اگر شما جز متخصصین شبکه و امنیت باشید مطمئنا اسم اسپلانک به گوش شما خورده است اما اسپلانک واقعا چیست و چه تمایزی با محصولات رقیب دارد؟
شرکت اسپلانک در سال 2003 میلادی شروع به کار کرده و اولین تفاوت آن با سایر رقبا را میتوان تمرکز این شرکت صرفا روی تولید محصولات تخصصی Big Data و راهکارهای SIEM دانست که در هیچ زمینه دیگری فعالیتی ندارد. این شرکت دارای بیش از 2000 کارمند میباشد که تمامی آنها فقط در زمینههای یاد شده فعالیت میکنند و به همین سبب اسپلانک دارای بیشترین سهم از تعداد مشتریان در این بازار میباشد. (بیش از 10 هزار مشتری در بیش از یکصد کشور دنیا). از زمان تاسیس تا کنون، اسپلانک شرکتهای کوچک و استارآپهای بسیاری را خریداری و به مجموعه خود الحاق کرده است که این امر روز به روز اسپلانک را جامعتر و قدرتمند ساخته است. محصول اصلی تولیدی این شرکت با نام Splunk Enterprise شناخته میشود که تمامی محصولات دیگر این شرکت را میتوان مکمل زیر مجموعه Splunk Enterprise دانست. این محصول هسته هوشمند و قدرتمند شرکت اسپلانک برای Big Data و SIEM است که با نصب و افزودن چند صد افزونه رایگان و مختلف موجود، میتوان آنرا بسیار کارآمدتر و کاربردی تر ساخت Splunk Enterpris چیست و چه قابلیتهایی را به ارمغان می آورد؟ این نرم افزار را میتوان مشابه موتور جستجوی Google برای LogFile های تولیدی در یک شبکه از تجهیزات رایانه ای و الکترونیکی دانست که هیچگونه وابستگی به نوع و فرمت این Log ها وجود ندارد و صرف متنی بودن آنها کفایت میکند تا بتوان آنها را به Splunk Enterprise وارد کرد.
آشنایی با چند راهکار SIEM
مثالهای مختلفی از منابع تولید این لاگها میتوان نام برد از جمله:
لاگهای ایجاد شده توسط تجهیزات امنیتی از قبیل IPS, Firewall, Anti-Virus
لاگهای ایجاد شده توسط تجیزات زیرساخت از قبیلSwitch, Router, Modem
لاگهای ایجاد شده توسط نرم افزارهای داخلی از قبیل بانکداری، اتوماسیون، مالی، انبار
لاگهای ایجاد شده توسط سرویسهای داخلی ار قبیلAD,DNS ,IIS, Apache ,DHCP
لاگهای ایجاد شده توسط سیستم عاملهای مختلف از قبیلWindows, Linux ,MacOS
لاگهای ایجاد شده توسط تجهیزات هوشمند و همراه از قبیل گوشی و تبلت
لاگها ایجاد شده توسط تجهیزات الکترونیکی از قبیل دربهای برقی، آسانسور، حسگرها، کنترل تردد. Splunk Enterprise تمام لاگهای تولید شده توسط موارد نام برده را یکجا دخیره و دسته بندی میکند و به ما این امکان را میدهد که بتوانیم ارتباط بین تغییرات و رخدادهای گوناگون در بخشهای مختلف را پیدا و برای اصلاح یا رفع آن اقدام نماییم.
Splunk Enterprise
علاوه بر این میتوان با نصب و استفاده از افزونه های مختلف روی Splunk Enterprise که شرکت اسپلانک اکثر آنها را به صورت رایگان ارائه میدهد. از Splunk Enterprise به عنوان یک نرم افزار مانیتورینگ 360 استفاده کرد بدون نیاز به افزودن SNMP یا موارد دیگری که سایر محصولات مشابه نیاز دارند.
در ادامه به معرفی برخی از پرکاربردترین این افزونهها می پردازیم:
Cisco Security Suite App یکی از راهکارهای SIEM
یکی دیگر از راهکارهای SIEM مربوط با این افزونه هستس که بسیار کاربردی و مفید برای مانیتوریگ تمامی محصولات امنیتی سیسکو از قبیل ASA, IPS, FirePower, FWSM, ASAM, ISE, ACS, WSA, ESA به صورت یکپارچه و و آنلاین
Cisco Security Suite App
افزونهای بسیار کاربردی برای Capture و تحلیل لحظه ای ترافیک عبوری از یک لینک یا پورت مورد نظر
F5 Networks App:
افزونه ای جهت مانیتورینگ تمامی تجهیزات ونرم افزارهای شرکت f5
Web Analytics App:
افزونه ای کامل و کاربردی برای مانیتورینگ وضعیت وبسایت ها
Windows Security Operation Center App:
افزونه ای برای بررسی و تحلیل رخدادهای امنیتی در شبکه های ماکروسافتی و سرویسهای وابسته از قبیل AD, NTLM, DNS, DHCP
Enterprise Security یک راهکار SIEM
در مجموع میتوان گفت حدود هزار افزونه مختلف و رایگان مشابه مواردی که نامبرده شد توسط شرکت اسپلانک ارائه شده که تقریبا تمامی برندهای معروف از قبیل Juniper, Fortinet, Citrix, Redhat و … را در بر میگیرد. همچنین شرکت اسپلانک تعداد محدودی افزونه غیر رایگان نیر ارائه میدهد که مشتریان بنا به نیاز خود با پرداخت مبالغ مشخص میتوانند این افزونهها را به صورت مدت دار یا نامحدود استفاده نمایند.
Enterprise Security یکی از راهکارهای SIEM
اصلی ترین افزونه اسپلانک که با استفاده از آن میتوان Splunk Enterprise را به یکی از قدرتمندترین راهکارهای SIEM های دنیا تبدیل کرد. این افزونه لاگهای ایجاد شده از تمامی تجهیزات و نرم افزارهای امنیتی موجود از لبه بیرونی شبکه گرفته تا سیستم کاربران را به صورت یکجا جمع آوری، تحلیل و گزارش میدهد. این افزونه تیم های امنیتی را قادر میسازد تا به سرعت تمامی حملات شناخته شده و حتی شناخته نشده داخلی و خارجی را تشخیص و اقدامات لازم را انجام دهند. لازم به ذکر است هیچگونه محدودیتی در زمینه برند و مدل تجهیزات امنیتی مورد استفاده وجود ندارد و این افزونه قابلیت همخوانی با تمامی تجهیزات امنیتی را داراست.
Enterprise Security
برخی از امکانات ارائه شده توسط این افزونه به شرح ذیل است:
- مانیتورینگ لحظهای و دوره ای وضعیت امنیتی شبکه و رخدادهای امنیتی بر اساس اولویتهای دلخواه و سفارشی سازی شده
- اولویت بندی رخداد ها و تعریف عکس العملهای متناسب با هر رخداد
- تعریف جستجوهای مختلف و دلخواه روی لاگهای موجود به منظور یافتن رفتارهای غیر عادی در شبکه
- تعریف آنالیزهای پویا و به روز به منظور یافتن فعالیتهای مخرب در شبکه به صورت خودکار
IT Service Intelligent یکی دیگر از راهکارهای SIEM
نسل جدید مانیتورینگ و آنالیز شبکه به منظور دریافت اطلاعات دقیق و کابردی از وضعیت عملکرد و کارایی شبکه.برخی از قابلیتهای این افزونه به شرح ذیل است:
- ارائه مانیتورینگ مرکزی، یکپارچه و هوشمند از تمامی اجزای مختلف شبکه
- همسان سازی سرویسهای مختلف با رویدادهای مختلف از طریق فناوری قدرتمند KPI
- آنالیز رفتار شبکه و دیتای موجود به منظور یافتن رفتارهای غیر استاندارد و پیدا کردن علت این رفتار
- قابلیت بررسی دقیق و جزئی دیتا مورد نظر به منظور یافتن علت رخدادهای مختلف
IT Service Intelligent,راهکارهای SIEM
User Behavior Analytics یکی دیگر از راهکارهای SIEM
با استفاده از این افزونه و با کمک حجم عظیمی از اطلاعات و گزارشهای کاربردی تیمهای امنیتی قادر خواهند بود تهدیدات و حملات داخلی را به راحتی شناسایی و ردیابی کنند.
برخی از قابلیتهای این افزونه به شرح ذیل است:
- شناسایی آلودگی های ویروسی و تهدیدات داخلی بدون استفاده از Signiture, Rule, Policy و آنالیزهای انسانی
- بهبود فرآیند شناسایی تهدید و عکس العمل به کمک سنسورهای پیشرفته و کارآمد
- ارائه گزارهاش مفید و کاربردی به صورت خلاصه یا زنجیره ای به منظور افزایش کارایی بخش SOC
- قابلیت یکپارچه سازی با Enterprise Security و IT Service Intelligent به منظور دستیابی به بهترین و کاملترین حالت عملکرد
User Behavior Analytics,راهکارهای SIEM
لایسنس اسپلانک و فعال سازی (Splunk License)
یکی از قابلیتهای ممتاز راهکارهای SIEM را میتوان وجود نسخه تریال رایگان دانست که کاربران به راحتی و مستقیما میتوانند این نسخه تریال دو ماهه را از وبسایت شرکت اسپلانک دانلود و نصب نمایند. این در حالیست که هیچ یک از محصولات رغیب از جمله HP ArcSight و IBM Qradar دارای چنین امکانی نبوده و برای دریافت نسخه تریال میبایستی فرآیند پیچیده ای طی شود. نحوه عملکرد لایسنس اسپلانک نیز کاملا متفاوت از سایر محصولات است. بر خلاف لایسنس سایر محصولات که معمولا بر اساس تعداد لاگ تولید شده درثانیه(EPS) عمل میکنند لایسنس اسپلانک میزان حجم لاگهای ورودی در 24 ساعت را مد نظر قرار میدهد. این قابلیت باعث میشود تیمهای امنیتی محدودیتی در زمینه تعداد تجهیزاتی که لاگهای خود را به سرویس SIEM ارسال می کنند نداشته باشند. لازم به ذکر است برای استفاده از افزونههای غیر رایگان علاوه بر تهیه لایسنس حجمی نرم افزار اصلی اسپلانک میبایستی برای آن افزونه مورد نظر نیز لایسنس حجمی جداگانه تهیه کرد. در زمینه کاربری راهکارهای SIEM میتوان گفت که حتی تهیه هر دو لایسنس مورد نیاز (لایسنس Splunk Enterprise و لایسنس افزونه Enterprise Security ) به مراتب هزینهای پایین تر از محصولات رقیب خواهد داشت.
همچنین، جهت دریافت مشاوره و پیاده سازی سرویس Splunk و همچنین خرید لایسنسهای اسپلانک با کارشناسان ما در تماس باشید.
در صورت تمایل به مشاوره رایگان و استفاده از خدمات پایه ریزان فناوری هوشمند می توانید با کارشناسان مجرب ما تماس بگیرید و محصول مورد نیاز خود را با قیمت رقابتی و ضمانت شرکتی دریافت کنید ضمن این که تیم متخصص پایه ریزان با پشتیبانی قوی در کنار شما خواهد بود.
جهت مشاوره رایگان با شماره های زیر تماس بگیرید.
