امنیت, splunk

اسپلانک UBA چیست؟

اسپلانک UBA چیست -پایه ریزان
5/5 - (1 امتیاز)

اسپلانک UBA چیست؟ از مدل‌سازی رفتار، تجزیه و تحلیل گروه همتا و یادگیری ماشینی برای کشف تهدیدات پنهان در محیط شما استفاده می‌کند. Splunk UBA به طور خودکار رفتار غیرعادی کاربران، دستگاه‌ها و برنامه‌ها را شناسایی می‌کند و این الگوها را در تهدیدهای خاص و قابل اجرا ترکیب می‌کند.

تهدیدهای شناسایی شده را با استفاده از یک گردش کار بررسی تهدید کارآمد که امکان مشاهده فعالیت های غیرعادی و شواهد پشتیبان را فراهم می کند، بررسی و پاسخ دهید. Splunk UBA کارایی تحلیلگران امنیتی شما را با kill chain کمک به آنها در تمرکز بر تهدیدات و فعالیت های مخرب با geographical visualizationsا فزایش می دهد.

Splunk UBA چگونه کار می کند؟

Splunk UBA داده‌ها را از پلتفرم Splunk، که شامل Splunk Enterprise و Splunk Cloud Platform است، جذب می‌کند و کارهای زیر را انجام می‌دهد تا به شما کمک کند تا بفهمید کاربران در محیط شما چه می‌کنند. Splunk UBA با انجام وظایف زیر تهدید ایجاد می کند:

  1. نام های دستگاه و دامنه را عادی کنید و همه حساب های شناسایی شده در داده های منابع انسانی خود را با یک کاربر انسانی مرتبط کنید.
  2. برای یافتن ارتباط بی‌درنگ بین آدرس‌های IP، نام میزبان و کاربران، وضوح هویت را انجام دهید و همچنین این ارتباطات را در طول زمان حفظ کنید.
  3. رفتار کاربران، دستگاه‌ها و برنامه‌های موجود در محیط خود را در میان واحدهای سازمانی و گروه‌های همتا، پایه‌گذاری کنید.
  4. از الگوریتم های یادگیری ماشینی بدون نظارت برای تجزیه و تحلیل داده ها برای فعالیتی که از رفتار عادی منحرف شده است استفاده کنید. Splunk UBA از قوانین و مدل های تشخیص ناهنجاری برای distill میلیون ها رویداد به چند صد ناهنجاری استفاده می کند.
  5. از قوانین و مدل‌های تهدید برای کاهش بیشتر ناهنجاری‌ها به تعداد انگشت شماری از تهدیدات استفاده کنید. یک ناهنجاری ممکن است تهدیدی مشروع در محیط شما نباشد. با این حال، با گذشت زمان، یک سری از ناهنجاری‌ها می‌توانند داستانی را در مورد یک تهدید بیان کنند که باید بررسی شود. مدل‌های تشخیص تهدید می‌توانند ناهنجاری‌ها را به هم بچسبانند تا داستانی سرتاسر درباره یک تهدید با وفاداری بالا ارائه دهند.

Splunk UBA چگونه با سایر محصولات امنیتی Splunk کار می کند؟

Splunk UBA داده های خود را از پلتفرم Splunk دریافت می کند. برخلاف بسیاری از محصولات امنیتی Splunk که برنامه‌های نصب شده بر روی پلتفرم Splunk هستند، Splunk UBA باید بر روی منابع اختصاصی به شکل سرورهای فیزیکی، داخلی یا سرورها در استقرار ابری مدیریت شده سازمان شما نصب شود.

  • هنگام مشاهده جزئیات ناهنجاری در Splunk UBA، می توانید به Splunk Enterprise یا Splunk Cloud Platform برگردید تا برخی از رویدادهای خام را که به ناهنجاری مطرح شده در Splunk UBA کمک می کنند، مشاهده کنید.
  • ارسال رویدادهای قابل توجه از Splunk Enterprise Security (ES) به Splunk UBA یا ارسال ناهنجاری ها و تهدیدات از Splunk UBA به Splunk ES. وضعیت هر رویداد قابل‌توجهی در Splunk ES و ناهنجاری‌ها و تهدیدات در Splunk UBA که بین سیستم‌ها به اشتراک گذاشته می‌شوند، برای ارائه یکپارچگی و تداوم در تحقیقات شما هماهنگ شده‌اند. این ادغام به Splunk Add-On برای Splunk UBA نیاز دارد.

در صورت تمایل به مشاهده و استعلام قیمت انواع لایسنس اسپلانک به صفحه مرتبط به آن مراجعه کنید.

معماری استقرار UBA Splunk

برای مقیاس بندی Splunk User Behavior Analytics (UBA) در یک استقرار توزیع شده، وظایف خاصی به هر سرور فیزیکی یا گره در یک node اختصاص داده می شود. سپس هر node خدمات خاصی را برای پشتیبانی از آن وظیفه نصب کرده است. خدمات خاص نصب شده در هر گره می تواند بسته به اندازه node شما متفاوت باشد. به عنوان مثال، در یک استقرار 7 گره، سرویس های Spark فقط بر روی node 7 نصب می شوند، در حالی که سرویس های Hadoop بر روی همه گره ها به جز node 3 نصب می شوند.

در استقرار تک نود، تمام خدمات ارائه شده توسط سرورهای جریانی و دسته ای در یک گره وجود دارند.

مقیاس بندی استقرار Splunk UBA

Splunk User Behavior Analytics (UBA) را در معماری استقرار تک سرور یا distributed deployment  نصب کنید. یک استقرار distributed deploymentبه شما کمک می کند تا نصب Splunk UBA خود را به صورت افقی با streaming and batch servers. مقیاس کنید.

Node  ها در یک استقرار Splunk UBA توزیع شده، تعداد زیادی محاسبات را در بین آنها انجام می دهند و به اتصالات شبکه سریع نیاز دارند. به همین دلیل، Splunk UBA را در مکان های جغرافیایی مختلف مستقر نکنید. اگر چندین سایت دارید، یک کلاستر تکراری Splunk UBA را به عنوان یک سیستم آماده به کار گرم پیکربندی کنید

کلاستر چه اندازه ای نیاز دارم؟

از پارامترهای زیر استفاده کنید تا شما را در اندازه‌گیری صحیح استقرار Splunk UBA راهنمایی کنید. فراتر از محدودیت ها تأثیر منفی بر عملکرد خواهد داشت و می تواند منجر به حذف و پردازش نشدن events شود.

  • ظرفیت حداکثر event در ثانیه، اوج نرخ eventهای پردازش شده توسط Splunk UBA هنگام دریافت داده‌ها از Splunk Enterprise را نشان می‌دهد.
  • حداکثر تعداد حساب ها نشان دهنده تعداد کل حساب های نظارت شده توسط Splunk UBA است، مانند حساب های کاربر، admin، سیستم یا خدمات.
  • حداکثر تعداد دستگاه ها نشان دهنده تعداد کل دستگاه هایی است که توسط Splunk UBA نظارت می شوند.
  • حداکثر تعداد منابع داده، تعداد کل اتصال دهنده های منبع داده را نشان می دهد که در Splunk UBA برای دریافت داده ها از Splunk Enterprise پیکربندی شده اند.

ما در مقاله اسپلانک UBA چیست؟ سعی کردیم هر آنچه نیاز بود را توضیح دهیم در صورتی که شما هم تجربه ای در این زمینه دارید در قسمت نظرات با پایه ریزان فناوری هوشمند به اشتراک بگذارید.

Size of cluster Max events per second capacity Max Number of accounts Max Number of devices Max number of data sources
1 Node 4K up to 50K up to 100K 6
3 Nodes 12K up to 50K up to 200K 10
5 Nodes 20K up to 200K up to 300K 12
7 Nodes 28K up to 350K up to 500K 24
10 Nodes 40K-45K up to 350K up to 500K 32
20 Nodes – Classic 75K-80K up to 750K up to 1 Million 64
20 Nodes – XL 160K up to 750K up to 1 Million 64

تماس-پایه ریزان

در صورت تمایل به مشاوره رایگان و استفاده از خدمات پایه ریزان فناوری هوشمند می توانید با کارشناسان مجرب ما تماس بگیرید و محصول مورد نیاز خود را با قیمت رقابتی و ضمانت شرکتی دریافت کنید ضمن این که تیم متخصص پایه ریزان با پشتیبانی قوی در کنار شما خواهد بود.

جهت مشاوره رایگان با شماره های زیر تماس بگیرید.

02188546549

02188742123

info@pfh.co.ir

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

سه × سه =