آرمان داده پویان

پیشگام در ارائه راهکارهای

SIEM

تحقق پایش و کنترل ۲۰ آسیب پذیری برتر به گزارش SANS توسط SPLUNK

نقش Splunk در تحقق ۲۰ اسیب پذیری برتر SANS

پوشش کنترل های امنیتی SNAS با Splunk

SPLUNK چیست

 اسپلانک پلتفرمی قدرتمند جهت جمع آوری لاگ‌ها، جستجو، مشاهده، آنالیز و تحلیل داده‌هاست. این پلتفرم با پردازش هزاران هزار لاگ تولید شده توسط نرم افزارها، مفسرها، تجهیزات امنیتی و .. اطلاعات ارزشمندی را کشف می کند که با چشم قابل رویت نیستند. به بیان دیگر اسپلانک داده‌های خام را جمع آوری و  فهرست بندی می‌کند، سپس بر اساس قواعد ساختار یافته‌ای همبستگی‌های معناداری بین داده‌ها ایجاد می‌کند. همچنین اسپلانک، قابلیتی در اختیار شما قرار می دهد که به راحتی می‌توانید بر روی تمام داده‌ها با هر نوع تنوع و فیلتری عملیات جستجو را انجام و نتایج استخراج شده را به صورت گراف، گزارش و هشدار مشاهده کنید.

 اسپلانک این امکان را فراهم می‌‌کند تا با ایجاد سطحی از هوش عملیاتی و با نگاهی تیزبینانه، بخشی از آنچه که هرگز دیده نشده بوده را مشاهده کنید. این نگاه می‌تواند سازمان را در سطح بالاتری از عملکرد، رقابت، سودآوری و امنیت قرار دهد. توسط اسپلانک داده‌های تجهیزات و ماشین‌های مختلف می‌توانند به اطلاعات قابل بهره ‌برداری و ارزشمند تبدیل شوند.

قابلیت های SPLUNK

محصول اسپلانک، به عنوان یک ابزار تجمیع رویدادها، ویژگی‌های اصلی  برای برگزیده شدن در سازمان‌های مختلف را دارد. مهمترین این ویژگی‌ها، سرعت بالا در پردازش و ارائه داده‌ها، و نیز سطح بالای سازگاری با داده‌های مختلف قابل تجمیع می‌باشد.

جمع آوری و شاخص‌بندی طیف وسیعی از داده‌‌ها

جهت ورود داده‌ها به اسپلانک روش‌های مختلفی به شرح زیر قابل استفاده و تعریف می‌باشد:

  • بارگذاری فایل‌ها درفرمت‌های ساخت یافته‌ای مانند CSV و فایل‌های ثبت وقایع محلی.
  • دریافت خودکار داده‌ها از مسیری مشخص، Syslog، Script ، WMI و …
  • دریافت داده از ارسال کننده اسپلانک

همچنین با توجه به هوشمندی اسپلانک، امکان شاخص‌بندی داده‌های متعارف شامل موارد زیر قابل انجام می‌باشد:

  • داده های ساخت یافته، مانند CSV , JSON, XML
  • فایل‌های رویداد و ثبت وقایع محصولات مایکروسافت مانند Exchange, Active Directory…
  • رویدادهای قابل ارسال از طریق Syslog (جمع آوری رویدادها از تجهیزاتی مانند سوئیچ‌های سیسکو)
  • رویدادهای ایجاد شده توسط سرویس دهنده‌های وب مانند Apache و IIS
  • سرویس دهنده‌های بانکهای اطلاعاتی، Oracle, MS SQL Server, My SQL

با دریافت داده‌ها از منابع مختلف و شاخص‌بندی آنها، امکان دریافت اطلاعات، پیام‌ها و آمار از تجهیزات و برنامه‌ها، سرویس دهنده‌ها و تجهیزات فیزیکی و یا مجازی شبکه فراهم می‌گردد.

گزارش


گزارش‌های متنوع که حاصل جستجوهای سیستم است از مهم‌ترین خروجی‌های اسپلانک است. این گزارش‌ها در قالب‌های مختلف و نمودارهای متنوع قابل دسترسی هستند. همچنین تبدیل اطلاعات و ارسال داده‌ها به قالب‌های مختلف نیز از قابلیت‌های اسپلانک است.

این گزارش‌ها در نهایت قابلیت تجمیع در کنار یکدیگر و ایجاد داشبوردهای متنوع جهت سطوح مختلف کاربران را دارند.

استخراج هوشمندانه فیلدها

با توجه به شناسایی انواع داده‌های متعارف توسط اسپلانک، ساختار داده‌ها به همراه شاخص‌گذاری بهینه برای آنها در سیستم شکل می‌گیرد که به بازیابی سریع داده‌ها کمک می‌کند. علاوه بر آن، امکان شناسایی فیلدها و انتخاب آن بصورت دستی امکان تولید ساختار داده‌ای کامل‌تری را به مدیر سیستم ارائه می‌نماید.

مقیاس پذیری

امکان استفاده از اسپلانک در سطح سازمان‌ها و شرکت‌های کوچک و متوسط تا سازمان‌های بزرگ از قابلیت‌های آن است. معماری این برنامه به گونه‌ای می‌باشد که می‌تواند هم به صورت یک سرور تنها، برای مجموعه‌های کوچک و هم به صورت توزیع شده و بسط یافته برای سازمان‌های بسیار بزرگ، قابل پیاده‌سازی و بهره ‌برداری باشد.

جستجو و بررسی


ابزارهای جستجو شامل جستجوهای منطقی، امکان جستجوی رشته، استفاده از wildcard در پارامترهای جستجو، جستجوی بلادرنگ، جستجو در بازه زمانی و سایر ابزارها، سهولت کافی را در دریافت نتیجه ایجاد می‌کنند. نتایج جستجو می‌توانند به صورت گزارش، نمودار و داشبوردهای متنوع ذخیره و نمایش داده شوند.

طراحی، مشاوره، پیاده سازی و تامین لایسنس Splunk  در ایران
آرمان داده پویان پیشگام در ارائه راهکارهای SIEM