آشنایی با سرویس Splunk یا نرم افزار اسپلانک
اگر شما جز متخصصین شبکه و امنیت باشید مطمئنا نام سرویس Splunk یا نرم افزار اسپلانک به گوش شما خورده است اما اسپلانک واقعا چیست و چه تمایزی با محصولات رقیب دارد؟
شرکت اسپلانک در سال 2003 میلادی شروع به کار کرده و اولین تفاوت آن با سایر رقبا را میتوان تمرکز این شرکت صرفا روی تولید محصولات تخصصی Big Data و SIEM دانست که در هیچ زمینه دیگری فعالیتی ندارد. این شرکت دارای بیش از 2000 کارمند میباشد که تمامی آنها فقط در زمینه های یاد شده فعالیت میکنند و به همین سبب اسپلانک دارای بیشترین سهم از تعداد مشتریان در این بازار میباشد.

سرویس Splunk
درباره سرویس Splunk یا نرم افزار اسپلانک
از زمان تاسیس تا کنون، اسپلانک شرکتهای کوچک و استارآپهای بسیاری را خریداری و به مجموعه خود الحاق کرده است که این امر روز به روز اسپلانک را جامعتر و قدرتمند ساخته است. محصول اصلی تولیدی این شرکت با نام Splunk Enterprise شناخته میشود که تمامی محصولات دیگر این شرکت را میتوان مکمل زیر مجموعه Splunk Enterprise دانست. این محصول هسته هوشمند و قدرتمند شرکت اسپلانک برای Big Data و SIEM است که با نصب و افزودن چند صد افزونه رایگان و مختلف موجود، میتوان آنرا بسیار کارآمدتر و کاربردی تر ساخت.
Splunk Enterprise چیست و چه قابلیتهایی را به ارمغان می آورد؟
این نرم افزار را میتوان مشابه موتور جستجوی Google برای LogFile های تولیدی در یک شبکه از تجهیزات رایانهای و الکترونیکی دانست که هیچگونه وابستگی به نوع و فرمت این Log ها وجود ندارد و صرف متنی بودن آنها کفایت میکند تا بتوان آنها را به Splunk Enterprise وارد کرد. مثالهای مختلفی از منابع تولید این گزارشهای میتوان نام برد.
انواع گزارش های SPlunk :
گزارشهای ایجاد شده Splunk توسط تجهیزات امنیتی از قبیل IPS, Firewall, Anti-Virus
گزارشهای ایجاد شده Splunk توسط تجیزات زیرساخت از قبیل Switch, Router, Modem
گزارشهای ایجاد شده Splunk توسط نرم افزارهای داخلی از قبیل بانکداری، اتوماسیون، مالی، انبار
گزارشهای ایجاد شده Splunk توسط سرویسهای داخلی ار قبیل AD, DNS, IIS, Apache, DHCP
گزارشهای ایجاد شده Splunk توسط سیستم عاملهای مختلف از قبیل Windows, Linux, MacOS
گزارشهای ایجاد شده Splunk توسط تجهیزات هوشمند و همراه از قبیل گوشی و تبلت
گزارشهای ایجاد شده Splunk توسط تجهیزات الکترونیکی از قبیل دربهای برقی، آسانسور، حسگرها، کنترل تردد
درباره Splunk Enterprise
Splunk Enterprise تمام لاگهای تولید شده توسط موارد نام برده را یکجا دخیره و دسته بندی میکند و به ما این امکان را میدهد که بتوانیم ارتباط بین تغییرات و رخدادهای گوناگون در بخشهای مختلف را پیدا و برای اصلاح یا رفع آن اقدام نماییم.

درباره Splunk Enterprise
علاوه بر این میتوان با نصب و استفاده از افزونههای مختلف روی Splunk Enterprise که شرکت اسپلانک اکثر آنها را به صورت رایگان ارائه میدهد. از Splunk Enterprise به عنوان یک نرم افزار مانیتورینگ 360 استفاده کرد بدون نیاز به افزودن SNMP یا موارد دیگری که سایر محصولات مشابه نیاز دارند در ادامه به معرفی برخی از پرکاربردترین این افزونهها میپردازیم:
معرفی افزونه های Splunk
Cisco Security Suite App در Splunk
افزونه بسیار کاربردی و مفید برای مانیتوریگ تمامی محصولات امنیتی سیسکو از قبیل ASA, IPS, FirePower, FWSM, ASAM, ISE, ACS, WSA, ESA به صورت یکپارچه و و آنلاین.

معرفی افزونه های Splunk
Cisco Networks App در Splunk
یکی ار محبوبترین افزونههای موجود که میتوان از آن برای مانیتوریگ تمامی تجهیزات زیرساختی سیسکو از Catalyst, Nexus, ISR , ISR G2, ASR , CSR به صورت یکپارچه و و آنلاین استفاده کرد.
Microsoft Windows App در Splunk
افزونه ای برای مانیتورینگ وضعیت و صحت عملکرد تمامی سیستم عاملهای مایکروسافتی.
Stream App در Splunk
افرونهای بسیار کاربردی برای Capture و تحلیل لحظهای ترافیک عبوری از یک لینک یا پورت مورد نظر
F5 Networks App در Splunk
افزونهای جهت مانیتورینگ تمامی تجهیزات ونرم افزارهای شرکت f5
Web Analytics App در Splunk
افرونهای کامل و کاربردی برای مانیتوریگ وضعیتها وبسایت
Windows Security Operation Center App در Splunk
افزونهای برای بررسی و تحلیل رخدادهای امنیتی در شبکههای ماکروسافتی و سرویسهای وابسته از قبیل AD, NTLM, DNS, DHCP

بررسی و تحلیل رخدادهای امنیتی
در مجموع میتوان گفت حدود هزار افزونه مختلف و رایگان مشابه مواردی که نامبرده شد توسط شرکت اسپلانک ارائه شده که تقریبا تمامی برندهای معروف از قبیل Juniper, Fortinet, Citrix, Redhat و … را در بر میگیرد. همچنین شرکت اسپلانک تعداد محدودی افرونه غیر رایگان نیر ارائه میدهد که مشتریان بنا به نیاز خود با پرداخت مبالغ مشخص میتوانند این افرونه ها را به صورت مدت دار یا نامحدود استفاده نمایند، لیست افزونههای یاد شده به شرح ذیل میباشد:
پیاده سازی سرویس Splunk در بحث SIEM
اصلیترین افزونه اسپلانک که با استفاده از آن میتوان Splunk Enterprise را به یکی از قدرتمندترین SIEM های دنیا تبدیل کرد. این افزونه لاگهای ایجاد شده از تمامی تجهیزات و نرم افزارهای امنیتی موجود از لبه بیرونی شبکه گرفته تا سیستم کاربران را به صورت یکجا جمع آوری ، تحلیل و گزارش میدهد. این افزونه تیم های امنیتی را قادر میسازد تا به سرعت تمامی حملات شناخته شده و حتی شناخته نشده داخلی و خارجی را تشخیص و اقدامات لازم را انجام دهند. لازم به ذکر است هیچگونه محدودیتی در زمینه برند و مدل تجهیزات امنیتی مورد استفاده وجود ندارد و این افزونه قابلیت همخوانی با تمامی تجهیزات امنیتی را داراست.

Splunk در بحث SIEM
برخی از امکانات ارائه شده توسط این افزونه به شرح ذیل است:
- مانیتورینگ لحظهای و دوره ای وضعیت امنیتی شبکه و رخدادهای امنیتی بر اساس الویتهای دلخواه و سفارشی سازی شده
- اولیت بندی رخدادها و تعریف عکس العملهای متناسب با هر رخداد
- تعریف Search های مختلف و دلخواه روی لاگهای موجود به منظور یافتن رفتارهای غیر عادی در شبکه
- تعریف آنالیزهای پویا و به روز به منظور یافتن فعالیتهای مخرب در شبکه به صورت خودکار
استفاده Splunk در مانیتورینگ شبکه :
نسل جدید مانیتورینگ و آنالیز شبکه به منظور دریافت اطلاعات دقیق و کابردی از وضعیت عملکرد و کارایی شبکه. برخی از قابلیتهای این افزونه به شرح ذیل است:
- ارائه مانیتورینگ مرکزی، یکپارچه و هوشمند از تمامی اجزای مختلف شبکه
- همسان سازی سرویسهای مختلف با رویدادهای مختلف از طریق فناوری قدرتمند KPI
- آنالیز رفتار شبکه و دیتای موجود به منظور یافتن رفتارهای غیر استاندارد و پیدا کردن علت این رفتار
- قابلیت بررسی دقیق و جزئی دیتا مورد نظر به منظور یافتن علت رخدادهای مختلف

Splunk در مانیتورینگ شبکه
نقش Splunk در شناسایی ویروس ها
با استفاده از این افزونه و با کمک حجم عظیمی از اطلاعات و گزارشهای کاربردی تیم های امنیتی قادر خواهند بود تهدیدات و حملات داخلی را به راحتی شناسایی و ردیابی کنند.
برخی از قابلیتهای این افوزنه به شرح ذیل است:
- شناسایی آلودگیهای ویروسی و تهدیدات داحلی بدون استفاده از Signiture, Rule, Policy و آنالیزهای انسانی
- بهبود فرآیند شناسایی تهدید و عکس العمل به کمک سنسورهای پیشرفته و کارآمد
- ارائه گزارهاش مفید و کاربردی به صورت خلاصه یا زنجیره ای به منظور افزایش کارایی بخش SOC
- قابلیت یکپارچه سازی با Enterprise Security و IT Service Intelligent به منظور دستیابی به بهترین و کاملترین حالت عملکرد

نقش Splunk در شناسایی ویروس ها
شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای Splunk را دارد، همچین قوی ترین ارائه دهنده لایسنس اسپلانک میباشد.
بسیار مطلب خوبی هستش
خوشحالیم که مورد مقبول بوده