SPLUNK چیست؟

اسپلانک

SPLUNK چیست؟

Splunk یک SIEM است که بصورت پلتفرمی قدرتمند بمنظور جمع ­آوری لاگ‌ها، جستجو، مشاهده، آنالیز و تحلیل داده‌ها در سازمانها نصب می­شود و فعالیت می­کند. کشف اطلاعات از طریق پردازش هزاران داده از بررسی لاگ­ها انجام می­شود. به بیانی دیگر Splunk داده‌های خام را جمع ­آوری و  فهرست بندی می‌کند و به شما این امکان را می­دهد که بتوانید بر روی تمام داده‌ها عملیات جستجو را انجام دهید و نتایج را به هر صورت قابل دلخواه مشاهده کنید.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای SPLUNK را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

ضمناً توسط Splunk می­توان از تمامی داده‌های جمع­ آوری شده به بهترین نحو استفاده و بهره­ برداری کرد همچنین این امکان نیز فراهم می‌شود تا با ایجاد سطحی از هوش عملیاتی، سازمان را در سطح بالاتری از عملکرد، رقابت، سودآوری و امنیت قرار دهد تا بتواند به نوعی تمامی داده­ها را مشاهده نماید.

Splunk Enterprise و قابلیت های آن

این نرم افزار مانند Google برای LogFile های تولیدی در یک شبکه از تجهیزات رایانه­ای و الکترونیکی است که به نوع و فرمت Log ها وابستگی ندارد و فقط متنی بودن Log ها کافی است تا بتوان آنها را به Splunk Enterprise  وارد کرد.

مثالهای مختلفی از منابع تولید این لاگ­ها در ادامه آورده شده است:

  • لاگهای ایجاد شده توسط تجهیزات امنیتی از قبیل IPS, Firewall, Anti-Virus
  • لاگهای ایجاد شده توسط تجیزات زیرساخت از قبیل Switch, Router, Modem
  • لاگهای ایجاد شده توسط نرم­ افزارهای داخلی از قبیل بانکداری، اتوماسیون، مالی، انبار
  • لاگهای ایجاد شده توسط سرویس­ های داخلی ار قبیل AD, DNS, IIS, Apache, DHCP
  • لاگهای ایجاد شده توسط سیستم عامل های مختلف از قبیل Windows, Linux, MacOS
  • لاگهای ایجاد شده توسط تجهیزات هوشمند و همراه از قبیل گوشی و تبلت
  • لاگهای ایجاد شده توسط تجهیزات الکترونیکی از قبیل دربهای برقی، آسانسور، حسگرها، کنترل تردد

Splunk Enterprise  تمام لاگهای تولید شده را یکجا دخیره و دسته بندی می­کند و امکان ارتباط بین تغییرات و رخدادهای گوناگون در بخشهای مختلف را می­دهد و می­توان به ایجاد اصلاحات اقدام نماییم.

همچنین از Splunk Enterprise به عنوان یک نرم افزار مانیتورینگ ۳۶۰ می­توان استفاده کرد بدون نیاز به افزودن SNMP یا موارد دیگری که سایر محصولات مشابه نیاز دارند.

ضرورت استفاده از SPLUNK به عنوان  SIEM

بدون بررسی و تحلیل لاگ‌های ثبت شده، امکان تشخیص وقوع حمله وجود ندارد. لاگ‌ها تنها راه برای تشخیص هویت مهاجمین می­باشند. حتی در صورت اطلاع سازمان از وقوع حمله، بدون داشتن لاگ‌هایی جامع و دست‌کاری نشده توسط مهاجمین، سازمان نسبت به جزییات حمله هیچ دیدی نخواهد داشت.

امروزه با بهرگیری از یک سامانه متمرکز به منظور دریافت، جمع ­آوری و ساختار دادن به این وقایع، میتواند کمک بسیاری زیادی در تحلیل سریع و برقراری ارتباط‌های منطقی بین این وقایع گزارش شده نماید.

قابلیت های SPLUNK

  • سرعت بالا در پردازش داده‌ها
  • سطح بالای سازگاری با داده‌های مختلف
  • امکان انواع روش­های جستجو (جستجوهای منطقی، امکان جستجوی رشته­ای، استفاده از wildcard در پارامترهای جستجو، جستجوی بلادرنگ، جستجو در بازه زمانی و …) و نمایش نتایج جستجو به صورت گزارش، نمودار و داشبوردهای متنوع
  • استخراج هوشمندانه فیلدها و بازیابی سریع داده­ها، امکان شناسایی فیلدها
  • پایش و اخطار و زمانبندی ارائه این هشدارها و مدیریت نمایش هشدارها (ارسال رایانامه، اجرای Script و یا نمایش اخطار و ….)
  • گزارش­های متنوع (در قالب‌های مختلف و نمودارهای متنوع) و امکان نمایش در داشبوردهای کاربری
  • مقیاس پذیری (امکان استفاده از Splunk در سطح سازمان‌ها و شرکت‌های کوچک و متوسط تا سازمان‌های بزرگ از قابلیت‌های آن است.)
  • لایسنس و فعال سازی اسپلانک(Splunk License)
    • وجود نسخه تریال دوماهه و رایگان که از وبسایت شرکت اسپلانک قابل دانلود و نصب می باشد. هیچ یک از محصولات رقیب از جمله HP ArcSight و IBM Qradar  دارای چنین امکانی نیست.
    • لایسنس اسپلانک میزان حجم لاگهای ورودی در ۲۴ ساعت را مد نظر قرار می­دهد. تا محدودیتی برای ارسال لاگهای تجهیزات خود را به سرویس SIEM نداشته باشند.( لایسنس سایر محصولات معمولاً بر اساس تعداد لاگ تولید شده درثانیه (EPS) می باشد)
  • هزینه خرید به مراتب پایین تر نسبت سایر رقبا
  • دارای سیستم امنیت مبتنی بر تجزیه و تحلیل هوشمند
  • انطباق سریع داده ها با تغییرات در تهدیدات و رویارویی با تهدیدات پیشرفته
  • شناسایی سریع تهدیدات در کسری از ثانیه
  • تجزیه و تحلیل تهدیدات و پاسخ به تهدایدات
  • قدرت‌بخشی به SOC با پلتفرم هوش امنیتی سریع و انعطاف‌پذیر
  • شناسایی، بررسی و گزارش آنی در موارد کلاهبرداری و سوء ‌استفاده
  • افزایش اثربخشی فرآیندها و پرسنل SOC
  • قابلیت پیاده‌سازی به صورت Cloud، On-Premise و ترکیبی از این دو حالت
  • قابلیت مقیاس‌پذیری و چابکی

روش­های ورود اطلاعات به Splunk

روش‌های مختلفی برای ورود اطلاعات وجود دارد که به شرح زیر معرفی می­گردند:

  • بارگذاری فایل‌ها درفرمت‌های ساخت یافته‌ای مانند CSV و فایل‌های ثبت وقایع محلی.
  • دریافت خودکار داده‌ها از مسیری مشخص، Syslog ، Script ، WMI و …
  • دریافت داده از ارسال کننده Splunk

 

شاخص بندی داده ها در Splunk

همچنین با توجه به هوشمندی Splunk، امکان شاخص‌بندی داده‌های متعارف شامل موارد زیر قابل انجام می‌باشد:

  • داده­های ساخت یافته، مانند CSV , JSON, XML
  • فایل‌های رویداد و ثبت وقایع محصولات مایکروسافت مانندActive Directory، Exchange …
  • رویدادهای قابل ارسال از طریق Syslog (جمع­آوری رویدادها از تجهیزاتی مانند سوئیچ‌های سیسکو)
  • رویدادهای ایجاد شده توسط سرویس دهنده‌های وب مانند Apache و IIS
  • سرویس دهنده‌های بانکهای اطلاعاتی، Oracle, MS SQL Server, My SQL

 

Enterprise Security

شرکت اسپلانک علاوه بر افزونه­های رایگان متعدد، تعداد محدودی افرونه غیر رایگان نیز ارائه       می­دهد که مشتریان بنا به نیاز خود با پرداخت مبالغ مشخص می­توانند این افرونه­ها را به صورت مدت­دار یا نامحدود استفاده نمایند، یکی از این افزونه­های یاد شده    Enterprise Security می­باشد.

 

توانایی­های Enterprise Security در یک نگاه

  • امکان تجمیع، تحلیل و گزارش­ها از لاگ­های ایجاد شده
  • امکان تشخیص و اقدام لازم برای تیم­های امنیتی در زمان به حملات شناخته شده و حتی شناخته نشده داخلی و خارجی
  • قابلیت همخوانی با تمامی تجهیزات امنیتی
  • مانیتورینگ لحظه­ای و دوره­ای وضعیت امنیتی شبکه و رخدادهای امنیتی بر اساس  الویت­های دلخواه
  • اولیت­بندی رخداد­ها و تعریف عکس العمل­های متناسب با هر رخداد
  • تعریف Search های دلخواه روی لاگ­های موجود به منظور یافتن رفتارهای غیر عادی در شبکه
  • تعریف آنالیزهای پویا و به روز به منظور یافتن فعالیت­های مخرب در شبکه به صورت خودکار

 

بیگ دیتا (Big Data)

بیگ دیتا از نظر لغوی به‌معنای «داده بزرگ» است و اصطلاحی رایج است که رشد و در دسترس بودن داده، چه ساختارمند و چه غیرساختارمند، را توصیف می­­کند. با تجزیه و تحلیل آن می‌توان، «الگوهای پنهان» و «همبستگی‌های ناشناخته» و سایر اطلاعات مفید را استخراج کرد. در بیگ دیتا عموماً با داده‌هایی سر و کار داریم که حجم آنها بیشتر از ظرفیت نرم‌افزارهای عادی است  بنابراین در این پروسه، حجم عظیمی از اطلاعات تفکیک نشده و ساختار نیافته در اختیار قرار می­گیرد که ساختار بندی و کشف الگوها، کاری دشوار محسوب می‌شود.

دلایل اهمیت بیگ دیتا (Big Data)

  • تعیین علت­ های اصلی شکست­ ها، مسائل و نقوص در لحظه و صرفه­ جویی میلیاردها دلار
  • بهینه سازی مسیر وسیله ­­های حمل بسته­­ های تحویلی که هنوز در جاده هستند
  • محاسبه مجدد ریسک­ ها در مدت زمان کوتاه
  • شناسایی سریع مشتریان دارای بالاترین درجه از اهمیت

 

 

Splunk  و ارتقا  SIEM

نرم افزار Splunk از قابلیت ­های عملکردی SIEM نیز فراتر رفته است و امکانات و توانایی ­هایی افزون بر SIEM دارد که در ادامه به آنها اشاره خواهد شد:

  • Splunk دارای پلتفرم هوش امنیتی کاملاً یکپارچه و مبتنی بر Big Data نسبت به SIEM است.
  • Splunk قابلیت تجزیه و تحلیل هوشمند حجم انبوهی از داده‌ های نرمال و قابل اطمینان نسبت به SIEM دارد.
    • ارزیابی وضعیت امنیت، مانیتورینگ، کنترل رویداد و هشدار
    • تحلیل و بررسی نقض داده‌ها
    • پاسخ‌گویی به تهدیدات پیشرو
    • همبستگی‌های بین رویدادها
    • جستجوهای زمینه‌ای
    • تحلیل و شناسایی سریع تهدیدات پیشرفته
    • ساده‌سازی روند مدیریت تهدیدات
    • کاهش ریسک‌ها و حفظ امنیت کسب‌ و‌کار

 

راهکارهای مختلف نرم‌افزار Splunk در تکمیل پیاده‌سازی‌های فعلی SIEM

راهکارهای پیاده­سازی سناریو ۱ سناریو ۲ سناریو ۳
یکپارچه­سازی Splunk Feeds SIEM SIEM Feeds Splunk
Logging Splunk & SIEM Splunk SIEM
بررسی Forensics Splunk Splunk Splunk
همبستگی / اعلام هشدار/گزارش گیری SIEM SIEM Splunk
انطباق SIEM Splunk Splunk
سایر نکات منابع داده مختلف برای Splunk و SIEM Splunk صرفاً زیر مجموعه های داده های خام را به SIEM ارسال می­نماید. در ابتدا کانکتورهای SIEM روی تعداد زیادی Host قرار دارند که جایگزینی آن را مشکل می­کند.

 

کاربرد Splunk با اهداف مختلف در راه‌اندازی  SIEM

  1. دستیابی به SIEM در سطح پایه با Splunk Enterprise و Splunk Cloud
  2. دستیابی به SIEM پیشرفته با Splunk Enterprise Security
  3. وجود بیش از ۳۰۰ برنامه امنیتی ، افزونه و امکانات دیگر در Splunk با قابلیت­هایی نظیر جستجوهای ازپیش‌تعریف‌شده، گزارش‌گیری و تصویرسازی، مانیتور کردن امنیت، فایروال‌های نسل بعدی (Next-Generation Firewall) ، مدیریت تهدیدات پیشرفته و ….
  4. شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای SPLUNK را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

 

معرفی Splunk ES

Splunk Enterprise Security یا به اختصار  Splunk ES می‌تواند به عنوان یک راهکار امنیتی مطلوب به صورت On-Premise ،Public Cloud ،Private Cloud ،SaaS  یا هر ترکیبی از آنها باشد. همچنین این تکنولوژی را می‌توان به صورت نرم‌افزار همراه با Splunk Enterprise  یا به عنوان سرویس Cloud همراه با Splunk Cloud استفاده نمود. در ادامه توانایی­های Splunk ES به اختصار ذکر می گردد:

  • مانیتورینگ مستمر در جهت واکنش نسبت به رویدادها
  • ایجاد یک مرکز عملیات امنیت (SOC)
  • شناسایی سریع حملات داخلی و خارجی و واکنش مقتضی
  • تسهیل مدیریت تهدید
  • کاهش ریسک و افزایش محافظت از کسب‌ و کار
  • امکان استفاده از تمام داده­ها برای تیم امنیتی در تمام سطوح سازمان
  • ارائه قابلیت‌های جدید برای مدیریت Alertها، قدرت کشف و شناسایی پویا، جستجوهای زمینه‌ای و همچنین شناسایی و تحلیل سریع تهدیدهای پیشرفته
  • ارائه انعطاف‌پذیری در سفارشی‌سازی در جهت بهبود عملکردهایی شامل جستجوها، هشدارها، گزارشات و داشبوردها مطابق با نیازهای خاص؛ برای انجام مانیتورینگ مستمر، پاسخ‌گویی به رویدادها، مرکز عملیات امنیتی (SOC)
  • ایجادامنیت مبتنی بر تجزیه و تحلیل و مانیتورینگ مستمر برای تهدیدها
  • بهینه‌سازی عملیات‌های امنیتیبا زمان پاسخ‌گویی کوتاه‌تر
  • بهبود وضعیت امنیتبا ایجاد دید End-to-End نسبت به تمامی اطلاعات دستگاه‌ها
  • افزایش قابلیت‌های بررسی و شناسایی با هدف شناسایی ناهنجاری­ها و تهدیدها
  • اتخاذ تصمیمات آگاهانه‌تر نسبت به تهدیدات

نتیجه گیری

با توجه به مطالبی که ذکر شد، SIEM  یک فن­آوری جدیدی است که برای امنیت سازمان­ها به­ کار می­رود تا بتوان به­وسیله آن از حملات هکرها و بدافزارهای مخرب جلوگیری کرد. هدف اصلی SIEM متمرکز کردنLog  ها، گزارشگیری  و مدیریت آنها می­باشد. امروزه شرکت­های بسیاری این محصول را در معماری­های مختلف ارائه می­دهند که یکی از برترین این شرکت ها در زمینه SIEM شرکت SPLUNK  است.

آشنایی با فورتی وب Fortiweb

 

WAF) Web Application Firewall) چیست ؟

  ‌برنامه‌های کاربردی تحت وب‌ به راحتی مورد حمله  Attacker ها قرار می‌گیرند. اگرچه تطبیق با استاندارد‌های Payment Card Industry Data Security یا به اختصار PCI DSS ، دلیل اصلی پیاده سازی WAF‌ یا به عبارتی Web Application Firewall ، در اکثر سازما‌ن‌ها می‌باشد اما برای بسیاری از کارشناسان روشن است که برنامه‌‌های کاربردی تحت وب حفاظت نشده، می‌توانند راحت‌ترین راه نفوذ حتی برای هکر‌های مبتدی محسوب ‌شوند. برنامه‌های کاربردی تحت وب که نیاز به ارتباط با شبکه‌هایی خارج از شبکه‌ی داخلی را دارند، در مقابل حملاتی چون Cross Site Scripting ،SQL injection و حملات DoS در لایه Application آسیب‌پذیر می‌باشند. برنامه‌های کاربردی تحت وب درون سازمانی، در صورت دسترسی مهاجم به شبکه داخلی به راحتی در معرض آسیب قرار خواهند گرفت؛ این موضوع برخلاف تصور اکثر سازمان‌ها در مورد این شبکه‌ها است که فکر می‌کنند از طریق سطوح امنیتی موجود در شبکه (Perimeter (Network، کاملا محافظت می‌شوند. معمولا کد‌هایی که به صورت سفارشی و متناسب با نیاز‌های سازمان خاصی ایجاد می‌گردد، به عنوان ضعیف‌ترین ارتباط تلقی می‌شود، چرا که داشتن اطلاعات و آگاهی در مورد جدیدترین نوع حملات برای تیم‌های توسعه، امری غیرممکن می‌باشد. از طرفی کدهای تجاری Commercial Code نیز دارای آسیب‌پذیری می‌باشند زیرا بسیاری از سازمان‌ها به دلیل نداشتن منابع لازم قادر به استفاده از Patch ها و اصلاحات امنیتی به محض در دسترس قرار گرفتن آنها، نمی‌باشند. حتی در صورت استفاده از تمامی Patch ها و در اختیار داشتن خدمات مجموعه‌ای از ارائه دهندگان سیستم‌های امنیتی، باز هم امکان بی دفاع شدن کاربر در مقابل حملات Zero-Day وجود دارد و پاسخگویی به آن‌ها نیز صرفا پس از وقوع آن امکان‌پذیر می‌باشد.

امنیت جامع و گسترده برنامه‌های تحت وب با FortiWeb

FortiWeb با کمک یک رویکرد مرتبط و چند‌ لایه پیشرفته می‌تواند امنیت کامل در مقابل ریسک‌های امنیتی موجود در OWASP Top 10  و بسیاری از تهدیدات دیگر برای برنامه‌های کاربردیِ تحت وب‌ در شبکه‌های داخلی و خارجی را فراهم نماید. در FortiWeb، با استفاده از سرویس‌های IP Reputation آسیب‌ پذیری‌ های ناشی از بات‌ نت‌ها و دیگر منابع مخرب به صورت خودکار حذف می‌گردند. با بهره‌مندی از قابلیت شناسایی حملات DoS و پیشگیری از آن‌ها در این تکنولوژی، می‌توان برنامه‌های کاربردی را از Overload شدن ناشی از حملات DoS در لایه Application ایمن نگاه داشت؛ به علاوه اینکه با کمک FortiWeb می‌توان صحت درخواست‌ های فرستاده شده و عدم دستکاری آن‌ها را با استفاده از روش اعتبار سنجی HTTP RFC بررسی کرد. در این فرایند درخواست‌ها با Signature های FortiWeb  بررسی شده تا مقایسه‌ای بین درخواست ایجاد شده و انواع مختلف حملات شناسایی شده، انجام گردد و نسبت به تحت تاثیر قرار نگرفتن درخواست‌ توسط این حملات، اطمینان حاصل شود. با سرویس‌های آنتی ویروس و ضد بدافزار Built-In موجود در این تکنولوژی می‌توان تمامی فایل‌ها، ضمایم و یا کدها را پاکسازی نمود. موتور Auto-learning Behavioral Detection در این سرویس قادر به بازنگری کلیه درخواست‌هایی است که از آزمون حملاتِ شناخته شده به سلامت عبور کرده‌اند. در صورت خارج بودن درخواست از محدوده‌ی پارامتر‌های خودکار یا پارامترهای کاربر، درخواست مسدود می‌گردد. در نهایت FortiWeb به ارائه یک موتور ارتباطی Correlation Engine می‌پردازد که چندین رویداد از لایه‌های امنیتی مختلف را به یکدیگر مرتبط می‌نماید تا تصمیمات دقیق‌تری را اتخاذ نماید و محافظت در برابر پیچیده‌‌ترین حملات را میسر سازد. بدین ترتیب یک فرآیند محافظت تقریبا ۱۰۰ درصدی در مقابل کلیه حملات برنامه‌های تحت وب از جمله تهدیدات Zero-day به عمل می‌آید که سیستم‌های مبتنی بر فایل  File-Based قادر به شناسایی آن نمی‌باشند.

 Fortiweb  WAF چیست؟

قابلیت اسکن برای کشف آسیب‌پذیری‌ها

تنها FortiWeb است که با داشتن یک اسکنر آسیب‌پذیری برای‌ برنامه‌های تحت وب در هر دستگاه، می‌تواند انطباق آن با استاندارد PCI DSS را بدون هرگونه هزینه اضافی عملی نماید. قابلیت اسکن آسیب‌پذیری در FortiWeb تمامی عناصر برنامه‌های کاربردی را به شکلی دقیق بررسی کرده و در نتیجه اطلاعاتی جامع از ضعف‌های بالقوه در برنامه‌های کاربردی را در اختیار قرار می‌دهد. این قابلیت همواره با نسخه‌های به‌روز‌رسانی به صورت پیوسته و مرتب از سوی FortiGuard Labs به‌ روزرسانی می‌گردد.

یکپارچگی کامل  FortiWeb با FortiGate و FortiSandbox

همگام‌ با گسترش روز‌افزون تهدیدات، برای حفاظت از برنامه‌های کاربردی تحت‌ وب باید رویکردی چندجانبه نسبت به تهدیدات جدید، اتخاذ نمود. تهدیدات امنیتی پیشرفته با هدف قرار دادن کاربران می‌توانند نسبت به حملات Single-vector سنتی که تنها از یک روش برای حمله استفاده می‌کردند، اشکال متفاو‌ت و بسیاری را به ‌خود گرفته و بدین ترتیب از محافظت ارائه شده توسط یک دستگاه واحد عبور نمایند. ادغام FortiWeb با FortiGate و FortiSandbox ، محافظت مبتنی بر WAF را از طریق همزمان‌سازی و به‌اشتراک‌گذاری اطلاعات مرتبط با تهدیدات افزایش می‌دهد تا علاوه بر اسکن فایل‌های مشکوک، منابع داخلی آلوده را نیز به اشتراک ‌گذارد.

FortiWeb به عنوان یکی از محصولات متعدد Fortinet ، امکان یکپارچه‌سازی با پلتفرم پیشرفته‌ی شناسایی تهدید FortiSandbox را فراهم می‌نماید. FortiWeb قابلیت پیکربندی با FortiSandbox را دارا بوده و بدین ترتیب می‌تواند اطلاعات مربوط به تهدید را به اشتراک‌ گذاشته و تهدیدها را به محض شناسایی در محیط FortiSandbox ، مسدود نماید. فایل‌های آپلود شده در وب سرور‌ها برای تجزیه و تحلیل به FortiSandbox و Cloud FortiSandbox ارسال می‎شوند. با شناسایی فایل‌های مخرب بلافاصله هشدارها ارسال شده و فایل‌های مشابه بعدی سریعاً مسدود می‌شوند.

یکپارچگی با FortiGate امکان به اشتراک‌گذاری آدرس IP‌های Quarantine یا قرنطینه شده را فراهم می‌کند که در فایروال Fortigate شناسایی و نگهداری می‌شوند. FortiWeb با بررسی‌ مداوم Fortigate، با آخرین لیست از منابع داخلی آلوده یا مشکوک به آلودگی به‌روز شده و جریان ترافیک از این دستگاه‌ها را برای جلوگیری از وارد آمدن خسارات بیشتر Block می‌نماید.

علاوه بر موارد ذکر شده، کاربران Fortigate می‌توانند پیاده‌سازی FortiWeb را در یک شبکه‌ی مبتنی ‌بر Fortinet ساده‌سازی نمایند. FortiGate را می‌توان با استفاده از پروتکل WCCP طوری پیکربندی نمود که بدون نیاز به تنظیم دستی روتر‌ها یا سرویس‌های DNS، ترافیک HTTP را به منظور بررسی به FortiWeb هدایت کند. کاربران می‌توانند یک سری قواعد اختصاصی را ایجاد نمایند تا با استفاده از Policy‌ های جامع Forwarding Granular، ترافیک خاصی را مسیریابی نمایند.

FortiWeb به‌ طور کامل با FortiGate یکپارچه‌ می‌شود تا از ترافیک HTTP برای انجام بررسی‌ و اشتراک اطلاعات Quarantined IP عبور نماید.‌

کاهش False Positive در FortiWeb

از قابلیت های مهم FortiWeb، در بر داشتن ابزارهای پیشرفته جهت کاهش وضعیت False Positive به همراه قابلیت ارزیابی کاربر و Session Tracking می باشد.

در صورت عدم پیکربندی WAF به شکلی درست، این احتمال وجود دارد که شناسایی (False Positive  شناسایی نادرست یک مورد به عنوان تهدید) بسیار دردسر ساز باشد. اگرچه ممکن است نصب یک WAF تنها چند دقیقه طول بکشد اما تنظیم دقیق آن با هدف به حداقل رساندن False Positive ها شاید مستلزم صرف روز‌ها و حتی هفته‌ها باشد؛ مضافا این‌که تغییرات و اصلاحات مداوم و منظم در مورد برنامه‌های‌ کاربردی و متناسب با تغییرات محیطی نیز مطرح می‌باشد. FortiWeb با ابزار‌های پیشرفته از جمله تنظیم هشدار، ایجاد White List، موارد استثنا در فرآیند یادگیری خودکار، شناسایی تهدیدات مرتبط به هم و آنالیز ساختاری مبتنی بر کد با این مشکل مقابله می‌کند.

Fortiweb تنها نمونه‌ای از تجهیزات WAF می‌باشد که از قابلیت ارزیابی کاربر و ردیابی Session برای ارتقای بیشتر ابزار‌های کاهش False Positive استفاده می‌کند. مدیران می‌توانند برای هر کدام از لایه‌های حفاظتی WAF در FortiWeb سطح مربوط به تهدید را اختصاص دهند و سپس یک Trigger Threshold را تعریف نمایند که قابلیت Block نمودن، مانیتور و گزارش‌گیری در مورد کاربرانی را ارائه می‌کند که در طول Session از مرز مشخص مربوط به رویدادهای متعدد تخطی کرده‌اند. پیش ‌از ‌این هرگز چنین سطحی از سفارشی‌سازی و هم‌بستگی پیشرفته در هیچ یک از تجهیزات WAF وجود نداشته است که به‌ نوبه‌ خود می‌تواند تعداد فرآیندهای شناسایی False Positive ها را با توجه به میزان حساسیت تعیین شده توسط مدیران کاهش دهد.

ردیابی کاربران با استفاده از قابلیت‌های FortiWeb

با استفاده از FortiWeb امکان مانیتور نمودن تمامی کاربران احراز هویت شده و Trackنمودن فعالیت‌های آن‌ها در برنامه‌های کاربردی تحت وب فراهم می‌شود. در صورتی که یک کاربر فعالیتی را انجام دهد که از دید Fortiweb به عنوان حمله شناخته شود، تمامی Log های مربوط به آن فعالیت و ترافیک مربوطه به نام‌ کاربری  ضمیمه شده و اجرای قوانین و فرآیند جرم‌شناسی را میسر می‌سازد.

تامین امنیت با FortiWeb

گروه تحقیقاتی FortiGuard Labs به عنوان مبنای اصلی برای بسیاری از لایه‌های FortiWeb در رویکردهای امنیتی مربوط به برنامه‌های کاربردی به شمار می‌رود. سرویس‌های ‌FortiGuard در سه حالت مجزا ارائه می‌شوند که کاربر می‌تواند با انتخاب سرویس مورد نظر خود از برنامه‌های تحت وب محافظت نماید.

سرویس IP Reputation می‌تواند کاربر را در مقابل منابع شناخته شده‌ی حملات، نظیر بات‌ نت‌ها، Spammer ها، پروکسی‌ های ناشناس و سایر منابع در معرض آلودگی با نرم‌افزار‌های مخرب محافظت نماید. طراحی سرویس امنیتی FortiWeb به نحوی است که صرفا برای FortiWeb و مواردی همچون Signature‌ های لایه Application ، روبات‌ های مخرب، الگو‌های URLی مشکوک و نسخه‌ های به‌روز‌رسانی برای بررسی آسیب‌پذیری‌ های وب، مناسب می‌باشد. در نهایت می‌توان بیان نمود که FortiWeb ، موتور ضد ویروس سطح بالای FortiGuard را ارائه می‌نماید که آپلود تمامی‌ فایل‌ها‌ را جهت یافتن هرگونه تهدید که منجر‌ به آلودگی در سرور‌ و دیگر عناصر شبکه گردد، اسکن می‌کند.

قابلیت Virtual Patching

FortiWeb امکان یکپارچه‌ سازی با اسکنر‌‌‌های آسیب‌پذیری Third-Party از قبیل Acunetix ،HP WebInspect ، IBM AppScan، Qualys و  WhiteHat را به منظور ارائه Dynamic Patch‌ های مجازی جهت حل مشکلات امنیتی در محیط برنامه‌های کاربردی فراهم می‌نماید. آسیب‌ پذیری‌هایی که توسط این اسکنرها شناسایی می‌شوند از طریق FortiWeb به صورت خودکار و سریعا تبدیل به قواعد امنیتی می‌شوند و تا زمانی که Developer ها کد برنامه را جهت مقابله با این آسیب‌ پذیری تغییر ندهند، وجود خواهند داشت.

قابلیت SSL Offloading

FortiWeb قادر است بیش از ده‌ها هزار تراکنش تحت ‌وب را با ارائه قابلیت SSL Offloading که در اکثر مدل‌ ها به صورت سخت‌‌افزاری می‌باشد، پردازش نماید. FortiWeb با برخورداری از قابلیت رمزگذاری Encryptionو رمزگشایی Decryption، می‌تواند در یک بازه زمانی تقریبا Real-Time و با استفاده از Chipset‌های ASIC، هرگونه تهدید‌ علیه برنامه‌های کاربردی ایمن را به راحتی شناسایی نماید.

عرضه برنامه‌های کاربردی و فرآیند احراز هویت

FortiWeb قادر به ارائه سرویس‌های Load Balancing پیشرفته در لایه ۷ و Authentication Offload می‌باشد. FortiWeb می‌تواند با بهره‌مندی از سرویس هوشمند و پیشرفته Load Balancing در لایه ۷، بار کاری برنامه‌های کاربردی را به‌ راحتی بر روی چندین سرور تقسیم نماید؛ همچنین این تکنولوژی قابلیت ترکیب با SSL Offloading جهت تعدیل بار ترافیک برنامه‌های کاربردی ایمن که از SSL استفاده می‌نمایند را دارا می‌باشد. علاوه بر موارد فوق، این سیستم می‌تواند میزان استفاده از پهنای باند و مدت زمان پاسخگویی برنامه‌های کاربردی پر‌محتوا به کاربران را با استفاده از فشرده‌سازی ترافیک پروتکل HTTP، بهبود ‌بخشند. سرویس Authentication Offloading از قابلیت یکپارچگی با بسیاری از سرویس‌های احراز هویت از جمله LDAP ، NTLM ، Kerberos و RADIUS که خود دارای احراز هویت دو مرحله‌ای RADIUS و RSA SecureID می‌باشد، برخوردار است. با استفاده از این سرویس‌های احراز هویت، می‌توان وب‌سایت‌ها را به‌راحتی ایجاد نمود و از قابلیت Single Sign On یا به اختصار SSO، برای هر یک از برنامه‌های ‌کاربردی از جمله برنامه‌های کاربردی مایکروسافت مانند Outlook Web Access و SharePoint استفاده کرد.

بنابراین، می‌توان بیان نمود که در صورت استفاده از FortiWeb، مدت زمان پاسخگویی برنامه‌های کاربردی از طریق  Cache نمودن محتوا‌های پرکاربرد در مقایسه با مدت زمان درخواست برای همان اطلاعات اما بدون استفاده از Cache، کاهش می‌یابد.

گزینه های مربوطه به VM و Cloud

Fortiweb حداکثر انعطاف‌ پذیری را در پشتیبانی از محیط‌ های ترکیبی و مجازی فراهم می‌نماید. نسخه‌های مجازی Frotiweb به طور کامل از ویژگی‌های تجهیزات سخت‌افزاری پشتیبانی نموده و به راحتی با بهترین Hypervisor ها از جمله VMware ، Mircorosft Hyper-V ، Citrix XenServer ، Open Source Xen و KVM کار می‌کند. این تکنولوژی حتی برای Amazon Web Services و Microsoft Azure نیز قابل به‌کارگیری می‌باشد.

مدیریت مرکزی و گزارش‌گیری

Fortiweb به ارائه ابزارهایی برای کاربران جهت مدیریت تجهیزات مختلف و به دست آوردن دیدگاهی ارزشمند نسبت به حملاتی که قصد آسیب‌ رسانی به برنامه های کاربردی سازمان را دارند، می‌پردازد. کاربر از طریق یک کنسول مدیریتی مجازی واحد می‌تواند چندین Gateway متعلق به Fortiweb را پیکربندی و مدیریت نماید. در صورت نیاز به یک دید یکپارچه نسبت به تهدیدات شبکه، Fortiweb به راحتی با تجهیزات گزارش‌گیری FortiAnalyzer یکپارچه می‌گردد تا فرایند Logging متمرکز و تجمیع گزارشات از ابزارهای مختلف Fortiweb انجام شود.