شواهد
کنترل دسترسی و هویت (AD/LDAP)
مدیریت دارایی‌ها (Agent، Patch، سرویس‌ها، سلامت)
یکپارچگی با Firewall/IDS/IPS/SIEM و لاگ‌های صنعتی

IR Lifecycle

چرخه عملیات SOC و Incident Response

Preparation
Detection & Analysis
Containment / Eradication / Recovery
Post-Incident: Lessons Learned

رویکرد پیشنهادی: هم‌راستا با Best Practiceهای Incident Handling

Analytics Engine

همبستگی + UEBA + قوانین

همبستگی رویدادها (Correlation)
تحلیل رفتاری کاربران/موجودیت‌ها (UEBA)
قوانین تشخیص + ناهنجاری
نگاشت تکنیک‌ها به MITRE ATT&CK (Enterprise/ICS)

OT Constraints

تفاوت OT با IT و چرا مهم است

محدودیت‌های Availability و Safety
تغییرات باید کنترل‌شده و قابل ردیابی باشد
پایش OT غالباً باید Passive و کم‌ریسک باشد
اولویت با تداوم سرویس و ایمنی

Data Sources

منابع داده مورد نیاز در استقرار واقعی

شبکه: NetFlow/sFlow، PCAP (نقاط منتخب)، DNS/DHCP، Syslog
امنیت: Firewall / IDS/IPS / WAF/VPN logs
Endpoint/Server: Windows Event، Linux audit، EDR/Agent telemetry
هویت: AD/LDAP، MFA، PAM (در صورت وجود)
OT: لاگ‌های صنعتی، رویدادهای SCADA، Passive monitoring

Reference Architecture

معماری مرجع پیشنهادی برای برق

زون‌بندی استاندارد: Internet/DMZ، دیتاسنتر، سازمانی، OT/SCADA، سایت‌های دوردست
جمع‌آوری از فایروال‌ها، سوئیچ‌ها، سرورها و حسگرهای صنعتی
دریاچه داده امنیتی: نرمال‌سازی + شاخص‌گذاری + جستجوی سریع

Guided Response

پاسخ هدایت‌شده با Playbook

Playbookهای رخداد (Incident Playbooks)
ایزوله‌سازی/قرنطینه/مسدودسازی
جمع‌آوری شواهد (Evidence Collection)
ثبت رخداد و مسیر تصمیم (Audit Trail)

Ecosystem

یکپارچگی‌ها و اکوسیستم امنیتی

اتصال به Firewall، IDS/IPS، SIEM
اتصال به سیستم‌های مانیتورینگ
اتصال به لاگ‌های صنعتی (OT)
در استقرار واقعی: اتصال به Ticketing/ITSM و CMDB

Alignment

هم‌راستایی با استانداردها و چارچوب‌ها

MITRE ATT&CK (Enterprise/ICS) برای طبقه‌بندی تکنیک‌ها
IEC/ISA 62443 برای امنیت OT و الزامات زیرساخت حیاتی
Zero Trust برای کنترل هویت و دسترسی
مدیریت رخداد مبتنی بر Incident Response

Vulnerability Management

مدیریت آسیب‌پذیری و اولویت‌بندی اصلاحات

همبستگی رخداد با دارایی و اهمیت سرویس
اولویت‌بندی Patch بر اساس ریسک و «Exploited in the Wild»
داشبورد وضعیت Patch و سلامت دارایی‌ها

Readiness

چک‌لیست آمادگی استقرار (طبق دمو)

نیازمندی‌ها و مراحل گام‌به‌گام
حداقل کنترل‌های امنیتی پیشنهادی
سیاست‌ها: دسترسی، نگهداری لاگ، نگهداشت
پاسخ‌دهی: Playbookهای رخداد ویژه شرکت برق

Deployment Tooling

نیازمندی‌های نرم‌افزاری و ابزارهای استقرار

Log Collectors: Syslog/Agent collectors
Network Sensors: NetFlow، SPAN/TAP (نقاط منتخب)
Endpoint Telemetry: EDR/Agent (Windows/Linux)
Identity: اتصال AD/LDAP
Threat Intel: فیدهای داخلی/سازمانی (اختیاری)
Monitoring: متریک‌ها و سلامت سرویس‌ها
Backup/Archive: نگهداری لاگ و Evidence

Infrastructure

نیازمندی‌های سخت‌افزاری و زیرساخت

حداقل معماری منطقی: App/API Node + Data Store (Hot/Warm) + Collector/Sensor Gateways
شبکه: TLS، تفکیک زون‌ها، دسترسی نقش‌محور (RBAC)
ذخیره‌سازی: بر اساس EPS/NetFlow/PCAP و مدت نگهداری
اختیاری: GPU برای مدل‌های سنگین تحلیل/کمک‌یار هوشمند

Sizing Method

روش سایزینگ دقیق (بدون عددسازی)

Storage/day ≈ EPS × AvgEventSize × 86400
Retention = Hot (تحلیل سریع) + Warm (تاریخی) + Archive
CPU/RAM تابع: Correlation + Indexing + Search concurrency
OT/PCAP: فقط نقاط منتخب و سیاست‌محور

خروجی: یک گزارش سایزینگ قابل دفاع برای خرید/استقرار

KPIs

معیارهای موفقیت (KPI) برای برق

MTTD (زمان کشف) و MTTR (زمان پاسخ)
کاهش False Positive و افزایش دقت همبستگی
پوشش دارایی‌ها و زون‌ها (IT/OT Coverage)
بلوغ Playbookها و نرخ اجرای استاندارد
کیفیت Evidence و قابلیت ممیزی
اجرای مانور/Tabletop و درس‌آموخته‌ها

رفتن به دمو XDR نمایش داخل ارائه