قابلیت های فنی SIEM مدرن در سرویس Splunk
حال با آگاهی از 6 قابلیت اساسی SIEM مبتنی بر تحلیل، به بررسی تکنولوژیهایی مدرن بر مبنای آنها کار میکند، پرداخته میشود. این بخش به درک و آگاهی خواننده از تمایز SIEM مدرن، سنتی و مدلهای نوظهور این بازار مانند فروشندگان user behavior analytics) UBA)، کمک شایانی میکند. به کلیه علاقه مندان بازار پیشنهاد میشود، گزارش سالیانه Gartner در ارتباط با اطلاعات امنیتی و مدیریت رخدادها را مطالعه نمایند. با تکامل SIEM، این گزارش گسترش یافته و تکنولوژیها و فروشندگان جدید همچون UEBA را نیز در بر میگیرد. تحلیلگران شرکت گزارشات تکمیلی در ارتباط با این ابزار تهیه کردند که به قابلیت فنی SIEM مدرن و تفاوتهای آن نسبت به سایر راهکارهایی همچون Splunk اشاره دارد. جدول زیر این قابلیتها را نمایش میدهد. شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای SIEM را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید.
| Splunk | SIEM سنتی | Open Source | رقبای نوظهور | |
| 1. جمع آوری وقایع و رخدادها | YES | YES | YES | YES |
| 2. نرم افزارهای بهنگام از قوانین مرتبط | YES | YES | DIY | YES |
| 3. نرم افزارهای بهنگام از تحلیل پیشرفته و machine learning | YES | محدود | DIY | YES |
| 4. تجزیه و تحلیل تشریحی بلند مدت و machine learning | YES | محدود | DIY | محدود |
| 5. ذخیره سازی طولانی مدت رخدادها | YES | محدود | YES | محدود |
| 6. جستجو و ارایه گزارش از داده های نرمالیزه شده | YES | YES | YES | YES |
| 7. جستجو و ارایه گزارش از داده های خام | YES | پیچیده | YES | پیچیده |
| 8. ورود context data به منظور تحلیل ها و یافتن ارتباطات بیشتر | YES | محدود | YES | محدود |
| 9. شناسایی و درک موارد غیرامنیتی | YES | NO | DIY | NO |
جمع آوری وقایع و رخدادها در Splunk
تحلیلی میبایست قادر به جمع آوری، استفاده و تحلیل کلیه وقایع ثبت شده و ارایه یک رویکرد یکپارچه بهنگام باشد. این قابلیت امکان مدیریت مرکزی گزارشات وقایع ثبت شده، یافتن ارتباط وقایع رخ داده در روزهای مختلف و سیستم های متفاوت، بررسی ارتباط سایر منابع اطلاعاتی مانند تغییرات رجیستری و ISA Proxy log، را فراهم میکند. همچنین محققان حوزه امنیت، توانایی انجام هرگونه حسابرسی و ارایه گزارش از رخدادها را خواهند داشت.
کاربرد به موقع از همبستگی قوانین Real-time application of correlation rules
تشخیص همبستگی رویدادها، مسیری برای شناسایی رویدادهای امنیتی است و از طریق بررسی ارتباط رویدادها دید کاملی نسبت به ماهیت آنها بدست می دهد. یکی از صورتهای پایه تجزیه و تحلیل در SIEM که درک کاملی نسبت به ماهیت دادهها ارایه داده و الگوی آنها را آشکار میکند. بنابراین تحلیلگران امنیتی امکان بررسی دقیق تر و شناسایی تهدیدات پیش از بروز هرگونه حادثهای را خواهند داشت.
تحقیقات اخیر Forrester نشان داد؛ 74 درصد از مسئولین تکنولوژیهای امنیتی سازمانها در سطح جهان بر این باورند که ارتقا قابلیت نظارت و پایش امنیتی را از اولویتهای اساسی سازمانها محسوب میشود. فروشندگان، قابلیتهای تحلیل امنیتی جدیدی را به زیرساخت امنیتی موجود میافزایند و کمپانیهای جدید تکنولوژیهای نوینی را بدون در نظر داشتن راهکارهای سنتی ارایه میدهند. Machine learning) ML) قابلیت تحلیل دادهها را ارتقا داده و سازمانها را، از طریق یک راهکار تحلیلی به منظور ارایه تحلیلهای پیشنگرانه و دقیق، تقویت میکند. این رویکرد پرسنل امنیتی سازمانها را در شناسایی حوداث، پیشگویی و جلوگیری از آنها یاری میکند.
ذخیره سازی طولانی مدت رخدادها در اسپلانک
راهکارهای SIEM مبتنی بر تحلیل قابلیت ذخیره دادههای وقایع ثبت شده را برای مدت زمان طولانی دارند. این قابلیت امکان بررسی ارتباط و هم بستگی داده در طولانی مدت و تامین الزامات تعهدات قانونی را فراهم میکند. اهمیت نگهداری طولانی مدت اطلاعات زمانی که تحلیلگران امنیتی به انجام بررسی های مسیر یک حمله پرداخته و نقاط ضعف شبکه را شناسایی میکنند، مشهود خواهد شد.
جستجو و ارایه گزارش از داده های نرمالیزه شده “Search and reporting on normalized data”
قابلیت جستجو و ارایه گزارش، به کاربران امکان جستجو در دادهها، ساخت مدلهای داده و تعیین اساس آن، ذخیره جستجوها به عنوان یک گزارش، پیکربندی هشدارها و ساخت داشبوردهایی با قابلیت به اشتراک گذاری را میدهد.
جستجو و ارایه گزارش از داده های خام در اسپلانک
جستجو و ارایه گزارش از دادههای خام از منظر SIEM، شامل جمع آوری داده از منابع مختلف و تجمیع آن توسط یک راهکار مبتنی بر تحلیل است. برخلاف SIEM سنتی، راهکارهای مدرن قابلیت دریافت داده از هر منبعی را دارند. پس از جمع آوری دادهها، تحلیلی آنها را به دادههای هوشمند عملیاتی تبدیل کرده و به صورت گزارشهای ساده در سطح بستر آن توزیع کرده و به مراجع ذی صلاح ارایه میکند.
ورود context data به منظور تحلیل ها و یافتن ارتباطات بیشتر
پس از تجمیع اطلاعات توسط راهکارهای SIEM تحلیلی، کاربر به اطلاعات بیشتری جهت تصمیم گیری در ارتباط با درک این دادهها و رویکرد خود در قبال آنها نیاز دارد. این مهم از منظر شناسایی حملات حقیقی، تفکیک آنها از هشدارهای کاذب، پاسخ و واکنش مناسب در مقابله با حملات واقعی اهمیت ویژه ای دارد. همچنین، مبتنی بر تحلیل، زمینه لازم جهت ارایه سیستم هوشمند مقابله با تهدیدات خارجی، تعیین روند عملیات IT داخلی و شناسایی الگوی رخدادها، را فراهم میکند. این قابلیتها کاربر را در انجام واکنش مناسب و به موقع در مقابله یا تهدیدات حقیقی یاری میکند.
تمایز دیگری میان SIEM مبتنی بر تحلیل و شیوه سنتی آن، در توانایی استفاده از آن در زمینه های مختلف همچون موارد غیر امنیتی مانند IT Ops است.
در صورت تمایل به مشاوره رایگان و استفاده از خدمات پایه ریزان فناوری هوشمند می توانید با کارشناسان مجرب ما تماس بگیرید و محصول مورد نیاز خود را با قیمت رقابتی و ضمانت شرکتی دریافت کنید ضمن این که تیم متخصص پایه ریزان با پشتیبانی قوی در کنار شما خواهد بود.
جهت مشاوره رایگان با شماره های زیر تماس بگیرید.
