اخبار داخلی آرمان داده پویان

مقالات

مفاهیم در اسپلانک (قسمت دوم)

مفاهیم در اسپلانک

قسمت دوم

اسپلانک یکی از قدتمندترین SIEMهای موجود در بازار می‌باشد و قابلیت جمع آوری لاگ‌ها، جستجو، مشاهده، آنالیز و تحلیل داده‌ها را دارا می‌باشد. این پلتفرم با پردازش هزاران هزار لاگ تولید شده توسط نرم افزارها، مفسرها، تجهیزات امنیتی و .. اطلاعات ارزشمندی را کشف می کند که با چشم قابل رویت نیستند. به بیان دیگر اسپلانک داده‌های خام را جمع آوری و  فهرست بندی می‌کند. در هنگام راه اندازی مرکز عملیات امنیت (SOC) یکی از اجزای اصلی SIEM می‌باشد. آرمان داده پویان در نظر دارد تا در بخش مقالات آموزشی خود به آموزش یک سری از مفاهیم اولیه مورد استفاده در اسپلانک بپردازد. در بخش دوم به بررسی یک سری از ویژگی‌های اسپلانک از جمله جست و جو، گزارشات، داشبوردها و هشدارها می‌پردازیم.

ویژگی‌های اصلی اسپلانک

جست و جو‌ها

با نوشتن یک جست و جو (search) می‌توانید رویدادها را در اسپلانک بازیابی کنید، با استفاده از دستورات آماری به محاسبه متریک‌ها بپردازید، گزارش تولید کنید، در داده‌های خود الگوهای خاص را بیابید، ترندهای آینده را بیابید. جست و جو در اسپلانک با زبان پردازش جست و جو (SPL) انجام می‌گیرد. همچنین در اسپلانک این قابلیت در اختیار شما گذاشته شده است که این جست و جوها را ذخیره کنید و در داشبوردها استفاده کنید.

گزارشات

این پلتفرم تمامی کاربران IT و استفاده‌کنندگان تجاری از این محصول را قادر می‌سازد تا به تجزیه و تحلیل داده‌های ماشینی پرداخته، به سرعت گزارش ­ها و داشبوردهای مطلوب و کامل ایجاد نموده و از طریق کامپیوتر و یا تجهیزاتی مانند موبایل و تبلت خود به این اطلاعات دسترسی داشته باشند. همچنین امکان ایجاد فایل‌های PDF و اشتراک‌گذاری آن‌ها با سهام‌داران سازمان را بر روی یک مبنای ad hoc و زمانبندی شده، ممکن می‌سازد. در این پلتفرم به منظور افزایش دسترسی، جداول و نمودارها در برنامه‌های مربوط به کسب‌وکار Third-Party قرار داده شده‌اند. با این پلتفرم می‌توان به بررسی دقیق تمامی داده‌ها در یک جدول رویدادهای خام پرداخت و یا سایر داشبوردها، فرم‌ها، نما‌ها و یا وب‌سایت خارجی را بررسی نمود و در نهایت افراد سازمان قادر خواهند بود تا داده‌های ماشینی را به بینش‌های عمیق و همه جانبه‌ای تبدیل نماید.

گزارشات اسپلانک جست و جو‌ها و محورهای ذخیره شده هستد. گزارشات در اسپلانک می‌توانند بر روی یک زمان بندی مشخص تولید شوند همچنین می‌توان برای این گزارشات شرایطی را تعریف کرد و مشخص کرد در صورت بروز این سرایط هشدارهای لازم ارسال شود. گزارشات می‌توانند به داشبورها به عنوان پنل داشبورد اضافه گردند.

داشبودها

داشبوردها از پنل‌ها ساخته می‌شوند و این پنل‌ها از ماژول‌هایی مانند باکس‌های جست و جو، فیلدها و داده‌های بصری سازی شده تشکیل شده‌اند. این پنل‌ها می‌توانند به نتایج جست و جو و یا محورها متصل گردند. آنها همچنین نتایج جست و جوهایی که کامل شده‌اند و همچنین جست و جوهای بلادرنگ را نمایش می‌دهند.

هشدارها

زمانی که نتایج جست و جو شرایط خاصی را نشان می‌دهد زمان ارسال هشدار است.  این هشدارها هم بر روی جست و جوهای بلادرنگ و هم جست و جوهای قدیمی قابل ایجاد و ارسال است. اسپلانک این هشدارها را به صورت‌های مختلفی می‌تواند ارسال نماید. مثلا ارسال رایانامه به افراد مشخص یا ارسال آن‌ها از طریق یک منبع وب.

طراحی، مشاوره، پیاده سازی و تامین لایسنس Splunk  در ایران
آرمان داده پویان پیشگام در ارائه راهکارهای SIEM

تعداد بازدید: 217


تازه ترین ها