رای بدهید

برسی دقیق افزونه Splunk Enterprise Security

افزونه Splunk Enterprise Security یا به اختصار Splunk ES می‌تواند به عنوان یک راهکار امنیتی مطلوب به صورت On-Premise ،Public Cloud ،Private Cloud ،SaaS یا هر ترکیبی از آنها باشد. همچنین این تکنولوژی را می‌توان به صورت نرم‌افزار همراه با Splunk Enterprise یا به عنوان سرویس Cloud همراه با Splunk Cloud استفاده نمود. در ادامه توانایی های Splunk ES به اختصار ذکر می گردد:

مانیتورینگ مستمر در جهت واکنش نسبت به رویدادها
ایجاد یک مرکز عملیات امنیت (SOC)
شناسایی سریع حملات داخلی و خارجی و واکنش مقتضی
تسهیل مدیریت تهدید
کاهش ریسک و افزایش محافظت از کسب‌ و کار
امکان استفاده از تمام داده ها برای تیم امنیتی در تمام سطوح سازمان
ارائه قابلیت‌ های جدید برای مدیریت Alert ها، قدرت کشف و شناسایی پویا، جستجوهای زمینه‌ای و همچنین شناسایی و تحلیل سریع تهدیدهای پیشرفته
ارائه انعطاف‌ پذیری در سفارشی‌ سازی در جهت بهبود عملکردهایی شامل جستجوها، هشدارها، گزارشات و داشبوردها مطابق با نیازهای خاص؛ برای انجام مانیتورینگ مستمر، پاسخ‌گویی به رویدادها، مرکز عملیات امنیتی (SOC)
ایجاد امنیت مبتنی بر تجزیه و تحلیل و مانیتورینگ مستمر برای تهدید ها
بهینه‌ سازی عملیات‌‌های امنیتی با زمان پاسخ‌گویی کوتاه‌ تر
بهبود وضعیت امنیت با ایجاد دید End – to – End نسبت به تمامی اطلاعات دستگاه‌ها
افزایش قابلیت‌ های بررسی و شناسایی با هدف شناسایی ناهنجاری‌ها و تهدیدها
اتخاذ تصمیمات آگاهانه‌ تر نسبت به تهدیدات

روش‌های مختلفی برای ورود اطلاعات وجود دارد که به شرح زیر معرفی میگردند:

بارگذاری فایل‌ها درفرمت‌های ساخت یافته‌ای مانند CSV و فایل‌های ثبت وقایع محلی.
دریافت خودکار داده‌ها از مسیری مشخص، Syslog ، Script ، WMI و …
دریافت داده از ارسال کننده Splunk

شاخص بندی داده‌ها در Splunk

همچنین با توجه به هوشمندی Splunk، امکان شاخص‌بندی داده‌های متعارف شامل موارد زیر قابل انجام می‌باشد:

- داده‌های ساخت یافته، مانند CSV , JSON, XML
- فایل‌های رویداد و ثبت وقایع محصولات مایکروسافت مانند Active Directory، Exchange …
- رویدادهای قابل ارسال از طریق Syslog (جمع آوری رویدادها از تجهیزاتی مانند سوئیچ‌های سیسکو)
- رویدادهای ایجاد شده توسط سرویس دهنده‌های وب مانند Apache و IIS
- سرویس دهنده‌های بانک‌های اطلاعاتی، Oracle, MS SQL Server, My SQL

افزونه افزونه Splunk ES

شرکت اسپلانک علاوه بر افزونه‌های رایگان متعدد، تعداد محدودی افرونه غیر رایگان نیز ارائه می‌دهد که مشتریان بنا به نیاز خود با پرداخت مبالغ مشخص می‌توانند این افرونه‌ها را به صورت مدتدار یا نامحدود استفاده نمایند، یکی از این افزونه‌های یاد شده افزونه Splunk Enterprise Security می‌باشد.

قابلیت‌های افزونه Splunk Enterprise Security

در یک نگاه:

امکان تجمیع، تحلیل و گزارش‌ها از لاگ‌های ایجاد شده
امکان تشخیص و اقدام لازم برای تیم‌های امنیتی در زمان به حملات شناخته شده و حتی شناخته نشده داخلی و خارجی
قابلیت همخوانی با تمامی تجهیزات امنیتی
مانیتورینگ لحظه های و دورهای وضعیت امنیتی شبکه و رخدادهای امنیتی بر اساس الویت‌های دلخواه
اولیت بندی رخدادها و تعریف عکس العمل‌های متناسب با هر رخداد
تعریف Search های دلخواه روی لاگ‌های موجود به منظور یافتن رفتارهای غیر عادی در شبکه
تعریف آنالیزهای پویا و به روز به منظور یافتن فعالیت‌های مخرب در شبکه به صورت خودکار

افزونه Splunk Enterprise Security

بیگ دیتا (Big Data)

بیگ دیتا از نظر لغوی به‌معنای «داده بزرگ» است و اصطلاحی رایج است که رشد و در دسترس بودن داده، چه ساختارمند و چه غیرساختارمند، را توصیف میکند. با تجزیه و تحلیل آن می‌توان، «الگوهای پنهان» و «همبستگی‌های ناشناخته» و سایر اطلاعات مفید را استخراج کرد. در بیگ دیتا عموماً با داده‌هایی سر و کار داریم که حجم آن‌ها بیشتر از ظرفیت نرم‌افزارهای عادی است بنابراین در این پروسه، حجم عظیمی از اطلاعات تفکیک نشده و ساختار نیافته در اختیار قرار میگیرد که ساختار بندی و کشف الگوها، کاری دشوار محسوب می‌شود.

دلایل اهمیت بیگ دیتا (Big Data)

تعیین علت‌های اصلی شکست‌ها، مسائل و نقوص در لحظه و صرفه جویی میلیاردها دلار
بهینه سازی مسیر وسیله های حمل بسته های تحویلی که هنوز در جاده هستند
محاسبه مجدد ریسک‌ها در مدت زمان کوتاه
شناسایی سریع مشتریان دارای بالاترین درجه از اهمیت

Splunk و ارتقا SIEM

نرم افزار Splunk از قابلیت‌های عملکردی SIEM نیز فراتر رفته است و امکانات و توانایی‌هایی افزون بر SIEM دارد که در ادامه به آنها اشاره خواهد شد:

Splunk دارای پلتفرم هوش امنیتی کاملاً یکپارچه و مبتنی بر Big Data نسبت به SIEM است.
Splunk قابلیت تجزیه و تحلیل هوشمند حجم انبوهی از داده‌های نرمال و قابل اطمینان نسبت به SIEM دارد.

- ارزیابی وضعیت امنیت، مانیتورینگ، کنترل رویداد و هشدار
- تحلیل و بررسی نقض داده‌ها
- پاسخ‌گویی به تهدیدات پیشرو
- همبستگی‌های بین رویدادها
- جستجو‌های زمینه‌ای
- تحلیل و شناسایی سریع تهدیدات پیشرفته
- ساده‌سازی روند مدیریت تهدیدات
- کاهش ریسک‌ها و حفظ امنیت کسب‌ و‌کار

راهکارهای مختلف نرم‌افزار Splunk در تکمیل پیاده‌سازی‌های فعلی SIEM

راهکارهای پیادهسازی	سناریو 1	سناریو 2	سناریو 3
یکپارچهسازی	—	Splunk Feeds SIEM	SIEM Feeds Splunk
Logging	Splunk & SIEM	Splunk	SIEM
بررسی Forensics	Splunk	Splunk	Splunk
همبستگی / اعلام هشدار/گزارش گیری	SIEM	SIEM	Splunk
انطباق	SIEM	Splunk	Splunk
سایر نکات	منابع داده مختلف برای Splunk و SIEM	Splunk صرفاً زیر مجموعه های داده های خام را به SIEM ارسال مینماید.	در ابتدا کانکتورهای SIEM روی تعداد زیادی Host قرار دارند که جایگزینی آن را مشکل میکند.

کاربرد Splunk با اهداف مختلف در راه‌اندازی SIEM

دستیابی به SIEM در سطح پایه با Splunk Enterprise و Splunk Cloud
دستیابی به SIEM پیشرفته با افزونه Splunk Enterprise Security
وجود بیش از 300 برنامه امنیتی ، افزونه و امکانات دیگر در Splunk با قابلیت‌هایی نظیر جستجوهای از پیش‌ تعریف‌ شده، گزارش‌گیری و تصویرسازی، مانیتور کردن امنیت، فایروال‌‌های نسل بعدی (Next-Generation Firewall)، مدیریت تهدیدات پیشرفته و ….

نتیجه گیری

با توجه به مطالبی که ذکر شد، SIEM یک فناوری جدیدی است که برای امنیت سازمان‌ها به کار میرود تا بتوان به وسیله آن از حملات هکرها و بدافزارهای مخرب جلوگیری کرد. هدف اصلی SIEM متمرکز کردن Log ها، گزارشگیری و مدیریت آنها می‌باشد. امروزه شرکت‌های بسیاری این محصول را در معماری‌های مختلف ارائه میدهند که یکی از برترین این شرکت ها در زمینه SIEM شرکت SPLUNK است.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکار Splunk را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

افزونه Splunk Enterprise Security با 7 ویژگی کاربردی