• Splunk | برترین SIEM سال ۲۰۱۶

    طراحی، مشاوره، پیاده سازی و تامین لایسنس Splunk در ایران
    آرمان داده پویان پیشگام در ارائه راهکارهای SIEM

ضرورت استفاده از Splunk به عنوان SIEM

بدون بررسی و تحلیل لاگ‌های ثبت شده، امکان تشخیص وقوع حمله وجود ندارد. در این صورت، ممکن است با وجود گذشت ماه‌ها از نفوذ مهاجمین به سیستم‌های هدف، سازمان هیچ اطلاعی از نشت اطلاعات صورت گرفته نداشته باشد. لاگ‌ها گاهی تنها مدرک قابل استناد از وقوع یک حمله موفقیت‌آمیز هستند. همچنین ممکن است لاگ‌ها تنها راه برای تشخیص هویت مهاجمین باشد. حتی در صورت اطلاع سازمان از وقوع حمله، بدون داشتن لاگ‌هایی جامع و دست‌کاری نشده توسط مهاجمین، سازمان نسبت به جزییات حمله هیچ دیدی نخواهد داشت.

امروزه با بهرگیری از ساختار چند لایه دفاعی و استقرار تجهیزات امنیتی گوناگون، مدیریت وقایع گزارش شده توسط این سیستم‌ها امری بسیار زمان‌بر خواهد بود. همچنین داده های به دست آمده از این تجهیزات به خودی خود اطلاعاتی فراتر از آنچه که از ظاهر آنها پیداست ندارند. یک سامانه متمرکز به منظور دریافت، جمع آوری و ساختار دادن به این وقایع میتواند کمک بسیاری زیادی در تحلیل سریع و برقراری ارتباط‌های منطقی بین این وقایع گزارش شده نماید.

تحقق پایش و کنترل ۲۰ آسیب پذیری برتر به گزارش SANS توسط Splunk

نقش Splunk در تحقق ۲۰ اسیب پذیری برتر SANS

پوشش کنترل های امنیتی SNAS با Splunk

Splunk چیست

 Splunk پلتفرمی قدرتمند جهت جمع آوری لاگ‌ها، جستجو، مشاهده، آنالیز و تحلیل داده‌هاست. این پلتفرم با پردازش هزاران هزار لاگ تولید شده توسط نرم افزارها، مفسرها، تجهیزات امنیتی و .. اطلاعات ارزشمندی را کشف می کند که با چشم قابل رویت نیستند. به بیان دیگر Splunk داده‌های خام را جمع آوری و  فهرست بندی می‌کند، سپس بر اساس قواعد ساختار یافته‌ای همبستگی‌های معناداری بین داده‌ها ایجاد می‌کند. همچنین Splunk، قابلیتی در اختیار شما قرار می دهد که به راحتی می‌توانید بر روی تمام داده‌ها با هر نوع تنوع و فیلتری عملیات جستجو را انجام و نتایج استخراج شده را به صورت گراف، گزارش و هشدار مشاهده کنید.

Splunk این امکان را فراهم می‌‌کند تا با ایجاد سطحی از هوش عملیاتی و با نگاهی تیزبینانه، بخشی از آنچه که هرگز دیده نشده بوده را مشاهده کرد. این نگاه می‌تواند سازمان را در سطح بالاتری از عملکرد، رقابت، سودآوری و امنیت قرار دهد. توسط Splunk داده‌های تجهیزات و ماشین‌های مختلف می‌توانند به اطلاعات قابل بهره ‌برداری و ارزشمند تبدیل شوند.

قابلیت های Splunk

محصول Splunk، به عنوان یک ابزار تجمیع رویدادها، ویژگی‌های اصلی  برای برگزیده شدن در سازمان‌های مختلف را دارد. مهمترین این ویژگی‌ها، سرعت بالا در پردازش و ارائه داده‌ها، و نیز سطح بالای سازگاری با داده‌های مختلف قابل تجمیع می‌باشد.

جمع آوری و شاخص‌بندی طیف وسیعی از داده‌‌ها

جهت ورود داده‌ها به Splunk روش‌های مختلفی به شرح زیر قابل استفاده و تعریف می‌باشد:

  • بارگذاری فایل‌ها درفرمت‌های ساخت یافته‌ای مانند CSV و فایل‌های ثبت وقایع محلی.
  • دریافت خودکار داده‌ها از مسیری مشخص، Syslog، Script ، WMI و …
  • دریافت داده از ارسال کننده Splunk

همچنین با توجه به هوشمندی Splunk، امکان شاخص‌بندی داده‌های متعارف شامل موارد زیر قابل انجام می‌باشد:

  • داده های ساخت یافته، مانند CSV , JSON, XML
  • فایل‌های رویداد و ثبت وقایع محصولات مایکروسافت مانند Exchange, Active Directory…
  • رویدادهای قابل ارسال از طریق Syslog (جمع آوری رویدادها از تجهیزاتی مانند سوئیچ‌های سیسکو)
  • رویدادهای ایجاد شده توسط سرویس دهنده‌های وب مانند Apache و IIS
  • سرویس دهنده‌های بانکهای اطلاعاتی، Oracle, MS SQL Server, My SQL

با دریافت داده‌ها از منابع مختلف و شاخص‌بندی آنها، امکان دریافت اطلاعات، پیام‌ها و آمار از تجهیزات و برنامه‌ها، سرویس دهنده‌ها و تجهیزات فیزیکی و یا مجازی شبکه فراهم می‌گردد.

جستجو و بررسی

ابزارهای جستجو شامل جستجوهای منطقی، امکان جستجوی رشته، استفاده از wildcard در پارامترهای جستجو، جستجوی بلادرنگ، جستجو در بازه زمانی و سایر ابزارها، سهولت کافی را در دریافت نتیجه ایجاد می‌کنند. نتایج جستجو می‌توانند به صورت گزارش، نمودار و داشبوردهای متنوع ذخیره و نمایش داده شوند.

استخراج هوشمندانه فیلدها

با توجه به شناسایی انواع داده‌های متعارف توسط Splunk، ساختار داده‌ها به همراه شاخص‌گذاری بهینه برای آنها در سیستم شکل می‌گیرد که به بازیابی سریع داده‌ها کمک می‌کند.

علاوه بر آن، امکان شناسایی فیلدها و انتخاب آن بصورت دستی امکان تولید ساختار داده‌ای کامل‌تری را به مدیر سیستم ارائه می‌نماید.

پایش و اخطار

اخطارها در Splunk در شرایط مختلفی می‌توانند ایجاد و ارسال شوند. به عنوان نمونه ایجاد یک هشدار یا اخطار با ایجاد یک پرس و جو یا جستجوی ساده می‌تواند اعمال شود. زمانبندی این هشدارها نیز با قابلیت نظارت و پایش همزمان قابل اجرا است. اینکه در یک هشدار چه رویدادی اجرا گردد نیز درSplunk  قابل تعریف است. ارسال رایانامه، اجرای Script و یا نمایش اخطار از جمله اقدامات نتیجه یک پایش است.

گزارش

گزارش‌های متنوع که حاصل جستجوهای سیستم است از مهمترین خروجی‌های Splunk است. این گزارش‌ها در قالب‌های مختلف و نمودارهای متنوع قابل دسترسی هستند. همچنین تبدیل اطلاعات و ارسال داده‌ها به قالب‌های مختلف نیز از قابلیت‌های Splunk است.

این گزارش‌ها در نهایت قابلیت تجمیع در کنار یکدیگر و ایجاد داشبوردهای متنوع جهت سطوح مختلف کاربران را دارند.

مقیاس پذیری

امکان استفاده از Splunk در سطح سازمان‌ها و شرکت‌های کوچک و متوسط تا سازمان‌های بزرگ از قابلیت‌های آن است.

معماری این برنامه به گونه‌ای می‌باشد که می‌تواند هم به صورت یک سرور تنها، برای مجموعه‌های کوچک و هم به صورت توزیع شده و بسط یافته برای سازمان‌های بسیار بزرگ، قابل پیاده‌سازی و بهره ‌برداری باشد.

آرمان داده پویان تامین کننده برترین تجهیزات و راهکارهای امنیتی

ما را دنبال نمایید