امنیت, splunk

آشنایی با چند راهکار SIEM

راهکارهای SIEM توسط اسپلانک
06 مه
رای بدهید

اگر شما جز متخصصین شبکه و امنیت باشید مطمئنا اسم اسپلانک به گوش شما خورده است اما اسپلانک واقعا چیست و چه تمایزی با محصولات رقیب دارد؟
شرکت اسپلانک در سال 2003 میلادی شروع به کار کرده و اولین تفاوت آن با سایر رقبا را می‌توان تمرکز این شرکت صرفا روی تولید محصولات تخصصی Big Data و راهکارهای SIEM دانست که در هیچ زمینه دیگری فعالیتی ندارد. این شرکت دارای بیش از 2000 کارمند می‌باشد که تمامی آن‌ها فقط در زمینه‌های یاد شده فعالیت میکنند و به همین سبب اسپلانک دارای بیشترین سهم از تعداد مشتریان در این بازار می‌باشد. (بیش از 10 هزار مشتری در بیش از یکصد کشور دنیا). از زمان تاسیس تا کنون، اسپلانک شرکت‌های کوچک و استارآپ‌های بسیاری را خریداری و به مجموعه خود الحاق کرده است که این امر روز به روز اسپلانک را جامع‌تر و قدرتمند ساخته است. محصول اصلی تولیدی این شرکت با نام Splunk Enterprise شناخته می‌شود که تمامی محصولات دیگر این شرکت را میتوان مکمل زیر مجموعه Splunk Enterprise  دانست. این محصول هسته هوشمند و قدرتمند شرکت اسپلانک برای Big Data و SIEM است که با نصب و افزودن چند صد افزونه رایگان و مختلف موجود، میتوان آنرا بسیار کارآمدتر و کاربردی تر ساخت Splunk Enterpris  چیست و چه قابلیتهایی را به ارمغان می آورد؟ این نرم افزار را می‌توان مشابه موتور جستجوی Google برای LogFile های تولیدی در یک شبکه از تجهیزات رایانه ای و الکترونیکی دانست که هیچگونه وابستگی به نوع و فرمت این Log ها وجود ندارد و صرف متنی بودن آن‌ها کفایت می‌کند تا بتوان آنها را به Splunk Enterprise وارد کرد.

آشنایی با چند راهکار SIEM

آشنایی با چند راهکار SIEM

مثال‌های مختلفی از منابع تولید این لاگ‌ها میتوان نام برد از جمله:

لاگ‌های ایجاد شده توسط تجهیزات امنیتی از قبیل IPS, Firewall, Anti-Virus
لاگ‌های ایجاد شده توسط تجیزات زیرساخت از قبیلSwitch, Router, Modem
لاگ‌های ایجاد شده توسط نرم افزارهای داخلی از قبیل بانکداری، اتوماسیون، مالی، انبار
لاگ‌های ایجاد شده توسط سرویس‌های داخلی ار قبیلAD,DNS ,IIS, Apache ,DHCP
لاگ‌های ایجاد شده توسط سیستم عامل‌های مختلف از قبیلWindows, Linux ,MacOS
لاگ‌های ایجاد شده توسط تجهیزات هوشمند و همراه از قبیل گوشی و تبلت
لاگ‌ها ایجاد شده توسط تجهیزات الکترونیکی از قبیل دربهای برقی، آسانسور، حسگرها، کنترل تردد. Splunk Enterprise تمام لاگ‌های تولید شده توسط موارد نام برده را یکجا دخیره و دسته بندی می‌کند و به ما این امکان را می‌دهد که بتوانیم ارتباط بین تغییرات و رخدادهای گوناگون در بخش‌های مختلف را پیدا و برای اصلاح یا رفع آن اقدام نماییم.

Splunk Enterprise

Splunk Enterprise

علاوه بر این میتوان با نصب و استفاده از افزونه های مختلف روی Splunk Enterprise که شرکت اسپلانک اکثر آن‌ها را به صورت رایگان ارائه می‌دهد. از Splunk Enterprise به عنوان یک نرم افزار مانیتورینگ 360 استفاده کرد بدون نیاز به افزودن SNMP یا موارد دیگری که سایر محصولات مشابه نیاز دارند.
در ادامه به معرفی برخی از پرکاربردترین این افزونه‌ها می پردازیم:

Cisco Security Suite App یکی از راهکارهای SIEM

یکی دیگر از راهکارهای SIEM مربوط با این افزونه هستس که بسیار کاربردی و مفید برای مانیتوریگ تمامی محصولات امنیتی سیسکو از قبیل ASA, IPS, FirePower, FWSM, ASAM, ISE, ACS, WSA, ESA به صورت یکپارچه و و آنلاین

Cisco Security Suite App

Cisco Security Suite App

افزونه‌ای بسیار کاربردی برای Capture و تحلیل لحظه ای ترافیک عبوری از یک لینک یا پورت مورد نظر
F5 Networks App:
افزونه ای جهت مانیتورینگ تمامی تجهیزات ونرم افزارهای شرکت f5
Web Analytics App:
افزونه ای کامل و کاربردی برای مانیتورینگ وضعیت وبسایت ها
Windows Security Operation Center App:
افزونه ای برای بررسی و تحلیل رخدادهای امنیتی در شبکه های ماکروسافتی و سرویسهای وابسته از قبیل AD, NTLM, DNS, DHCP

Enterprise Security یک راهکار SIEM

Enterprise Security یک راهکار SIEM

در مجموع میتوان گفت حدود هزار افزونه مختلف و رایگان مشابه مواردی که نامبرده شد توسط شرکت اسپلانک ارائه شده که تقریبا تمامی برندهای معروف از قبیل Juniper, Fortinet, Citrix, Redhat  و … را در بر می‌گیرد. همچنین شرکت اسپلانک تعداد محدودی افزونه غیر رایگان نیر ارائه می‌دهد که مشتریان بنا به نیاز خود با پرداخت مبالغ مشخص میتوانند این افزونه‌ها را به صورت مدت دار یا نامحدود استفاده نمایند.

Enterprise Security یکی از راهکارهای SIEM

اصلی ترین افزونه اسپلانک که با استفاده از آن میتوان Splunk Enterprise را به یکی از قدرتمندترین راهکارهای SIEM های دنیا تبدیل کرد. این افزونه لاگ‌های ایجاد شده از تمامی تجهیزات و نرم افزارهای امنیتی موجود از لبه بیرونی شبکه گرفته تا سیستم کاربران را به صورت یکجا جمع آوری، تحلیل و گزارش می‌دهد. این افزونه تیم های امنیتی را قادر میسازد تا به سرعت تمامی حملات شناخته شده و حتی شناخته نشده داخلی و خارجی را تشخیص و اقدامات لازم را انجام دهند. لازم به ذکر است هیچگونه محدودیتی در زمینه برند و مدل تجهیزات امنیتی مورد استفاده وجود ندارد و این افزونه قابلیت همخوانی با تمامی تجهیزات امنیتی را داراست.

Enterprise Security

Enterprise Security

برخی از امکانات ارائه شده توسط این افزونه به شرح ذیل است:

  • مانیتورینگ لحظه‌ای و دوره ای وضعیت امنیتی شبکه و رخدادهای امنیتی بر اساس اولویت‌های دلخواه و سفارشی سازی شده
  • اولویت بندی رخداد ها و تعریف عکس العمل‌های متناسب با هر رخداد
  • تعریف جستجو‌های مختلف و دلخواه روی لاگ‌های موجود به منظور یافتن رفتارهای غیر عادی در شبکه
  • تعریف آنالیزهای پویا و به روز به منظور یافتن فعالیت‌های مخرب در شبکه به صورت خودکار

IT Service Intelligent یکی دیگر از راهکارهای SIEM

نسل جدید مانیتورینگ و آنالیز شبکه به منظور دریافت اطلاعات دقیق و کابردی از وضعیت عملکرد و کارایی شبکه.برخی از قابلیتهای این افزونه به شرح ذیل است:

  • ارائه مانیتورینگ مرکزی، یکپارچه و هوشمند از تمامی اجزای مختلف شبکه
  • همسان سازی سرویس‌های مختلف با رویدادهای مختلف از طریق فناوری قدرتمند KPI
  • آنالیز رفتار شبکه و دیتای موجود به منظور یافتن رفتارهای غیر استاندارد و پیدا کردن علت این رفتار
  • قابلیت بررسی دقیق و جزئی دیتا مورد نظر به منظور یافتن علت رخدادهای مختلف
IT Service Intelligent,راهکارهای SIEM

IT Service Intelligent,راهکارهای SIEM

User Behavior Analytics یکی دیگر از راهکارهای SIEM

با استفاده از این افزونه و با کمک حجم عظیمی از اطلاعات و گزارش‌های کاربردی تیم‌های امنیتی قادر خواهند بود تهدیدات و حملات داخلی را به راحتی شناسایی و ردیابی کنند.
برخی از قابلیت‌های این افزونه به شرح ذیل است:

  • شناسایی آلودگی های ویروسی و تهدیدات داخلی بدون استفاده از Signiture, Rule, Policy و آنالیزهای انسانی
  • بهبود فرآیند شناسایی تهدید و عکس العمل به کمک سنسورهای پیشرفته و کارآمد
  • ارائه گزارهاش مفید و کاربردی به صورت خلاصه یا زنجیره ای به منظور افزایش کارایی بخش SOC
  • قابلیت یکپارچه سازی با Enterprise Security و IT Service Intelligent به منظور دستیابی به بهترین و کاملترین حالت عملکرد
User Behavior Analytics,راهکارهای SIEM

User Behavior Analytics,راهکارهای SIEM

لایسنس اسپلانک و فعال سازی (Splunk License)

یکی از قابلیت‌های ممتاز راهکارهای SIEM را میتوان وجود نسخه تریال رایگان دانست که کاربران به راحتی و مستقیما می‌توانند این نسخه تریال دو ماهه را از وبسایت شرکت اسپلانک دانلود و نصب نمایند. این در حالیست که هیچ یک از محصولات رغیب از جمله HP ArcSight و IBM Qradar دارای چنین امکانی نبوده و برای دریافت نسخه تریال می‌بایستی فرآیند پیچیده ای طی شود. نحوه عملکرد لایسنس اسپلانک نیز کاملا متفاوت از سایر محصولات است. بر خلاف لایسنس سایر محصولات که معمولا بر اساس تعداد لاگ تولید شده درثانیه(EPS) عمل می‌کنند لایسنس اسپلانک میزان حجم لاگ‌های ورودی در 24 ساعت را مد نظر قرار می‌دهد. این قابلیت باعث می‌شود تیم‌های امنیتی محدودیتی در زمینه تعداد تجهیزاتی که لاگهای خود را به سرویس SIEM ارسال می کنند نداشته باشند. لازم به ذکر است برای استفاده از افزونه‌های غیر رایگان علاوه بر تهیه لایسنس حجمی نرم افزار اصلی اسپلانک می‌بایستی برای آن افزونه مورد نظر نیز لایسنس حجمی جداگانه تهیه کرد. در زمینه کاربری راهکارهای SIEM میتوان گفت که حتی تهیه هر دو لایسنس مورد نیاز (لایسنس Splunk Enterprise و لایسنس افزونه Enterprise Security ) به مراتب هزینه‌ای پایین تر از محصولات رقیب خواهد داشت.

Splunk License

همچنین، جهت دریافت مشاوره و پیاده سازی سرویس Splunk و همچنین خرید لایسنس‌های اسپلانک با کارشناسان ما در تماس باشید.

جدیدتر آشنایی با اکتیو دایرکتوری Active Directory
بازگشت به لیست
قدیمی تر راه اندازی سرویس Vmware Vsphere

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

15 − یک =