21 قابلیت اسپلانک به عنوان SIEM

21 قابلیت اسپلانک به عنوان SIEM

اسپلانک چیست؟

اسپلانک یک SIEM است که بصورت پلتفرمی قدرتمند بمنظور جمع ­آوری لاگ‌ها، جستجو، مشاهده، آنالیز و تحلیل داده‌ها در سازمانها نصب می­شود و فعالیت می­کند. کشف اطلاعات از طریق پردازش هزاران داده از بررسی لاگ­ها انجام می­شود. به بیانی دیگر اسپلانک داده‌های خام را جمع ­آوری و  فهرست بندی می‌کند و به شما این امکان را می­دهد که بتوانید بر روی تمام داده‌ها عملیات جستجو را انجام دهید و نتایج را به هر صورت قابل دلخواه مشاهده کنید.

اسپلانک

شرکت پایه ریزان فناوری هوشمند ارائه دهنده لایسنس اسپلانک ,Splunk Enterprise Security,و ارائه مشاوره و راه اندازی راهکارهای SPLUNK را دارد

ضمناً توسط اسپلانک یا Splunk می­توان از تمامی داده‌های جمع­ آوری شده به بهترین نحو استفاده و بهره­ برداری کرد همچنین این امکان نیز فراهم می‌شود تا با ایجاد سطحی از هوش عملیاتی، سازمان را در سطح بالاتری از عملکرد، رقابت، سودآوری و امنیت قرار دهد تا بتواند به نوعی تمامی داده­ها را مشاهده نماید.

اسپلانک

Splunk Enterprise و قابلیت های آن

این نرم افزار مانند Google برای LogFile های تولیدی در یک شبکه از تجهیزات رایانه­ای و الکترونیکی است که به نوع و فرمت Log ها وابستگی ندارد و فقط متنی بودن Log ها کافی است تا بتوان آنها را به Splunk Enterprise  وارد کرد.

مثالهای مختلفی از منابع تولید این لاگ­ها در ادامه آورده شده است:

  • لاگهای ایجاد شده توسط تجهیزات امنیتی از قبیل IPS, Firewall, Anti-Virus
  • لاگهای ایجاد شده توسط تجیزات زیرساخت از قبیل Switch, Router, Modem
  • لاگهای ایجاد شده توسط نرم­ افزارهای داخلی از قبیل بانکداری، اتوماسیون، مالی، انبار
  • لاگهای ایجاد شده توسط سرویس­ های داخلی ار قبیل AD, DNS, IIS, Apache, DHCP
  • لاگهای ایجاد شده توسط سیستم عامل های مختلف از قبیل Windows, Linux, MacOS
  • لاگهای ایجاد شده توسط تجهیزات هوشمند و همراه از قبیل گوشی و تبلت
  • لاگهای ایجاد شده توسط تجهیزات الکترونیکی از قبیل دربهای برقی، آسانسور، حسگرها، کنترل تردد

splunk enterprise security  تمام لاگهای تولید شده را یکجا دخیره و دسته بندی می­کند و امکان ارتباط بین تغییرات و رخدادهای گوناگون در بخشهای مختلف را می­دهد و می­توان به ایجاد اصلاحات اقدام نماییم.

همچنین از Splunk Enterprise به عنوان یک نرم افزار مانیتورینگ 360 می­توان استفاده کرد بدون نیاز به افزودن SNMP یا موارد دیگری که سایر محصولات مشابه نیاز دارند.

اسپلانک

ضرورت استفاده از اسپلانک به عنوان  SIEM

بدون بررسی و تحلیل لاگ‌های ثبت شده، امکان تشخیص وقوع حمله وجود ندارد. لاگ‌ها تنها راه برای تشخیص هویت مهاجمین می­باشند. حتی در صورت اطلاع سازمان از وقوع حمله، بدون داشتن لاگ‌هایی جامع و دست‌کاری نشده توسط مهاجمین، سازمان نسبت به جزییات حمله هیچ دیدی نخواهد داشت.

امروزه با بهرگیری از یک سامانه متمرکز به منظور دریافت، جمع ­آوری و ساختار دادن به این وقایع، میتواند کمک بسیاری زیادی در تحلیل سریع و برقراری ارتباط‌های منطقی بین این وقایع گزارش شده نماید.

اسپلانک

قابلیت های SPLUNK یا اسپلانک

  1. سرعت بالا در پردازش داده‌ها
  2. سطح بالای سازگاری با داده‌های مختلف
  3. امکان انواع روش­های جستجو (جستجوهای منطقی، امکان جستجوی رشته­ای، استفاده از wildcard در پارامترهای جستجو، جستجوی بلادرنگ، جستجو در بازه زمانی و …) و نمایش نتایج جستجو به صورت گزارش، نمودار و داشبوردهای متنوع
  4. استخراج هوشمندانه فیلدها و بازیابی سریع داده­ها، امکان شناسایی فیلدها
  5. پایش و اخطار و زمانبندی ارائه این هشدارها و مدیریت نمایش هشدارها (ارسال رایانامه، اجرای Script و یا نمایش اخطار و ….)
  6. گزارش­های متنوع (در قالب‌های مختلف و نمودارهای متنوع) و امکان نمایش در داشبوردهای کاربری
  7. مقیاس پذیری (امکان استفاده از Splunk در سطح سازمان‌ها و شرکت‌های کوچک و متوسط تا سازمان‌های بزرگ از قابلیت‌های آن است.)
  8. لایسنس و فعال سازی اسپلانک(Splunk License)
  9. وجود نسخه تریال دوماهه و رایگان که از وبسایت شرکت اسپلانک قابل دانلود و نصب می باشد. هیچ یک از محصولات رقیب از جمله HP ArcSight و IBM Qradar  دارای چنین امکانی نیست.
  10. لایسنس اسپلانک میزان حجم لاگهای ورودی در 24 ساعت را مد نظر قرار می­دهد. تا محدودیتی برای ارسال لاگهای تجهیزات خود را به سرویس SIEM نداشته باشند.( لایسنس سایر محصولات معمولاً بر اساس تعداد لاگ تولید شده درثانیه (EPS) می باشد)
  11. هزینه خرید به مراتب پایین تر نسبت سایر رقبا
  12. دارای سیستم امنیت مبتنی بر تجزیه و تحلیل هوشمند
  13. انطباق سریع داده ها با تغییرات در تهدیدات و رویارویی با تهدیدات پیشرفته
  14. شناسایی سریع تهدیدات در کسری از ثانیه
  15. تجزیه و تحلیل تهدیدات و پاسخ به تهدایدات
  16. قدرت‌بخشی به SOC با پلتفرم هوش امنیتی سریع و انعطاف‌پذیر
  17. شناسایی، بررسی و گزارش آنی در موارد کلاهبرداری و سوء ‌استفاده
  18. افزایش اثربخشی فرآیندها و پرسنل SOC
  19. قابلیت پیاده‌سازی به صورت Cloud، On-Premise و ترکیبی از این دو حالت
  20. قابلیت مقیاس‌پذیری و چابکی
  21. روش­های ورود اطلاعات به Splunk

روش‌های مختلفی برای ورود اطلاعات وجود دارد که به شرح زیر معرفی می­گردند:

  • بارگذاری فایل‌ها درفرمت‌های ساخت یافته‌ای مانند CSV و فایل‌های ثبت وقایع محلی.
  • دریافت خودکار داده‌ها از مسیری مشخص، Syslog ، Script ، WMI و …
  • دریافت داده از ارسال کننده Splunk

شاخص بندی داده ها در اسپلانک , Splunk

همچنین با توجه به هوشمندی Splunk، امکان شاخص‌بندی داده‌های متعارف شامل موارد زیر قابل انجام می‌باشد:

  • داده­های ساخت یافته، مانند CSV , JSON, XML
  • فایل‌های رویداد و ثبت وقایع محصولات مایکروسافت مانندActive Directory، Exchange …
  • رویدادهای قابل ارسال از طریق Syslog (جمع­آوری رویدادها از تجهیزاتی مانند سوئیچ‌های سیسکو)
  • رویدادهای ایجاد شده توسط سرویس دهنده‌های وب مانند Apache و IIS
  • سرویس دهنده‌های بانکهای اطلاعاتی، Oracle, MS SQL Server, My SQL

نتیجه گیری

با توجه به مطالبی که ذکر شد، SIEM  یک فن­آوری جدیدی است که برای امنیت سازمان­ها به­ کار می­رود تا بتوان به­وسیله آن از حملات هکرها و بدافزارهای مخرب جلوگیری کرد. هدف اصلی SIEM متمرکز کردنLog  ها، گزارشگیری  و مدیریت آنها می­باشد. امروزه شرکت­های بسیاری این محصول را در معماری­های مختلف ارائه می­دهند که یکی از برترین این شرکت ها در زمینه SIEM شرکت SPLUNK  است.

 

Splunk Enterprise Security با 13 شاخص

 

Splunk Insights در آمازون!همکاری 2 شرکت پیشرو در عرصه نرم افزار

مفید بود؟ ممنون میشم به مقاله امتیاز بدید
در حال ارسال
نظرات کاربر
4 (1 رای)

اشتراک گذاری در شبکه های اجتماعی

دیدگاه در مورد “21 قابلیت اسپلانک به عنوان SIEM

آواتار Met mohsen
Met mohsen

Very good

ارسال نظر

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *