SPLUNK نرم‌افزاری به عنوان SIME (مدیریت امنیت اطلاعات و وقایع)

موقعیت امنیتی خود را با استفاده از Splunk  به عنوان SIME خود افزایش دهید.

نکات برجسته:

• امکان بکارگیری نرم افزار Splunk در راه‌اندازی مرکز عملیات امنیت (SOC) در هر اندازه (بزرگ، متوسط، کوچک)
• پشتیبانی از محدوده کامل عملیات امنیت اطلاعات – شامل ارزیابی وضعیت، نظارت، هشدار و مدیریت حادثه، CSIRT، تحلیل نقض و واکنش و همبستگی رخدادها
• پشتیبانی خارج از چارچوب معمول از SIEM و موارد کاربرد امنیتی
• شناسایی تهدیدات آشنا و ناشناخته، بررسی تهدیدات، تعیین تطبیق و استفاده از تحلیل امنیتی پیشرفته برای دستیابی به بینش دقیق
• پلت‌فرم هوشمند امنیتی مبتنی بر داده‌ با یکپارچگی اثبات شده
• استفاده از جستجوی‌ های ادهاک برای تحلیل نقض پیشرفته
• درون‌سازمانی، اَبر و گزینه‌های نصب و راه‌اندازی ابری و درون‌سازمانی

امروزه تشخیص زود هنگام، واکنش سریع، مشارکت در کاهش تهدیدات پیشرفته موجب تحمیل مطالبات قابل‌ توجهی به تیم‌های امنیت سازمانی می‌شود. سیاهه‌ های گزارشی و نظارتی و رویدادهای امنیتی دیگر کافی نیست. متخصصان امنیتی به اطلاعات گسترده‌تری از تمام منابع داده‌ای تولید شده در مقیاس بزرگ درکل سازمان از جمله فناوری اطلاعات، کسب و کار و اَبر نیاز دارند. شرکت‌ها برای جلوگیری از حملات خارجی و خودی‌ های مخرب، نیازمند یک راه‌حل امنیتی پیشرفته هستند که می‌توان از آن در تشخیص سریع واکنش، بررسی حادثه و هماهنگی سناریوهای شکست CSIRT استفاده نمود. همچنین، شرکت‌ ها باید دارای قابلیت شناسایی و پاسخ به تهدیدات آشنا، ناشناخته و پیشرفته باشند.

معیارهای جدید برای SIME امروزی

تیم‌های امنیت سازمانی باید از راه‌حل SIEM استفاده کنند که نه تنها در موارد کاربرد امنیتی رایج بلکه در موارد کاربردی پیشرفته نیز پاسخگوست. انتظار می‌رود که SIEMهای مدرن برای همگام بودن با چشم‌انداز تهدیدات پویا، قادر به انجام موارد زیر باشند:

• متمرکز و متراکم کردن همه رخدادهای مربوط به امنیت، همانطور که از منبع خود ایجاد شده‌اند.
• پشتیبانی از انواع مکانیسم‌های پذیرش و جمع‌آوری از جمله syslog، انتقال فایل، مجموعه فایل‌ها، و غیره
• افزودن زمینه وهوش تهدیدات به رخدادهای امنیتی
• همگام‌سازی و هشداردهی در سراسر محدوده‌ی داده‌ها
• شناسایی تهدیدات پیشرفته و ناشناخته
• نمایش رفتار در کل سازمان
• جذب همه داده‌ها (کاربران، برنامه‌ها) و در دسترس قرار دادن آنها برای استفاده ، نظارت، هشدار، تحقیق، جستجو ادهاک
• فراهم‌سازی جستجوی ادهاک و گزارش‌دهی از تحلیل نقض پیشرفته
• بررسی حوادث و انجام تحقیقات قانونی به منظور تحلیل دقیق حوادث
• ارزیابی و ارائه گزارش از وضعیت تطابق
• استفاده از تحلیل‌ها و گزارش‌های مربوط به وضعیت امنیتی
• پیگیری اقدامات مهاجمان از طریق تحلیل‌های ساده ادهاک و توالی رخدادها

اکنون، تمام داده‌ها مربوط به امنیت هستند.

شواهدی از حمله و همچنین عملیات آن، در داده‌ های ماشینی سازمان وجود دارد. تمام داده‌ها، از جمله داده‌های امنیتی بدست آمده از محصولات امنیتی سنتی، مانند فایروال، IDS یا ضد بدافزار برای بررسی حوادث امنیتی و شناسایی تهدیدها توسط تیم‌های امنیتی باید در SIEM قرار داده شوند. غالباً داده‌های مورد نیاز برای این‌که سازمان‌ها از وضعیت امنیتی کامل خود به وضعیت بلادرنگ دست یابند، از بین می‌ روند.

فعالیت‌های این تهدیدات پیشرفته غالباً تنها شامل داده‌های غیر امنیتی مانند پرونده‌های سیستم عامل، سیستم‌های دایرکتوری مانند LDAP / AD، اطلاعات نشانه، DNS، و ایمیل و وب‌ سرورها می‌باشد.

برای کمک هنگام واکنش به حادثه و تشخیص نقض ضروری است که داده‌های ماشینی غالباً با مفهوم تهدید داخلی و خارجی مانند محتوای هوش تهدیدات و سایر اطلاعات متنی کامل گردند.

همگام بودن با حجم و مقیاس داده

مقدار و نوع داده‌های موردنیاز برای ایجاد موثرترین تصمیمات امنیتی داده محور به راه‌حلی نیاز دارد که برای نمایش صدها ترابایت داده در هر روز بدون نرمال‌سازی در زمان جمع‌آوری، مقیاس‌بندی شده و تنها در زمان جستجو (پرس‌ و جو)، طرحی را بر روی این داده‌ها اعمال نماید.

تشخیص ناهنجاری و داده‌های پرت

در کشف تهدیدات پیشرفته، تمام داده‌های غیرامنیتی و امنیتی باید در یک انباره (مخزن) منفرد ذخیره شوند. با این امر، حجم عظیمی از داده‌ها نمایش داده شده و مخزنی برای کاربر عادی و فعالیت ترافیکی پایه فراهم می‌گردد. با استفاده از این خط مبنا، تحلیل می‌تواند ناهنجاری‌ها و داده‌های پرتی را که ممکن است تهدیدات پیشرفته به شمار روند، بیابد. آمار با جستجوی رویدادهایی که انحراف معیار میانگین هستند، می‌تواند در این شناسایی مفید واقع گردد. همبستگی‌ها نیز با شناسایی ترکیبی از رویدادهایی که به ندرت مشاهده شده و مشکوک هستند، می‌توانند کمک نمایند.

رویکرد جدیدی به سوی SIME

ممکن است بسیاری از SIEMها علیرغم ادعای برآورده‌ سازی معیارهای جدید، برای سازمان شما مناسب نباشند. لیستی از توانایی‌ های کلیدی که باید هنگام ارزیابی یک SIEM جدید یا ارزیابی مجدد SIEM قدیمی در برابر شرایط جدید در نظر گرفته شوند، در جدول زیر ارائه شده‌اند:

انعطاف‌پذیری و ساختار این پلت‌ فرم نقش مهمی در تعیین این‌که آیا SIEM برای برآورده شدن نیازهای مقیاس‌ پذیری، قابل مقیاس‌ بندی است یا خیر، برعهده دارد. این امر که نرم افزار SIEM می‌تواند به سرعت همه داده‌های اولیه و خام از هر منبع را در حجم‌های گسترده داده‌ای فهرست‌ بندی نماید، حایز اهمیت است. مقیاس‌ پذیری در چندین صدها ترابایت داده‌ایی که روزانه به صورت فهرست ارائه می‌شوند، یکی دیگر از معیارهای کلیدی محسوب می‌گردد.

مقیاس‌‌گذاری افقی با استفاده از سخت افزارهای متداول (موجود در بازار)، انعطاف‌پذیری را فراهم نموده و مقیاس‌پذیری را محاسبه می‌کند که تجهیزات گران‌ قیمت فیزیکی قادر به برآورده‌سازی آن‌ها نیستند.

بکارگیری فهرست‌بندی توزیعی و تکنولوژی جستجو بر مبنای جستجوهای سریع، گزارش‌دهی و تحلیل، امکان تبدیل سریع نتایج به محدوده‌ی گسترده‌ای از گزارش‌های تعاملی و تصویرسازی را میسر می‌سازد.

Splunk به عنوان SIME شما

راه‌حل های امنیتی Splunk نه تنها معیارهای جدید SIEM امروزی را برآورده می‌سازنند، بلکه قابلیت‌های تحلیل امنیتی را نیز میسر ساخته و با ارائه مفهومی باارزش و بینشی بصری در تصمیم‌گیری امنیتی سریع و دقیق‌تر تیم‌های امنیتی، مثمر ثمر واقع می‌شوند.

Splunk گزینه‌های متعددی را برای شرکت‌هایی که به دنبال گسترش SIEM اولیه خود یا تغییر SIEM قدیمی خود هستند، ارائه نموده و انتخاب گزینه‌های استقرار درون سازمانی، ابری یا ترکیبی را پیشنهاد می‌کند.

مشتریان قادرند با استفاده از Splunk Enterprise یا Splunk Cloud،موارد کاربردی SIEM پایه خود را برطرف سازند. Splunk Enterprise و Splunk Cloud پلت‌ فرم‌های اصلی Splunk هستند که جمع‌آوری، نمایه‌سازی، جستجو و ارائه گزارش را ممکن می‌سازنند. بسیاری از مشتریان امنیتی Splunk از Splunk Enterprise یا Splunk Cloud در ایجاد جستجوی زمان واقعی خود و داشبوردهایی برای تجربه SIEM پایه، استفاده می‌کنند.

بهترین راه‌حل ارائه شده توسط Splunk، یعنیSplunk Enterprise Security)   Splunk ES) از موارد کاربردی SIEM پیشرفته را همراه با داشبورد آماده استفاده، جستجوها و گزارش‌های همبسته پشتیبانی می‌کند. Splunk ES درSplunk Enterprise ، Splunk Cloud یا هر دو قابل اجراست. Splunk ES علاوه بر قوانین همبستگی و هشدارهای از پیش تعیین شده، شامل بازنگری حادثه، قابلیت کارکرد وهوش تهدیدات شخص ثالث است که برای تحقیقات شما مفیدند.

علاوه بر این، بیش از ۳۰۰ برنامه کاربردی امنیتی در Splunkbase با قابلیت جستجوهای از پیش تعریف شده، گزارش‌گیری و تصویرسازی برای فروشنده‌های برنامه‌های امنیتی شخص ثالث وجود دارد. این برنامه‌ها، کاربردها و افزونه‌های آماده برای استفاده، ارائه‌کننده قابلیت‌های مختلفی از نظارت امنیتی، فایروال نسل بعدی، مدیریت تهدید پیشرفته و موارد دیگر به شمار می‌روند. این موارد موجب افزایش پوشش امنیتی می‌شود و توسط Splunk، شرکای Splunk و سایر تامین‌کنندگان برنامه شخص ثالث ارائه می‌گردد.

چندین راه برای تغییر SIEMهای قدیمی و یا پیچیده به Splunk وجود دارد. لطفا برای کسب اطلاعات بیشتر با بخش فروش Splunk تماس بگیرید. Splunk دارای منابع فنی، از جمله متخصصان امنیتی متعهدند که می‌توانند برای تعیین بهترین مسیر جایگزینی با شما همکاری کنند.

بیش از ۲۰۰۰ مشتری از نرم افزار Splunk برای SIEM و موارد پیشرفته استفاده امنیتی استفاده می کنند. Splunk تاکنون برنده جایزه‌های متعدد صنعتی مانند قرار گرفتن در بخش رهبران رده‌بندی چهارگوش جادویی اطلاعات امنیت و مدیریت رویداد (SIME) گارتنر در ۲۰۱۵ شده است.

Splunk را به صورت رایگان دانلود کنید و یا از سند باکس آنلاین مورد پیگیری قرار دهید. Splunk چه به صورت ابری، درون‌سازمانی یا برای تیم‌های بزرگ یا کوچک دارای یک مدل استقرار است که با نیازهای شما متناسب خواهد بود.