
مدیریت امنیت اطلاعات و وقایع
SPLUNK نرمافزاری به عنوان SIME (مدیریت امنیت اطلاعات و وقایع)
موقعیت امنیتی خود را با استفاده از Splunk به عنوان SIME خود افزایش دهید.
نکات برجسته:
- امکان بکارگیری نرم افزار Splunk در راهاندازی مرکز عملیات امنیت (SOC) در هر اندازه (بزرگ، متوسط، کوچک)
- پشتیبانی از محدوده کامل عملیات امنیت اطلاعات – شامل ارزیابی وضعیت، نظارت، هشدار و مدیریت حادثه، CSIRT، تحلیل نقض و واکنش و همبستگی رخدادها
- پشتیبانی خارج از چارچوب معمول از SIEM و موارد کاربرد امنیتی
- شناسایی تهدیدات آشنا و ناشناخته، بررسی تهدیدات، تعیین تطبیق و استفاده از تحلیل امنیتی پیشرفته برای دستیابی به بینش دقیق
- پلتفرم هوشمند امنیتی مبتنی بر داده با یکپارچگی اثبات شده
- استفاده از جستجوی های ادهاک برای تحلیل نقض پیشرفته
- درونسازمانی، اَبر و گزینههای نصب و راهاندازی ابری و درونسازمانی
امروزه تشخیص زود هنگام، واکنش سریع، مشارکت در کاهش تهدیدات پیشرفته موجب تحمیل مطالبات قابل توجهی به تیمهای امنیت سازمانی میشود. سیاهه های گزارشی و نظارتی و رویدادهای امنیتی دیگر کافی نیست. متخصصان امنیتی به اطلاعات گستردهتری از تمام منابع دادهای تولید شده در مقیاس بزرگ درکل سازمان از جمله فناوری اطلاعات، کسب و کار و اَبر نیاز دارند. شرکتها برای جلوگیری از حملات خارجی و خودی های مخرب، نیازمند یک راهحل امنیتی پیشرفته هستند که میتوان از آن در تشخیص سریع واکنش، بررسی حادثه و هماهنگی سناریوهای شکست CSIRT استفاده نمود. همچنین، شرکت ها باید دارای قابلیت شناسایی و پاسخ به تهدیدات آشنا، ناشناخته و پیشرفته باشند.
معیارهای جدید برای SIME امروزی
تیمهای امنیت سازمانی باید از راهحل SIEM استفاده کنند که نه تنها در موارد کاربرد امنیتی رایج بلکه در موارد کاربردی پیشرفته نیز پاسخگوست. انتظار میرود که SIEMهای مدرن برای همگام بودن با چشمانداز تهدیدات پویا، قادر به انجام موارد زیر باشند:
- متمرکز و متراکم کردن همه رخدادهای مربوط به امنیت، همانطور که از منبع خود ایجاد شدهاند.
- پشتیبانی از انواع مکانیسمهای پذیرش و جمعآوری از جمله syslog، انتقال فایل، مجموعه فایلها، و غیره
- افزودن زمینه وهوش تهدیدات به رخدادهای امنیتی
- همگامسازی و هشداردهی در سراسر محدودهی دادهها
- شناسایی تهدیدات پیشرفته و ناشناخته
- نمایش رفتار در کل سازمان
- جذب همه دادهها (کاربران، برنامهها) و در دسترس قرار دادن آنها برای استفاده ، نظارت، هشدار، تحقیق، جستجو ادهاک
- فراهمسازی جستجوی ادهاک و گزارشدهی از تحلیل نقض پیشرفته
- بررسی حوادث و انجام تحقیقات قانونی به منظور تحلیل دقیق حوادث
- ارزیابی و ارائه گزارش از وضعیت تطابق
- استفاده از تحلیلها و گزارشهای مربوط به وضعیت امنیتی
- پیگیری اقدامات مهاجمان از طریق تحلیلهای ساده ادهاک و توالی رخدادها
اکنون، تمام دادهها مربوط به امنیت هستند.
شواهدی از حمله و همچنین عملیات آن، در داده های ماشینی سازمان وجود دارد. تمام دادهها، از جمله دادههای امنیتی بدست آمده از محصولات امنیتی سنتی، مانند فایروال، IDS یا ضد بدافزار برای بررسی حوادث امنیتی و شناسایی تهدیدها توسط تیمهای امنیتی باید در SIEM قرار داده شوند. غالباً دادههای مورد نیاز برای اینکه سازمانها از وضعیت امنیتی کامل خود به وضعیت بلادرنگ دست یابند، از بین می روند.
فعالیتهای این تهدیدات پیشرفته غالباً تنها شامل دادههای غیر امنیتی مانند پروندههای سیستم عامل، سیستمهای دایرکتوری مانند LDAP / AD، اطلاعات نشانه، DNS، و ایمیل و وب سرورها میباشد.
برای کمک هنگام واکنش به حادثه و تشخیص نقض ضروری است که دادههای ماشینی غالباً با مفهوم تهدید داخلی و خارجی مانند محتوای هوش تهدیدات و سایر اطلاعات متنی کامل گردند.
همگام بودن با حجم و مقیاس داده
مقدار و نوع دادههای موردنیاز برای ایجاد موثرترین تصمیمات امنیتی داده محور به راهحلی نیاز دارد که برای نمایش صدها ترابایت داده در هر روز بدون نرمالسازی در زمان جمعآوری، مقیاسبندی شده و تنها در زمان جستجو (پرس و جو)، طرحی را بر روی این دادهها اعمال نماید.
تشخیص ناهنجاری و دادههای پرت
در کشف تهدیدات پیشرفته، تمام دادههای غیرامنیتی و امنیتی باید در یک انباره (مخزن) منفرد ذخیره شوند. با این امر، حجم عظیمی از دادهها نمایش داده شده و مخزنی برای کاربر عادی و فعالیت ترافیکی پایه فراهم میگردد. با استفاده از این خط مبنا، تحلیل میتواند ناهنجاریها و دادههای پرتی را که ممکن است تهدیدات پیشرفته به شمار روند، بیابد. آمار با جستجوی رویدادهایی که انحراف معیار میانگین هستند، میتواند در این شناسایی مفید واقع گردد. همبستگیها نیز با شناسایی ترکیبی از رویدادهایی که به ندرت مشاهده شده و مشکوک هستند، میتوانند کمک نمایند.
رویکرد جدیدی به سوی SIME
ممکن است بسیاری از SIEMها علیرغم ادعای برآورده سازی معیارهای جدید، برای سازمان شما مناسب نباشند. لیستی از توانایی های کلیدی که باید هنگام ارزیابی یک SIEM جدید یا ارزیابی مجدد SIEM قدیمی در برابر شرایط جدید در نظر گرفته شوند، در جدول زیر ارائه شدهاند:
قابلیتهای کلیدی | مزیت |
پلت فرم منفرد | یک محصول برای نصب و مدیریت، که سادهسازی عملیات را برعهده دارد. |
نرمافزار | ارائه گزینههای سختافزاری مقیاسبندی مقرونبهصرفه میتواند منطبق بر الزامات باشد و در صورت نیاز گسترش یابد. هزینههای سختافزاری به حداقل میرسند زیرا میتوان از سختافزار متداول در بازار استفاده نمود. |
فهرستبندی هر داده با استفاده از انواع مکانیسمها | زمان سریع برای ارزشگذاری. مشتریان باید ارزش برحسب SIEM خود را در ساعت ها یا روزها درک نمایند. |
تعداد زیادی از منابع دادهای از پیش تعریف شده | وجود یک اکوسیستم همراه غنی، وابستگی به فروشنده SIEM و جمعکنندههای سفارشی را کاهش میدهد. |
ذخیرهسازی اطلاعات فایل یک سطحی که دسترسی به تمام مقادیر داده و زمینههای دادهای را بدون هیچ طرح یا نرمالسازی فراهم میسازد | میتوان تمام مقادیر و زمینهها از تمام منابع داده را به عنوان هشدار از پیش تعریفشده و یا برای بررسی ادهاک مورد جستجو، گزارشگیری و تطبیق قرار داد. تمام دادههای اصلی آن در مقایسه با SIEMهای قدیمی که برای آسانسازی باید فرمتهای مختلف مجازشان به “طبقه بندی” منفرد تبدیل شوند، حفظ شده و مقابل جستجو هستند. |
ذخیرهسازی داده های انفرادی با فهرستبندی توزیعی و انجام جستجو برای مقیاس و سرعت | مسائل مربوط به مقیاسپذیری و سرعت وجود ندارد |
جستجوی انعطافپذیر برای همبستگیهای اتوماتیک پایه و پیشرفته | قابلیت یافتن دادههای پرت و ناهنجاریها را افزایش میدهد |
تجسم دادهها و حوادث در فرمتها و تفسیرهای مختلف | توانایی استفاده، ایجاد و ویرایش جداول موجود، نمودارها یا نمودارهای پراکنده موجب میگردد تا انعطافپذیری بسیار مطلوبی برای محیطی با مشتری های مختلف فراهم شود. |
پشتیبانی خارج از چارچوب مرسوم و متداول از APIها و SDKها | رابط کاربری با برنامههای شخص ثالث برای گسترش قابلیت SIEM |
پشتیبانی از موارد کاربردی رایج IT مانند انطباق، کلاه برداری، تشخیص سرقت و سوء استفاده، عملیات IT، هوش خدماتی، تحویل برنامه کاربردی و تحلیل کسب و کار | از آنجاییکه عملیات تیمهای امنیتی با هماهنگی با سایر توابع IT صورت میپذیرد، برخورداری از قابلیت دید از نظر سایر موارد کاربردی به چشماندازی متمرکز در سراسر سازمان همراه با همکاری بخشهای مختلف و ROI قویتر منجر میگردد. |
عملیات درون سازمانی، در اَبر و محیط ترکیبی | اجرای یک راهحل منطقی که موجب میگردد تا کاربران هنگامی که دادهها به صورت درونسازمانی یا ابر ذخیره میشوند، قادر به جستجو ، گزارش و انجام عملیات باشند. |
گزینه استقرار اَبر (BYOL و SaaS) | کمک به تحکیم تجارت شما در اَبر |
استقرار ترکیبی با گزینههای درونسازمانی و اَبر | بهینهسازی کسب و کار شما نیازمند استفاده از SaaS و یا استقرار درونسازمانی است. – بدون به خطر انداختن دید فداکاری |
عملیاتی نمودن هوش تهدیدات | تیمهای امنیتی قادرند به سرعت و به طور موثر اطلاعات تهدید را به هوش تهدید تفسیر نمایند تا امکان تشخیص تهدیدات و حفاظت از سازمان شما عملی گردد. |
رتبهبندی ریسک | آگاهی یافتن از خطر نسبی یک دستگاه یا کاربر در محیط شبکه خود در طول زمان |
جستجوی ادهاک در طول دوره های طولانی مدت | شناسایی نقایض و انجام تحلیل دقیق نقض با بررسی سریع دادههای ماشینی برای رسیدن به بینشی عمیق و دقیق |
پشتیبانی با اعمال روش تحقیق زنجیره نابود کننده | افزایش قابلیت دید حمله، درک اهداف دشمن، نظارت بر فعالیت در طول حمله، ثبت اطلاعات مهم و استفاده از آنها برای دفاع از سازمان خود |
تحلیل پشتیبانی از پنج سبک دفاع در برابر تهدیدات پیشرفته | کمک به شناسایی حملات پیشرفته هدفمند که همچنین به عنوان تهدیدات مستمر پیشرفته از شبکه، بار مفید و نقطه انتهایی در دادههای نزدیک به زمان واقعی و پس از سازش شناخته میشوند. |
انعطافپذیری و ساختار این پلت فرم نقش مهمی در تعیین اینکه آیا SIEM برای برآورده شدن نیازهای مقیاس پذیری، قابل مقیاس بندی است یا خیر، برعهده دارد. این امر که نرم افزار SIEM میتواند به سرعت همه دادههای اولیه و خام از هر منبع را در حجمهای گسترده دادهای فهرست بندی نماید، حایز اهمیت است. مقیاس پذیری در چندین صدها ترابایت دادهایی که روزانه به صورت فهرست ارائه میشوند، یکی دیگر از معیارهای کلیدی محسوب میگردد.
مقیاسگذاری افقی با استفاده از سخت افزارهای متداول (موجود در بازار)، انعطافپذیری را فراهم نموده و مقیاسپذیری را محاسبه میکند که تجهیزات گران قیمت فیزیکی قادر به برآوردهسازی آنها نیستند.
بکارگیری فهرستبندی توزیعی و تکنولوژی جستجو بر مبنای جستجوهای سریع، گزارشدهی و تحلیل، امکان تبدیل سریع نتایج به محدودهی گستردهای از گزارشهای تعاملی و تصویرسازی را میسر میسازد.
Splunk به عنوان SIME شما
راهحل های امنیتی Splunk نه تنها معیارهای جدید SIEM امروزی را برآورده میسازنند، بلکه قابلیتهای تحلیل امنیتی را نیز میسر ساخته و با ارائه مفهومی باارزش و بینشی بصری در تصمیمگیری امنیتی سریع و دقیقتر تیمهای امنیتی، مثمر ثمر واقع میشوند.
Splunk گزینههای متعددی را برای شرکتهایی که به دنبال گسترش SIEM اولیه خود یا تغییر SIEM قدیمی خود هستند، ارائه نموده و انتخاب گزینههای استقرار درون سازمانی، ابری یا ترکیبی را پیشنهاد میکند.
مشتریان قادرند با استفاده از Splunk Enterprise یا Splunk Cloud،موارد کاربردی SIEM پایه خود را برطرف سازند. Splunk Enterprise و Splunk Cloud پلت فرمهای اصلی Splunk هستند که جمعآوری، نمایهسازی، جستجو و ارائه گزارش را ممکن میسازنند. بسیاری از مشتریان امنیتی Splunk از Splunk Enterprise یا Splunk Cloud در ایجاد جستجوی زمان واقعی خود و داشبوردهایی برای تجربه SIEM پایه، استفاده میکنند.
بهترین راهحل ارائه شده توسط Splunk، یعنیSplunk Enterprise Security) Splunk ES) از موارد کاربردی SIEM پیشرفته را همراه با داشبورد آماده استفاده، جستجوها و گزارشهای همبسته پشتیبانی میکند. Splunk ES درSplunk Enterprise ، Splunk Cloud یا هر دو قابل اجراست. Splunk ES علاوه بر قوانین همبستگی و هشدارهای از پیش تعیین شده، شامل بازنگری حادثه، قابلیت کارکرد وهوش تهدیدات شخص ثالث است که برای تحقیقات شما مفیدند.
علاوه بر این، بیش از ۳۰۰ برنامه کاربردی امنیتی در Splunkbase با قابلیت جستجوهای از پیش تعریف شده، گزارشگیری و تصویرسازی برای فروشندههای برنامههای امنیتی شخص ثالث وجود دارد. این برنامهها، کاربردها و افزونههای آماده برای استفاده، ارائهکننده قابلیتهای مختلفی از نظارت امنیتی، فایروال نسل بعدی، مدیریت تهدید پیشرفته و موارد دیگر به شمار میروند. این موارد موجب افزایش پوشش امنیتی میشود و توسط Splunk، شرکای Splunk و سایر تامینکنندگان برنامه شخص ثالث ارائه میگردد.
چندین راه برای تغییر SIEMهای قدیمی و یا پیچیده به Splunk وجود دارد. لطفا برای کسب اطلاعات بیشتر با بخش فروش Splunk تماس بگیرید. Splunk دارای منابع فنی، از جمله متخصصان امنیتی متعهدند که میتوانند برای تعیین بهترین مسیر جایگزینی با شما همکاری کنند.
بیش از ۲۰۰۰ مشتری از نرم افزار Splunk برای SIEM و موارد پیشرفته استفاده امنیتی استفاده می کنند. Splunk تاکنون برنده جایزههای متعدد صنعتی مانند قرار گرفتن در بخش رهبران ردهبندی چهارگوش جادویی اطلاعات امنیت و مدیریت رویداد (SIME) گارتنر در ۲۰۱۵ شده است.
Splunk را به صورت رایگان دانلود کنید و یا از سند باکس آنلاین مورد پیگیری قرار دهید. Splunk چه به صورت ابری، درونسازمانی یا برای تیمهای بزرگ یا کوچک دارای یک مدل استقرار است که با نیازهای شما متناسب خواهد بود.