اسپلانک UBA چیست؟ از مدلسازی رفتار، تجزیه و تحلیل گروه همتا و یادگیری ماشینی برای کشف تهدیدات پنهان در محیط شما استفاده میکند. Splunk UBA به طور خودکار رفتار غیرعادی کاربران، دستگاهها و برنامهها را شناسایی میکند و این الگوها را در تهدیدهای خاص و قابل اجرا ترکیب میکند.
تهدیدهای شناسایی شده را با استفاده از یک گردش کار بررسی تهدید کارآمد که امکان مشاهده فعالیت های غیرعادی و شواهد پشتیبان را فراهم می کند، بررسی و پاسخ دهید. Splunk UBA کارایی تحلیلگران امنیتی شما را با kill chain کمک به آنها در تمرکز بر تهدیدات و فعالیت های مخرب با geographical visualizationsا فزایش می دهد.
Splunk UBA چگونه کار می کند؟
Splunk UBA دادهها را از پلتفرم Splunk، که شامل Splunk Enterprise و Splunk Cloud Platform است، جذب میکند و کارهای زیر را انجام میدهد تا به شما کمک کند تا بفهمید کاربران در محیط شما چه میکنند. Splunk UBA با انجام وظایف زیر تهدید ایجاد می کند:
- نام های دستگاه و دامنه را عادی کنید و همه حساب های شناسایی شده در داده های منابع انسانی خود را با یک کاربر انسانی مرتبط کنید.
- برای یافتن ارتباط بیدرنگ بین آدرسهای IP، نام میزبان و کاربران، وضوح هویت را انجام دهید و همچنین این ارتباطات را در طول زمان حفظ کنید.
- رفتار کاربران، دستگاهها و برنامههای موجود در محیط خود را در میان واحدهای سازمانی و گروههای همتا، پایهگذاری کنید.
- از الگوریتم های یادگیری ماشینی بدون نظارت برای تجزیه و تحلیل داده ها برای فعالیتی که از رفتار عادی منحرف شده است استفاده کنید. Splunk UBA از قوانین و مدل های تشخیص ناهنجاری برای distill میلیون ها رویداد به چند صد ناهنجاری استفاده می کند.
- از قوانین و مدلهای تهدید برای کاهش بیشتر ناهنجاریها به تعداد انگشت شماری از تهدیدات استفاده کنید. یک ناهنجاری ممکن است تهدیدی مشروع در محیط شما نباشد. با این حال، با گذشت زمان، یک سری از ناهنجاریها میتوانند داستانی را در مورد یک تهدید بیان کنند که باید بررسی شود. مدلهای تشخیص تهدید میتوانند ناهنجاریها را به هم بچسبانند تا داستانی سرتاسر درباره یک تهدید با وفاداری بالا ارائه دهند.
Splunk UBA چگونه با سایر محصولات امنیتی Splunk کار می کند؟
Splunk UBA داده های خود را از پلتفرم Splunk دریافت می کند. برخلاف بسیاری از محصولات امنیتی Splunk که برنامههای نصب شده بر روی پلتفرم Splunk هستند، Splunk UBA باید بر روی منابع اختصاصی به شکل سرورهای فیزیکی، داخلی یا سرورها در استقرار ابری مدیریت شده سازمان شما نصب شود.
- هنگام مشاهده جزئیات ناهنجاری در Splunk UBA، می توانید به Splunk Enterprise یا Splunk Cloud Platform برگردید تا برخی از رویدادهای خام را که به ناهنجاری مطرح شده در Splunk UBA کمک می کنند، مشاهده کنید.
- ارسال رویدادهای قابل توجه از Splunk Enterprise Security (ES) به Splunk UBA یا ارسال ناهنجاری ها و تهدیدات از Splunk UBA به Splunk ES. وضعیت هر رویداد قابلتوجهی در Splunk ES و ناهنجاریها و تهدیدات در Splunk UBA که بین سیستمها به اشتراک گذاشته میشوند، برای ارائه یکپارچگی و تداوم در تحقیقات شما هماهنگ شدهاند. این ادغام به Splunk Add-On برای Splunk UBA نیاز دارد.
در صورت تمایل به مشاهده و استعلام قیمت انواع لایسنس اسپلانک به صفحه مرتبط به آن مراجعه کنید.
معماری استقرار UBA Splunk
برای مقیاس بندی Splunk User Behavior Analytics (UBA) در یک استقرار توزیع شده، وظایف خاصی به هر سرور فیزیکی یا گره در یک node اختصاص داده می شود. سپس هر node خدمات خاصی را برای پشتیبانی از آن وظیفه نصب کرده است. خدمات خاص نصب شده در هر گره می تواند بسته به اندازه node شما متفاوت باشد. به عنوان مثال، در یک استقرار 7 گره، سرویس های Spark فقط بر روی node 7 نصب می شوند، در حالی که سرویس های Hadoop بر روی همه گره ها به جز node 3 نصب می شوند.
در استقرار تک نود، تمام خدمات ارائه شده توسط سرورهای جریانی و دسته ای در یک گره وجود دارند.
مقیاس بندی استقرار Splunk UBA
Splunk User Behavior Analytics (UBA) را در معماری استقرار تک سرور یا distributed deployment نصب کنید. یک استقرار distributed deploymentبه شما کمک می کند تا نصب Splunk UBA خود را به صورت افقی با streaming and batch servers. مقیاس کنید.
Node ها در یک استقرار Splunk UBA توزیع شده، تعداد زیادی محاسبات را در بین آنها انجام می دهند و به اتصالات شبکه سریع نیاز دارند. به همین دلیل، Splunk UBA را در مکان های جغرافیایی مختلف مستقر نکنید. اگر چندین سایت دارید، یک کلاستر تکراری Splunk UBA را به عنوان یک سیستم آماده به کار گرم پیکربندی کنید
کلاستر چه اندازه ای نیاز دارم؟
از پارامترهای زیر استفاده کنید تا شما را در اندازهگیری صحیح استقرار Splunk UBA راهنمایی کنید. فراتر از محدودیت ها تأثیر منفی بر عملکرد خواهد داشت و می تواند منجر به حذف و پردازش نشدن events شود.
- ظرفیت حداکثر event در ثانیه، اوج نرخ eventهای پردازش شده توسط Splunk UBA هنگام دریافت دادهها از Splunk Enterprise را نشان میدهد.
- حداکثر تعداد حساب ها نشان دهنده تعداد کل حساب های نظارت شده توسط Splunk UBA است، مانند حساب های کاربر، admin، سیستم یا خدمات.
- حداکثر تعداد دستگاه ها نشان دهنده تعداد کل دستگاه هایی است که توسط Splunk UBA نظارت می شوند.
- حداکثر تعداد منابع داده، تعداد کل اتصال دهنده های منبع داده را نشان می دهد که در Splunk UBA برای دریافت داده ها از Splunk Enterprise پیکربندی شده اند.
ما در مقاله اسپلانک UBA چیست؟ سعی کردیم هر آنچه نیاز بود را توضیح دهیم در صورتی که شما هم تجربه ای در این زمینه دارید در قسمت نظرات با پایه ریزان فناوری هوشمند به اشتراک بگذارید.
| Size of cluster | Max events per second capacity | Max Number of accounts | Max Number of devices | Max number of data sources |
| 1 Node | 4K | up to 50K | up to 100K | 6 |
| 3 Nodes | 12K | up to 50K | up to 200K | 10 |
| 5 Nodes | 20K | up to 200K | up to 300K | 12 |
| 7 Nodes | 28K | up to 350K | up to 500K | 24 |
| 10 Nodes | 40K-45K | up to 350K | up to 500K | 32 |
| 20 Nodes – Classic | 75K-80K | up to 750K | up to 1 Million | 64 |
| 20 Nodes – XL | 160K | up to 750K | up to 1 Million | 64 |
در صورت تمایل به مشاوره رایگان و استفاده از خدمات پایه ریزان فناوری هوشمند می توانید با کارشناسان مجرب ما تماس بگیرید و محصول مورد نیاز خود را با قیمت رقابتی و ضمانت شرکتی دریافت کنید ضمن این که تیم متخصص پایه ریزان با پشتیبانی قوی در کنار شما خواهد بود.
جهت مشاوره رایگان با شماره های زیر تماس بگیرید.
