اسپلانک چیست؟

اسپلانک یک SIEM است که بصورت پلتفرمی قدرتمند بمنظور جمع ­آوری لاگ‌ها، جستجو، مشاهده، آنالیز و تحلیل داده‌ها در سازمان‌ها نصب می­شود و فعالیت می­کند. کشف اطلاعات از طریق پردازش هزاران داده از بررسی لاگ­‌ها انجام می­‌شود. به بیانی دیگر اسپلانک داده‌های خام را جمع ­آوری و  فهرست بندی می‌کند و به شما این امکان را می­دهد که بتوانید بر روی تمام داده‌ها عملیات جستجو را انجام دهید و نتایج را به هر صورت قابل دلخواه مشاهده کنید.

اسپلانک چیست؟

ضمناً توسط اسپلانک یا Splunk می­توان از تمامی داده‌های جمع­ آوری شده به بهترین نحو استفاده و بهره­ برداری کرد همچنین این امکان نیز فراهم می‌شود تا با ایجاد سطحی از هوش عملیاتی، سازمان را در سطح بالاتری از عملکرد، رقابت، سودآوری و امنیت قرار دهد تا بتواند به نوعی تمامی داده‌­ها را مشاهده نماید.

Splunk Enterprise و قابلیت های آن

Splunk Enterprise و قابلیت های آن

این نرم افزار مانند Google برای LogFile های تولیدی در یک شبکه از تجهیزات رایان‌ه­ای و الکترونیکی است که به نوع و فرمت Log ها وابستگی ندارد و فقط متنی بودن Log ها کافی است تا بتوان آنها را به Splunk Enterprise  وارد کرد.

مثالهای مختلفی از منابع تولید این لاگ­ها در ادامه آورده شده است:

• لاگ‌های ایجاد شده توسط تجهیزات امنیتی از قبیل IPS, Firewall, Anti-Virus
• لاگ‌های ایجاد شده توسط تجیزات زیرساخت از قبیل Switch, Router, Modem
• لاگ‌های ایجاد شده توسط نرم­ افزارهای داخلی از قبیل بانکداری، اتوماسیون، مالی، انبار
• لاگ‌های ایجاد شده توسط سرویس­‌های داخلی ار قبیل AD, DNS, IIS, Apache, DHCP
• لاگ‌های ایجاد شده توسط سیستم عامل‌های مختلف از قبیل Windows, Linux, MacOS
• لاگ‌های ایجاد شده توسط تجهیزات هوشمند و همراه از قبیل گوشی و تبلت
• لاگ‌های ایجاد شده توسط تجهیزات الکترونیکی از قبیل دربهای برقی، آسانسور، حسگرها، کنترل تردد

splunk enterprise security  تمام لاگهای تولید شده را یکجا دخیره و دسته بندی می­‌کند و امکان ارتباط بین تغییرات و رخدادهای گوناگون در بخش‌های مختلف را می‌دهد و می­توان به ایجاد اصلاحات اقدام نماییم. همچنین از Splunk Enterprise به عنوان یک نرم افزار مانیتورینگ 360 می­توان استفاده کرد بدون نیاز به افزودن SNMP یا موارد دیگری که سایر محصولات مشابه نیاز دارند.

اهمیت استفاده از اسپلانک

ضرورت استفاده از اسپلانک به عنوان  SIEM

بدون بررسی و تحلیل لاگ‌های ثبت شده، امکان تشخیص وقوع حمله وجود ندارد. لاگ‌ها تنها راه برای تشخیص هویت مهاجمین می­‌باشند. حتی در صورت اطلاع سازمان از وقوع حمله، بدون داشتن لاگ‌هایی جامع و دست‌کاری نشده توسط مهاجمین، سازمان نسبت به جزییات حمله هیچ دیدی نخواهد داشت. امروزه با بهرگیری از یک سامانه متمرکز به منظور دریافت، جمع ­آوری و ساختار دادن به این وقایع، می‌تواند کمک بسیاری زیادی در تحلیل سریع و برقراری ارتباط‌‌های منطقی بین این وقایع گزارش شده نماید.

قابلیت‌های SPLUNK

قابلیت‌های SPLUNK یا اسپلانک

1. سرعت بالا در پردازش داده‌ها
2. سطح بالای سازگاری با داده‌های مختلف
3. امکان انواع روش‌­های جستجو (جستجوهای منطقی، امکان جستجوی رشت‌ه­ای، استفاده از wildcard در پارامترهای جستجو، جستجوی بلادرنگ، جستجو در بازه زمانی و …) و نمایش نتایج جستجو به صورت گزارش، نمودار و داشبوردهای متنوع
4. استخراج هوشمندانه فیلدها و بازیابی سریع داده‌­ها، امکان شناسایی فیلدها
5. پایش و اخطار و زمانبندی ارائه این هشدارها و مدیریت نمایش هشدارها (ارسال رایانامه، اجرای Script و یا نمایش اخطار و ….)
6. گزارش‌­های متنوع (در قالب‌های مختلف و نمودارهای متنوع) و امکان نمایش در داشبوردهای کاربری
7. مقیاس پذیری (امکان استفاده از Splunk در سطح سازمان‌ها و شرکت‌های کوچک و متوسط تا سازمان‌های بزرگ از قابلیت‌های آن است.)
8. لایسنس و فعال سازی اسپلانک(Splunk License)
9. وجود نسخه تریال دوماهه و رایگان که از وبسایت شرکت اسپلانک قابل دانلود و نصب می‌باشد. هیچ یک از محصولات رقیب از جمله HP ArcSight و IBM Qradar  دارای چنین امکانی نیست.
10. لایسنس اسپلانک میزان حجم لاگ‌های ورودی در 24 ساعت را مد نظر قرار می­‌دهد. تا محدودیتی برای ارسال لاگ‌های تجهیزات خود را به سرویس SIEM نداشته باشند.( لایسنس سایر محصولات معمولاً بر اساس تعداد لاگ تولید شده درثانیه (EPS) می‌باشد)
11. هزینه خرید به مراتب پایین تر نسبت سایر رقبا
12. دارای سیستم امنیت مبتنی بر تجزیه و تحلیل هوشمند
13. انطباق سریع داده ها با تغییرات در تهدیدات و رویارویی با تهدیدات پیشرفته
14. شناسایی سریع تهدیدات در کسری از ثانیه
15. تجزیه و تحلیل تهدیدات و پاسخ به تهدایدات
16. قدرت‌بخشی به SOC با پلتفرم هوش امنیتی سریع و انعطاف‌پذیر
17. شناسایی، بررسی و گزارش آنی در موارد کلاهبرداری و سوء ‌استفاده
18. افزایش اثربخشی فرآیندها و پرسنل SOC
19. قابلیت پیاده‌سازی به صورت Cloud، On-Premise و ترکیبی از این دو حالت
20. قابلیت مقیاس‌پذیری و چابکی
21. روش­های ورود اطلاعات به Splunk

روش‌های مختلفی برای ورود اطلاعات وجود دارد که به شرح زیر معرفی می­گردند:

• بارگذاری فایل‌ها درفرمت‌های ساخت یافته‌ای مانند CSV و فایل‌های ثبت وقایع محلی.
• دریافت خودکار داده‌ها از مسیری مشخص، Syslog ، Script ، WMI و …
• دریافت داده از ارسال کننده Splunk

شاخص بندی داده ها در اسپلانک

همچنین با توجه به هوشمندی Splunk، امکان شاخص‌بندی داده‌های متعارف شامل موارد زیر قابل انجام می‌باشد:

• داده­های ساخت یافته، مانند CSV , JSON, XML
• فایل‌های رویداد و ثبت وقایع محصولات مایکروسافت مانندActive Directory، Exchange …
• رویدادهای قابل ارسال از طریق Syslog (جمع­آوری رویدادها از تجهیزاتی مانند سوئیچ‌های سیسکو)
• رویدادهای ایجاد شده توسط سرویس دهنده‌های وب مانند Apache و IIS
• سرویس دهنده‌های بانک‌های اطلاعاتی، Oracle, MS SQL Server, My SQL

نتیجه گیری

با توجه به مطالبی که ذکر شد، SIEM  یک فن­آوری جدیدی است که برای امنیت سازمان­‌ها به­ کار می­رود تا بتوان به‌­وسیله آن از حملات هکرها و بدافزارهای مخرب جلوگیری کرد. هدف اصلی SIEM متمرکز کردنLogها، گزارشگیری  و مدیریت آن‌ها می‌­باشد. امروزه شرکت­‌های بسیاری این محصول را در معماری‌های مختلف ارائه می­دهند که یکی از برترین این شرکت‌ها در زمینه SIEM شرکت SPLUNK  است.

شرکت پایه ریزان فناوری هوشمند ارائه دهنده لایسنس اسپلانک ,Splunk Enterprise Security,و ارائه مشاوره و راه اندازی راهکارهای SPLUNK را دارد.

اهمیت استفاده از Splunk Enterprise Security با 13 شاخص

Splunk Insights در آمازون