آرمان داده پویان

پیشگام در ارائه راهکارهای

SIEM

اسپلانک چیست و چه قابلیت‌هایی دارد؟

اسپلانک (Splunk) گزینه‌ای مناسب برای تحلیل داده‌های تولید شده توسط نرم افزارها و سخت افزارهای مختلف سازمان شما می‌باشد. اگر چه کارشناسان مرکز امنیت شبکه با وجود دانش و تجربه‌ای که در زمینه حملات متعدد دارند، می‌توانند حملاتی که متداول هستند را به خوبی شناسایی و برطرف کنند، اما این روزها جنس حملات امنیتی تغییر کرده و هوشمندتر شده است. تولید روز افزون حجم زیاد داده‌ها پیدا کردن حملات ناشناخته را به یک دغدغه بزرگ برای سازمان‌های کوچک و بزرگ تبدیل کرده است. امروزه دیگر نمی‌توان با روش‌های سنتی و قدیمی لاگ‌های تولید شده توسط تجهیزات شبکه را ارزیابی و حملات را خنثی کرد، بلکه نیاز به یک راهکار جدید و پیشرفته برای محافظت از داده‌های در جریان بستر شبکه احساس می‌شود.

راهکاری که بتواند لاگ‌های سیستم را به‌خوبی دسته‌بندی کند و آن‌ها را به صورت‌های مختلف برای تحلیل ساده‌تر نمایش دهد، تا کارشناس امنیت شبکه سازمان بتواند رفتارهای مشکوک را در کمترین زمان ممکن شناسایی کرده و به آن‌ها پاسخ دهد. با توجه به هوشمند‌تر شدن حملات، راهکار مورد نظر باید بتواند رفتارهای مختلف کاربران و لاگ‌های تولید شده را جمع‌آوری کند و بین آن‌ها روابط منطقی به وجود بیاورد و به تیم امنیت کمک کند تا زمان و شدت اثر تهدیدها را به حداقل میزان ممکن برسانند. یکی از بهترین گزینه‌های پیش روی سازمان‌ها برای این کار اسپلانک است. اسپلانک پلتفرمی است که در قلب مرکز امنیت شبکه سازمان قرار می‌گیرد و از داده‌های حیاتی و مهم سازمان محافظت می‌کند. اگر در مجموعه شما لاگ تولید می‌شود به اسپلانک نیاز دارید.

اسپلانک چه کارایی برای مدیریت داده‌های حجیم دارد؟

اسپلانک پلتفرمی قدرتمند جهت جمع‌آوری لاگ‌ها، جستجو، مشاهده، آنالیز و تحلیل داده‌ها است. این پلتفرم با پردازش حجم انبوه لاگ‌های تولید شده توسط نرم‌افزارها، مفسرها، تجهیزات امنیتی و …، اطلاعات ارزشمندی را کشف می‌کند که با چشم قابل رویت نیستند.

به‌عبارت‌دیگر اسپلانک داده‌های خام را جمع‌آوری و فهرست بندی می‌کند، سپس بر اساس قواعد ساختاریافته‌ای همبستگی‌های معناداری بین داده‌ها ایجاد می‌کند. همچنین اسپلانک، قابلیتی در اختیار شما قرار می‌دهد که به‌راحتی می‌توانید بر روی تمام داده‌ها با هر نوع تنوع و فیلتری، عملیات جستجو را انجام دهید و نتایج استخراج‌شده را به‌صورت‌های مختلفی از جمله نمودارهای گرافیکی مشاهده کنید. در حقیقت، با کمک نرم‌افزار Splunk، جستجوی یک داده خاص در دسته‌ای از داده‌های پیچیده آسان می‌شود.

برای درک بهتر عملکرد این پلتفرم، عملکرد موتور جستجوی گوگل را بررسی می‌کنیم. عملکرد اسپلانک شبیه عملکرد گوگل برای داده‌های جاری در بستر اینترنت است. گوگل داده‌های ورودی کاربران را جمع‌آوری کرده و دسته‌بندی می‌کند، سپس این امکان را برای سایرین فراهم می‌کند که با جستجوی عبارت مد نظر خود بتوانند به جواب درست برسند. این دسته‌بندی‌ها مطابق الگوهای خاصی انجام می‌شود و قوانینی برای این موتور جستجو در نظر گرفته‌شده که کاربران بتوانند نتیجه درست و دقیق جستجوی خود را در کمترین زمان و با هر دستگاهی از جمله لپ‌تاپ، تبلت، موبایل و… به دست بیاورند.

SPL یا زبان پردازش جستجو Splunk این امکان را برای شما فراهم می‌کند که، یک نام کاربری خاص را جستجو کنید و عملکرد وی را در یک بازه زمانی مشخص ببینید. این زبان ابزاری بسیار قدرتمند برای غربالگری مقادیر زیادی از داده‌ها و انجام عملیات آماری در یک زمینه خاص است. یادگیری SPL آسان است و این امکان را به شما می‌دهد که درباره هر داده‌ای هر سوالی را از ماشین بپرسید. با وجود این زبان، اسپلانک امکان مشاهده وقایعی که در زیرساخت رخ می‌دهند را فراهم می‌کند تا بهتر بتوانید عملکرد سیستم را نظاره گر باشید و مسائل امنیتی را برای داده‌های حجیم تولید شده کنترل کنید.

 چرا باید اسپلانک را تهیه کنیم؟

 اسپلانک این امکان را فراهم می‌‌کند تا با ایجاد سطحی از هوش عملیاتی و با نگاهی تیزبینانه، بخشی از آنچه که هرگز دیده نشده بوده را مشاهده کنید. این نگاه می‌تواند سازمان را در سطح بالاتری از عملکرد، رقابت، سودآوری و امنیت قرار دهد. همچنین اسپلانک این امکان را فراهم می‌کند که داده‌های تجهیزات و ماشین‌های مختلف به اطلاعات قابل بهره‌برداری و ارزشمند تبدیل شوند.

اسپلانک به‌عنوان یک ابزار تجمیع رویدادها، ویژگی‌های چشم­گیری برای برگزیده شدن در سازمان‌های مختلف را دارد. مهم‌ترین ویژگی‌های این پلتفرم، سرعت بالا در پردازش و ارائه داده‌ها و سطح بالای سازگاری با داده‌های مختلف قابل تجمیع است. دیگر قابلیت‌های اسپلانک عبارتند از:

جمع‌آوری و شاخص بندی طیف وسیعی از داده‌‌ها

جهت ورود داده‌ها به اسپلانک روش‌های مختلفی به شرح زیر قابل استفاده و تعریف می‌باشد:

  • بارگذاری فایل‌ها درفرمت‌های ساخت یافته‌ای مانند CSV و فایل‌های ثبت وقایع محلی.
  • دریافت خودکار داده‌ها از مسیری مشخص، Syslog، Script ، WMI و …
  • دریافت داده از ارسال کننده اسپلانک

همچنین با توجه به هوشمندی اسپلانک، امکان شاخص‌بندی داده‌های متعارف شامل موارد زیر قابل انجام می‌باشد:

  • داده های ساخت یافته، مانند CSV , JSON, XML
  • فایل‌های رویداد و ثبت وقایع محصولات مایکروسافت مانند Exchange, Active Directory…
  • رویدادهای قابل ارسال از طریق Syslog (جمع آوری رویدادها از تجهیزاتی مانند سوئیچ‌های سیسکو)
  • رویدادهای ایجاد شده توسط سرویس دهنده‌های وب مانند Apache و IIS
  • سرویس دهنده‌های بانکهای اطلاعاتی، Oracle, MS SQL Server, My SQL

با دریافت داده‌ها از منابع مختلف و شاخص بندی آن‌ها، امکان دریافت اطلاعات، پیام‌ها و آمار از تجهیزات و برنامه‌ها، سرویس‌دهنده‌ها و تجهیزات فیزیکی و یا مجازی شبکه فراهم می‌شود.

Splunk Enterprise


گزارش‌های متنوع


از مهم‌ترین خروجی‌های اسپلانک می‌توان به ارائه گزارش‌های متنوع که حاصل جستجوهای سیستم است اشاره کرد. این گزارش‌ها در قالب‌های مختلف و نمودارهای متنوع قابل‌دسترسی هستند. همچنین تبدیل اطلاعات و ارسال داده‌ها به قالب‌های مختلف نیز از قابلیت‌های اسپلانک به شمار می‌رود. درنهایت، این گزارش‌ها قابلیت تجمیع در کنار یکدیگر و ایجاد داشبوردهای متنوع جهت سطوح مختلف کاربران را دارند.

مقیاس پذیری


امکان استفاده از اسپلانک در شرکت‌های کوچک و متوسط تا سازمان‌های بزرگ از قابلیت‌های دیگر این پلتفرم است. معماری این برنامه به‌گونه‌ای طراحی‌شده که هم می‌تواند به‌صورت یک سرور تنها برای مجموعه‌های کوچک و هم به‌صورت توزیع‌شده و بسط یافته برای سازمان‌های بسیار بزرگ قابل پیاده‌سازی و بهره‌برداری باشد

جستجو و بررسی


ابزارهای جستجوی اسپلانک که شامل جستجوهای منطقی، امکان جستجوی رشته، استفاده از wildcard در پارامترهای جستجو، جستجوی بلادرنگ، جستجو در بازه زمانی و سایر ابزارها هستند، سهولت کافی را در دریافت نتیجه برای کاربر ایجاد می‌کنند. نتایج جستجو می‌توانند به‌صورت گزارش، نمودار و داشبوردهای متنوع ذخیره و نمایش داده شوند.

استخراج هوشمندانه فیلدها


با توجه به شناسایی انواع داده‌های متعارف توسط اسپلانک، ساختار داده‌ها به همراه شاخص بهینه برای آن‌ها در سیستم شکل می‌گیرد که به بازیابی سریع داده‌ها کمک می‌کند. علاوه بر آن، امکان شناسایی فیلدها و انتخاب آن به‌صورت دستی امکان تولید ساختار داده‌ای کامل‌تری را به مدیر سیستم ارائه می‌کند.

محصولات اسپلانک و خدماتی که آرمان داده پویان ارائه می‌دهد

Splunk Enterprise Security Solution (ES)

با وجود تولید حجم انبوه داده‌ها در طول روز، امکان شناسایی حملات امنیتی دشوار است. برای اینکه بتوانید تمام تهدیدهای امنیتی متوجه سازمان را شناسایی کنید، به یک محصول کارآمد نیاز دارید. Splunk Enterprise Security یک راه حل برای تامین امنیت اطلاعات و مدیریت رویدادها (SIEM) است که تیم‌های امنیتی را قادر می‌سازد تا به‌سرعت حملات داخلی و خارجی را شناسایی کرده و به آن‌ها پاسخ دهند. باوجوداینکه Splunk Enterprise تمام داده‌های تولید شده توسط ماشین، داده‌های فضای آنلاین و محیط ابر را جمع‌آوری می‌کند و توانایی آنالیز حجم بالایی از داده‌ها را در مدت زمان کوتاهی دارد، مدیریت تهدیدها برای شما ساده‌تر خواهد بود. همچنین می‌توانید با کمک این پلتفرم سطح ریسک‌هایی که متوجهتان هستند را کم کرده و از کسب‌وکارتان به بهترین نحو محافظت کنید.

Splunk PCI Compliance

از جمله مواردی که همیشه در زمینه امنیت شبکه مطرح می‌شود، می‌توان به تامین امنیت صنعت کارت پرداخت (PCI DSS)  اشاره کرد. برنامه Splunk PCI Compliance برای کمک به سازمان‌ها در تامین نیازهای PCI DSS 3.2 توسعه‌یافته و پشتیبانی می‌شود. این ابزار کنترل‌های فنی سازگار با PCI را در زمان واقعی بررسی و اندازه‌گیری می‌کند. Splunk PCI تمام زمینه‌های کنترلی را که ممکن است نیاز به رسیدگی داشته باشند شناسایی کرده و اولویت‌بندی می‌کند و به شما این امکان را می‌دهد که هرگونه گزارش یا درخواستی را به‌راحتی و در کمترین زمان بررسی کنید.

Splunk User Behavior Analytics (UBA)

تجزیه‌وتحلیل رفتار کاربر، که گاهی اوقات تجزیه‌وتحلیل رفتار موجودیت کاربر (UEBA) هم نامیده می‌شود، دسته‌ای از نرم‌افزارها است که به تیم‌های امنیتی کمک می‌کند تهدیدات داخلی را شناسایی کرده و به آن‌ها پاسخ دهند . تهدیدهایی که در صورت عدم استفاده از این نرم‌افزارها، ممکن است نادیده گرفته شوند.

UBA با استفاده از یادگیری ماشینی و تجزیه‌وتحلیل، رفتارهای عوامل تهدید را هنگام عبور از قسمت‌های مختلف سازمان را شناسایی و دنبال می‌کند، سپس داده‌ها را از طریق یک سری الگوریتم‌ها برای شناسایی اقدامات غیرعادی کاربر اجرا می‌کند. با توجه به اینکه تهدیدهای داخلی سخت‌ترین و آسیب‌زننده‌ترین مشکلات پیش روی هر سازمانی است، UBA ابزاری ارزشمند برای شناسایی الگوهای مشکوک به‌حساب می‌آید که ممکن است نشانگر سرقت اعتبارنامه، کلاه‌برداری و سایر اقدامات مخرب باشند.

تکنولوژی تجزیه‌وتحلیل رفتار کاربران اسپلانک (UBA)، برای کشف تهدیدهای پنهان محیط از مدل‌سازی رفتاری کاربران، تجزیه‌وتحلیل گروه‌های مشابه و یادگیری ماشین استفاده می‌کند. Splunk UBA به‌طور خودکار رفتارهای غیرعادی کاربران، دستگاه‌ها و برنامه‌ها را تشخیص می‌دهد و این الگوها را برای شناسایی تهدیدهای ویژه شناخته‌شده و پنهان ترکیب کرده و امنیت را برای سازمان‌ها در فضای آنلاین و زیرساخت فراهم می‌کند.

Splunk IT Service Intelligence (ITSI)

Splunk ITSI این امکان را برای سازمان‌ها فراهم می‌کند که با وجود AIOps (هوش مصنوعی برای عملیات فناوری اطلاعات) فراتر از زمان «uptime» حرکت کنند. با وجود ITSI می‌توانید نظارت ۳۶۰ درجه روی خدمات و تجزیه‌وتحلیل داده‌ها و رویدادهای نقاط انتهایی داشته باشید و یک راه حل یکپارچه برای مدیریت حوادث در نظر بگیرید. در حقیقت، Splunk ITSI پیچیدگی فناوری اطلاعات را کاهش می‌دهد و این امکان را برای تیم IT فراهم می‌کند که با کمک یادگیری ماشین، هشدارهای پیش‌بینی‌شده و اصلاح خودکار، از حوادث پیش از آنکه کاربران و مشتریان متوجه آن‌ها شوند پیشگیری کنند.

Splunk Phantom

شناسایی، تجزیه‌وتحلیل و کاهش تهدیدات سازمان همیشه برای تیم‌های امنیت شبکه کار دشواری است؛ زیرا این تیم‌ها با تجهیزات انتهایی در شبکه سر و کار دارند که هر کدام از آن‌ها به‌صورت مستقل عمل می‌کند و در اغلب مواقع دستگاه‌های انتهای ارتباط مستقیم و هماهنگی با هم ندارند. همچنین این نکته را باید مد نظر داشته باشیم که اغلب سازمان‌ها نیروی متبحر کافی در زمینه امنیت شبکه که بتواند هشدارهای امنیتی را تجزیه‌وتحلیل کند را ندارند. این موضوع باعث می‌شود که حوادث امنیتی روی هم جمع شوند و یک مشکل بزرگ و گاهی مواقع غیرقابل‌جبران رخ دهد.

با توجه به این موارد، سازمان‌ها به ابزاری با کارایی و مقیاس‌پذیری بالا نیاز دارند که بتواند با استفاده از منابع موجود، یک سیستم امنیتی مناسب ایجاد کند و خطر حوادث احتمالی را کاهش دهد.

 Splunk Phantom قابلیت تنظیم امنیت، اتوماسیون و پاسخگویی (SOAR) را برای سازمان‌ها فراهم می‌کند. این ابزار به تحلیلگران اجازه می‌دهد تا کارایی را بهبود بخشیده و زمان پاسخ به حوادث را کوتاه کنند. با استفاده از Phantom، سازمان‌ها می‌توانند با قرار دادن تیم‌ها، فرآیندها و ابزارها در کنار یکدیگر، امنیت را بهبود بخشیده و ریسک­ها را بهتر مدیریت کنند.

تیم‌های امنیتی با کمک این ابزار می‌توانند وظایف را به‌صورت خودکار انجام دهند، گردش کار را مرتب کرده و طیف وسیعی از عملکردهای مرکز عملیات امنیتی (SOC) از جمله مدیریت رویدادها و پرونده‌ها، همکاری‌ها و گزارش‌ها را پشتیبانی کنند.

آیا خرید اسپلانک مقرون‌به‌صرفه است؟

قبل از اینکه مبلغی که قصد دارید برای خرید لایسنس اسپلانک بپردازید را محاسبه کنید، بهتر است به پیامدهای نبود این نرم‌افزار و هزینه‌ای که پس از بروز حملات پی‌درپی و ناشناخته ممکن است برای سازمان شما نیاز باشد را برآورد کنید. به نظر شما خرید یک نرم‌افزار قدرتمند که می‌تواند به‌صورت همه‌جانبه لاگ­های تولید شده توسط نرم‌افزار و سخت‌افزارها را کنترل کند منطقی‌تر است، یا منتظر نشستن و پس از بروز حادثه به دنبال برطرف کردن آن بودن.

البته باید این نکته را در نظر داشته باشید که قرار نیست در بین ۱۰۰ تا ۵۰۰ لاگ به دنبال مشکلات احتمالی باشید، گاهی باید چند گیگابایت یا جتی چند ترابایت داده را بررسی کنید که حتی اگر این موضوع برای شما ساده باشد، از نظر زمان‌بندی و هزینه نیروی انسانی مقرون‌به‌صرفه نخواهد بود؛ بنابراین بهتر است این کار را به هوش مصنوعی اسپلانک بسپارید و وقتتان را صرف امور مهم‌تری کنید که می‌تواند شما را نسبت به رقبا چند پله بالاتر ببرد.

قیمت اسپلانک چطور تعیین می‌شود؟

میزان داده‌ای که توسط سازمان شما تولید می‌شود و خرید لایسنس اسپلانک به‌صورت موقت یا دائمی، روی قیمت تمام‌شده این محصول تاثیرگذار است. برای تخمین قیمت تمام‌شده نرم‌افزار اسپلانک باید نیازمندی‌های سازمانتان را بسنجید.

آرمان داده پویان به‌صورت دوره‌ای تخفیف‌هایی برای تهیه Splunk Enterprise ارائه می‌کند. می‌توانید از این تخفیف‌ها بهره‌مند شوید و این پلتفرم با ارزش را  با قیمت کمتری تهیه کنید. برای اطلاع از این تخفیف‌های دوره‌ای، تنها باید شبکه‌های اجتماعی آرمان داده پویان را دنبال کنید. همچنین تیم آرمان داده پویان آماده ارائه مشاوره در این زمینه به تمام شرکت‌های کوچک و بزرگ است.

آیا Splunk یک SIEM است؟

اسپلانک یک SIEM به‌حساب می‌آید که از داده‌های تولید شده توسط ماشین، برای پیدا کردن بینش‌ عملیاتی درباره تهدیدها، آسیب‌پذیری‌ها، فناوری‌های امنیتی و اطلاعات هویتی استفاده می‌کند.

چطور Splunk برای تامین امنیت استفاده می‌شود؟

شرکت‌های بزرگ از Splunk برای طیف گسترده‌ای از عملیات امنیت اطلاعات از جمله ارزیابی وضعیت، نظارت، کنترل هشدارها و حوادث، CSIRT، تجزیه‌وتحلیل و پاسخ به نقض قوانین امنیتی و ارتباط رویدادها استفاده می‌کنند. Splunk می‌تواند در هر اندازه‌ای به‌عنوان SIEM برای فعالیت در مراکز عملیات امنیتی (SOC) استفاده شود.

آیا Splunk ابزاری برای تحلیل داده است؟

اسپلانک یک بستر نرم‌افزاری برای تجزیه‌وتحلیل داده‌های حجیم است. با کمک این ابزار می‌توانید تمام داده‌های سازمان را در یک مکان جمع‌آوری، فهرست‌بندی، جستجو، تجزیه‌وتحلیل و مشاهده کنید. در حقیقت، اسپلانک راهی را برای بینش پیدا کردن درباره داده‌هایی که از تمام منابع می‌رسد را در کمترین زمان برایتان فراهم می‌کند.

Splunk Cloud چه تفاوتی با نرم‌افزار Splunk Enterprise دارد؟

Splunk Cloud ویژگی‌های نرم‌افزار Splunk Enterprises را به‌عنوان یک سرویس استاندارد و مبتنی بر ابر ارائه می‌دهد. با استفاده از Splunk Cloud، شما قابلیت پلتفرم Splunk Enterprise را برای جمع‌آوری، جستجو، نظارت، گزارش و تجزیه‌وتحلیل تمام داده‌های ماشین در زمان واقعی با استفاده از یک سرویس ابری که به‌صورت متمرکز و یکنواخت توسط Splunk برای مشتریانش فراهم‌شده به دست می‌آورید.  Splunk خدمات Splunk Cloud را به‌طور یکنواخت مدیریت و به روز می‌کند، بنابراین همه مشتریان Splunk Cloud جدیدترین ویژگی‌ها را دریافت می‌کنند.

چرا شرکت‌ها از Splunk استفاده می‌کنند؟

اکثر سازمان‌ها Splunk برای استفاده با یکی از اهداف زیر تهیه می‌کنند:

  • مدیریت عملیات فناوری اطلاعات
  • امنیت اطلاعات
  • توسعه عملیات (DevOps)

طراحی، مشاوره، پیاده سازی و تامین لایسنس اسپلانک در ایران
آرمان داده پویان پیشگام در ارائه راهکارهای SIEM