برسی دقیق افزونه Splunk Enterprise Security
افزونه Splunk Enterprise Security یا به اختصار Splunk ES میتواند به عنوان یک راهکار امنیتی مطلوب به صورت On-Premise ،Public Cloud ،Private Cloud ،SaaS یا هر ترکیبی از آنها باشد. همچنین این تکنولوژی را میتوان به صورت نرمافزار همراه با Splunk Enterprise یا به عنوان سرویس Cloud همراه با Splunk Cloud استفاده نمود. در ادامه توانایی های Splunk ES به اختصار ذکر می گردد:
- مانیتورینگ مستمر در جهت واکنش نسبت به رویدادها
- ایجاد یک مرکز عملیات امنیت (SOC)
- شناسایی سریع حملات داخلی و خارجی و واکنش مقتضی
- تسهیل مدیریت تهدید
- کاهش ریسک و افزایش محافظت از کسب و کار
- امکان استفاده از تمام داده ها برای تیم امنیتی در تمام سطوح سازمان
- ارائه قابلیت های جدید برای مدیریت Alert ها، قدرت کشف و شناسایی پویا، جستجوهای زمینهای و همچنین شناسایی و تحلیل سریع تهدیدهای پیشرفته
- ارائه انعطاف پذیری در سفارشی سازی در جهت بهبود عملکردهایی شامل جستجوها، هشدارها، گزارشات و داشبوردها مطابق با نیازهای خاص؛ برای انجام مانیتورینگ مستمر، پاسخگویی به رویدادها، مرکز عملیات امنیتی (SOC)
- ایجاد امنیت مبتنی بر تجزیه و تحلیل و مانیتورینگ مستمر برای تهدید ها
- بهینه سازی عملیاتهای امنیتی با زمان پاسخگویی کوتاه تر
- بهبود وضعیت امنیت با ایجاد دید End – to – End نسبت به تمامی اطلاعات دستگاهها
- افزایش قابلیت های بررسی و شناسایی با هدف شناسایی ناهنجاریها و تهدیدها
- اتخاذ تصمیمات آگاهانه تر نسبت به تهدیدات
روشهای مختلفی برای ورود اطلاعات وجود دارد که به شرح زیر معرفی میگردند:
- بارگذاری فایلها درفرمتهای ساخت یافتهای مانند CSV و فایلهای ثبت وقایع محلی.
- دریافت خودکار دادهها از مسیری مشخص، Syslog ، Script ، WMI و …
- دریافت داده از ارسال کننده Splunk
شاخص بندی دادهها در Splunk
همچنین با توجه به هوشمندی Splunk، امکان شاخصبندی دادههای متعارف شامل موارد زیر قابل انجام میباشد:
-
- دادههای ساخت یافته، مانند CSV , JSON, XML
- فایلهای رویداد و ثبت وقایع محصولات مایکروسافت مانند Active Directory، Exchange …
- رویدادهای قابل ارسال از طریق Syslog (جمع آوری رویدادها از تجهیزاتی مانند سوئیچهای سیسکو)
- رویدادهای ایجاد شده توسط سرویس دهندههای وب مانند Apache و IIS
- سرویس دهندههای بانکهای اطلاعاتی، Oracle, MS SQL Server, My SQL
افزونه افزونه Splunk ES
شرکت اسپلانک علاوه بر افزونههای رایگان متعدد، تعداد محدودی افرونه غیر رایگان نیز ارائه میدهد که مشتریان بنا به نیاز خود با پرداخت مبالغ مشخص میتوانند این افرونهها را به صورت مدتدار یا نامحدود استفاده نمایند، یکی از این افزونههای یاد شده افزونه Splunk Enterprise Security میباشد.
قابلیتهای افزونه Splunk Enterprise Security
در یک نگاه:
- امکان تجمیع، تحلیل و گزارشها از لاگهای ایجاد شده
- امکان تشخیص و اقدام لازم برای تیمهای امنیتی در زمان به حملات شناخته شده و حتی شناخته نشده داخلی و خارجی
- قابلیت همخوانی با تمامی تجهیزات امنیتی
- مانیتورینگ لحظه های و دورهای وضعیت امنیتی شبکه و رخدادهای امنیتی بر اساس الویتهای دلخواه
- اولیت بندی رخدادها و تعریف عکس العملهای متناسب با هر رخداد
- تعریف Search های دلخواه روی لاگهای موجود به منظور یافتن رفتارهای غیر عادی در شبکه
- تعریف آنالیزهای پویا و به روز به منظور یافتن فعالیتهای مخرب در شبکه به صورت خودکار
افزونه Splunk Enterprise Security
بیگ دیتا (Big Data)
بیگ دیتا از نظر لغوی بهمعنای «داده بزرگ» است و اصطلاحی رایج است که رشد و در دسترس بودن داده، چه ساختارمند و چه غیرساختارمند، را توصیف میکند. با تجزیه و تحلیل آن میتوان، «الگوهای پنهان» و «همبستگیهای ناشناخته» و سایر اطلاعات مفید را استخراج کرد. در بیگ دیتا عموماً با دادههایی سر و کار داریم که حجم آنها بیشتر از ظرفیت نرمافزارهای عادی است بنابراین در این پروسه، حجم عظیمی از اطلاعات تفکیک نشده و ساختار نیافته در اختیار قرار میگیرد که ساختار بندی و کشف الگوها، کاری دشوار محسوب میشود.
دلایل اهمیت بیگ دیتا (Big Data)
- تعیین علتهای اصلی شکستها، مسائل و نقوص در لحظه و صرفه جویی میلیاردها دلار
- بهینه سازی مسیر وسیله های حمل بسته های تحویلی که هنوز در جاده هستند
- محاسبه مجدد ریسکها در مدت زمان کوتاه
- شناسایی سریع مشتریان دارای بالاترین درجه از اهمیت
Splunk و ارتقا SIEM
نرم افزار Splunk از قابلیتهای عملکردی SIEM نیز فراتر رفته است و امکانات و تواناییهایی افزون بر SIEM دارد که در ادامه به آنها اشاره خواهد شد:
- Splunk دارای پلتفرم هوش امنیتی کاملاً یکپارچه و مبتنی بر Big Data نسبت به SIEM است.
- Splunk قابلیت تجزیه و تحلیل هوشمند حجم انبوهی از دادههای نرمال و قابل اطمینان نسبت به SIEM دارد.
-
- ارزیابی وضعیت امنیت، مانیتورینگ، کنترل رویداد و هشدار
- تحلیل و بررسی نقض دادهها
- پاسخگویی به تهدیدات پیشرو
- همبستگیهای بین رویدادها
- جستجوهای زمینهای
- تحلیل و شناسایی سریع تهدیدات پیشرفته
- سادهسازی روند مدیریت تهدیدات
- کاهش ریسکها و حفظ امنیت کسب وکار
راهکارهای مختلف نرمافزار Splunk در تکمیل پیادهسازیهای فعلی SIEM
| راهکارهای پیادهسازی | سناریو 1 | سناریو 2 | سناریو 3 |
| یکپارچهسازی | — | Splunk Feeds SIEM | SIEM Feeds Splunk |
| Logging | Splunk & SIEM | Splunk | SIEM |
| بررسی Forensics | Splunk | Splunk | Splunk |
| همبستگی / اعلام هشدار/گزارش گیری | SIEM | SIEM | Splunk |
| انطباق | SIEM | Splunk | Splunk |
| سایر نکات | منابع داده مختلف برای Splunk و SIEM | Splunk صرفاً زیر مجموعه های داده های خام را به SIEM ارسال مینماید. | در ابتدا کانکتورهای SIEM روی تعداد زیادی Host قرار دارند که جایگزینی آن را مشکل میکند. |
کاربرد Splunk با اهداف مختلف در راهاندازی SIEM
- دستیابی به SIEM در سطح پایه با Splunk Enterprise و Splunk Cloud
- دستیابی به SIEM پیشرفته با افزونه Splunk Enterprise Security
- وجود بیش از 300 برنامه امنیتی ، افزونه و امکانات دیگر در Splunk با قابلیتهایی نظیر جستجوهای از پیش تعریف شده، گزارشگیری و تصویرسازی، مانیتور کردن امنیت، فایروالهای نسل بعدی (Next-Generation Firewall)، مدیریت تهدیدات پیشرفته و ….
نتیجه گیری
با توجه به مطالبی که ذکر شد، SIEM یک فناوری جدیدی است که برای امنیت سازمانها به کار میرود تا بتوان به وسیله آن از حملات هکرها و بدافزارهای مخرب جلوگیری کرد. هدف اصلی SIEM متمرکز کردن Log ها، گزارشگیری و مدیریت آنها میباشد. امروزه شرکتهای بسیاری این محصول را در معماریهای مختلف ارائه میدهند که یکی از برترین این شرکت ها در زمینه SIEM شرکت SPLUNK است.
شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکار Splunk را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید
