امنیت, splunk

6 قابلیت اساسی SIEM مدرن در سرویس Splunk

قابلیت اساسی SIEM
رای بدهید

قابلیت های فنی SIEM مدرن در سرویس Splunk

حال با آگاهی از 6 قابلیت اساسی SIEM مبتنی بر تحلیل، به بررسی تکنولوژی‌هایی مدرن بر مبنای آنها کار می‌کند، پرداخته می‌شود. این بخش به درک و آگاهی خواننده از تمایز SIEM مدرن، سنتی و مدل‌های نوظهور این بازار مانند فروشندگان user behavior analytics) UBA)، کمک شایانی می‌کند. به کلیه علاقه مندان بازار پیشنهاد می‌شود، گزارش سالیانه Gartner در ارتباط با اطلاعات امنیتی و مدیریت رخدادها را مطالعه نمایند. با تکامل SIEM، این گزارش گسترش یافته و تکنولوژی‌ها و فروشندگان جدید همچون UEBA را نیز در بر می‌گیرد. تحلیلگران شرکت گزارشات تکمیلی در ارتباط با این ابزار تهیه کردند که به قابلیت فنی SIEM مدرن و تفاوت‌های آن نسبت به سایر راهکارهایی همچون Splunk اشاره دارد. جدول زیر این قابلیت‌ها را نمایش می‌دهد. شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای SIEM را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید.

Splunk SIEM سنتی Open Source رقبای نوظهور
1.   جمع ­آوری وقایع و رخدادها YES       YES YES   YES
2.    نرم افزارهای بهنگام از قوانین مرتبط   YES     YES DIY     YES
3.    نرم ­افزارهای بهنگام از تحلیل پیشرفته و machine learning   YES محدود DIY       YES
4.    تجزیه و تحلیل تشریحی بلند مدت و machine learning   YES محدود DIY محدود
5.    ذخیره ­سازی طولانی مدت رخدادها   YES محدود     YES محدود
6.    جستجو و ارایه گزارش از داده ­های نرمالیزه شده     YES       YES     YES     YES
7.    جستجو و ارایه گزارش از داده ­های خام   YES پیچیده     YES پیچیده
8.    ورود context data به منظور تحلیل­ ها و یافتن ارتباطات بیشتر YES محدود YES محدود
9.    شناسایی و درک موارد غیرامنیتی YES NO DIY NO
این صفحه رو کلیک کن به کارت میاد!  تشریح نرم افزار Tenable.AD در 4 سطر

جمع آوری وقایع و رخدادها در Splunk

تحلیلی می‌بایست قادر به جمع آوری، استفاده و تحلیل کلیه وقایع ثبت شده و ارایه یک رویکرد یکپارچه بهنگام باشد. این قابلیت امکان مدیریت مرکزی گزارشات وقایع ثبت شده، یافتن ارتباط وقایع رخ داده در روزهای مختلف و سیستم های متفاوت، بررسی ارتباط سایر منابع اطلاعاتی مانند تغییرات رجیستری و ISA Proxy log، را فراهم می‌کند. همچنین محققان حوزه امنیت، توانایی انجام هرگونه حسابرسی و ارایه گزارش از رخدادها را خواهند داشت.

کاربرد به موقع از همبستگی قوانین  Real-time application of correlation rules

تشخیص همبستگی رویدادها، مسیری برای شناسایی رویدادهای امنیتی است و از طریق بررسی ارتباط رویدادها دید کاملی نسبت به ماهیت آن‌ها بدست می دهد. یکی از صورت‌های پایه تجزیه و تحلیل در SIEM که درک کاملی نسبت به ماهیت داده‌ها ارایه داده و الگوی آنها را آشکار می‌کند. بنابراین تحلیلگران امنیتی امکان بررسی دقیق تر و شناسایی تهدیدات پیش از بروز هرگونه حادثه‌ای را خواهند داشت.
تحقیقات اخیر Forrester نشان داد؛ 74 درصد از مسئولین تکنولوژی‌های امنیتی سازمان‌ها در سطح جهان بر این باورند که ارتقا قابلیت نظارت و پایش امنیتی را از اولویت‌های اساسی سازمان‌ها محسوب می‌شود. فروشندگان، قابلیت‌های تحلیل امنیتی جدیدی را به زیرساخت امنیتی موجود می‌افزایند و کمپانی‌های جدید تکنولوژی‌های نوینی را بدون در نظر داشتن راهکارهای سنتی ارایه می‌دهند. Machine learning) ML) قابلیت تحلیل داده‌ها را ارتقا داده و سازمان‌ها را، از طریق یک راهکار تحلیلی به منظور ارایه تحلیل‌های پیشنگرانه و دقیق، تقویت می‌کند. این رویکرد پرسنل امنیتی سازمان‌ها را در شناسایی حوداث، پیشگویی و جلوگیری از آنها یاری می‌کند.

ذخیره سازی طولانی مدت رخدادها در اسپلانک

راهکارهای SIEM مبتنی بر تحلیل قابلیت ذخیره داده‌های وقایع ثبت شده را برای مدت زمان طولانی دارند. این قابلیت امکان بررسی ارتباط و هم بستگی داده در طولانی مدت و تامین الزامات تعهدات قانونی را فراهم می‌کند. اهمیت نگهداری طولانی مدت اطلاعات زمانی که تحلیلگران امنیتی به انجام بررسی های مسیر یک حمله پرداخته و نقاط ضعف شبکه را شناسایی می‌کنند، مشهود خواهد شد.

این صفحه رو کلیک کن به کارت میاد!  نرم افزار Netsparker چیست

جستجو و ارایه گزارش از داده های نرمالیزه شده “Search and reporting on normalized data”

قابلیت جستجو و ارایه گزارش، به کاربران امکان جستجو در داده‌ها، ساخت مدل‌های داده و تعیین اساس آن، ذخیره جستجوها به عنوان یک گزارش، پیکربندی هشدارها و ساخت داشبوردهایی با قابلیت به اشتراک گذاری را می‌دهد.

جستجو و ارایه گزارش از داده های خام در اسپلانک

جستجو و ارایه گزارش از داده‌های خام از منظر SIEM، شامل جمع آوری داده از منابع مختلف و تجمیع آن توسط یک راهکار مبتنی بر تحلیل است. برخلاف SIEM سنتی، راهکارهای مدرن قابلیت دریافت داده از هر منبعی را دارند. پس از جمع آوری داده‌ها، تحلیلی آنها را به داده‌های هوشمند عملیاتی تبدیل کرده و به صورت گزارش‌های ساده در سطح بستر آن توزیع کرده و به مراجع ذی صلاح ارایه می‌کند.

ورود context data به منظور تحلیل ها و یافتن ارتباطات بیشتر

پس از تجمیع اطلاعات توسط راهکارهای SIEM تحلیلی، کاربر به اطلاعات بیشتری جهت تصمیم گیری در ارتباط با درک این داده‌ها و رویکرد خود در قبال آنها نیاز دارد. این مهم از منظر شناسایی حملات حقیقی، تفکیک آنها از هشدارهای کاذب، پاسخ و واکنش مناسب در مقابله با حملات واقعی اهمیت ویژه ای دارد. همچنین، مبتنی بر تحلیل، زمینه لازم جهت ارایه سیستم هوشمند مقابله با تهدیدات خارجی، تعیین روند عملیات IT داخلی و شناسایی الگوی رخدادها، را فراهم می‌کند. این قابلیت‌ها کاربر را در انجام واکنش مناسب و به موقع در مقابله یا تهدیدات حقیقی یاری می‌کند.
تمایز دیگری میان SIEM مبتنی بر تحلیل و شیوه سنتی آن، در توانایی استفاده از آن در زمینه های مختلف همچون موارد غیر امنیتی مانند IT Ops است.

 

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

هجده − 14 =