نرم افزار اسپلانک

محصول اسپلانک راهکاری ارزشمند است که میتواند لاگ‌های سیستم را به‌خوبی دسته‌بندی کرده و آن‌ها را به صورت‌های مختلف برای تحلیل ساده‌تر نمایش دهد، تا کارشناسان امنیت شبکه سازمان بتوانند این رفتارهای مشکوک را در کمترین زمان ممکن شناسایی کرده و به آن‌ها پاسخ دهند. با توجه به هوشمند‌تر شدن حملات، راهکار مورد نظر باید بتواند رفتارهای مختلف کاربران و لاگ‌های تولید شده را جمع‌آوری کند و بین آن‌ها روابط منطقی به وجود بیاورد و به تیم امنیت کمک کند تا زمان و شدت اثر تهدیدها را به حداقل میزان ممکن برسانند. یکی از بهترین گزینه‌های پیش روی سازمان‌ها برای این کار اسپلانک است. اسپلانک پلتفرمی است که در قلب مرکز امنیت شبکه سازمان قرار می‌گیرد و از داده‌های حیاتی و مهم سازمان محافظت می‌کند. اگر در مجموعه شما لاگ تولید می‌شود به اسپلانک نیاز دارید.

ویژگی نرم افزار اسپلانک

نرم افزار Splunk در واقعیت یک راهکار SIEM بحساب میاید که توسط این شرکت ارائه گردیده است. محصول مذکور رایگان نیست و برای استفاده از قابلیت‌ های قدرتمند آن باید لایسنس Splunk خریداری کرد. برخی از مهمترین قابلیت‌های این محصول عبارتند از:

• تجمیع وقایع
• نظارت آنی بر شبکه
• ویژگی تولید هشدار براساس سیاست های از پیش تعریف شده و رخدادها
• اولویت ‌بندی و پاسخگویی به رویدادها
• توانایی استفاده از Threat Intelligence به صورت کاملا عملیاتی

نرم افزار اسپلانک به مدیران این امکان را می دهد که داده های جمع آوری شده از مؤلفه های زیرساخت  شبکه یا تجارت خود را جستجو، تجزیه و تحلیل و تجسم کنند. بصورت کلی این نرم افزار داده های مختلفی از قبیل وب سایت ها، برنامه ها، حسگرها، دستگاه ها و غیره در اختیار شما قرار می دهد و قابلیت این را دارد تا جریان داده ها را بصورت یک سری از رویدادهای فردی تجزیه کرده، بطوری که براحتی بتوان آنها را مشاهده و جستجو کرد.

اجزا و معماری اسپلانک

معماری اسپلانک متشکل از سه عنصر اصلی زیر است:

• Forwarder: برای جمع آوری لاگ از تجهیزات امنیتی مانند فایروال، آنتی ویروس، سیستم تشخیص نفوذ ویا تجهیزات شبکه مانند سوییچ و روتر و یا دیگر سنسور های مورد نیاز استفاده می شود.
• Indexer: برای ذخیره و پردازش داده ای که توسط فورواردر جمع آوری شده استفاده می شود.
• Search Head: به عنوان رابط گرافیکی کاربر، برای اجرای جستجو، تحلیل و گزارش برروی داده ایندکس شده استفاده می شود.

ماژول های اصلی اسپلانک که با توجه به نیاز می توانند مورد استفاده قرار گیرند به شرح زیر می باشد:

• Enterprise Security: ماژول امنیتی اسپلانک می باشد که با ویژگی هایی که دارد آن را تبدیل به SIEM برای بررسی و شناسایی تهدیات امنیتی می نماید.
• User Bahavior Analytics: به کمک این ماژول می توان تهدیدات امنیتی داخلی را بررسی و شناسایی نمود.
• IT Service Intelligence: به کمک این ماژول می توان سرویس های مربوط به IT را مورد بررسی قرار داد.

نرم افزار اسپلانک UBA چیست؟

تکنولوژی Splunk User Behavior Analytics  یا به اختصار Spunk UBA، که جهت آنالیز رفتار کاربران لایسنس اسپلانک مورد استفاده قرار می‌گیرد دارای قابلیت‌های زیادی است که در زیر به چند مورد از مهم‌ترین آن اشاره می‌کنیم:

• ارتقاء روند تشخصی و شناسایی حملات سایبری و تهدیدات داخلیِ شناخته‌شده، ناشناخته و پنهان
• افزایش اثربخشی تحلیل‌گران امنیتی از طریق اولویت‌بندی تهدیدات و اجتناب از ارزیابی مثبت کاذب یا False Positive
• کاربری ساده برای تحلیل‌گران SOC، بررسی‌کنندگان رویدادها و مدیران SEIM

با توجه به اینکه اصولا حملات سایبریِ پیچیده، در حالت پنهان قرار گرفته و به سختی شناسایی می گردند، شناسایی آنها برای محافظت از داده‌های محرمانه از اهمیت زیادی برخوردار است. این بدین معنا است که وظیفه تیم‌های امنیتی در حال حاضر، شناسایی و پاسخگویی به تهدیدهای پنهان در محیط، صرف‌نظر از بزرگی سازمان یا مجموعه مهارت‌ها می‌باشد.

فرآیند تجزیه و تحلیل رفتار کاربران Splunk License موسوم به Splunk UBA، به سازمان‌ها کمک می‌نماید تا با استفاده از یادگیری ماشینی (جزئی از هوش مصنوعی)، اصول اولیه رفتاری، تجزیه و تحلیل گروه‌های مشابه و همبستگی پیشرفته، بتوانند تهدیدهای شناخته‌شده، شناخته‌نشده و پنهان را شناسایی نمایند و APTهای فعال در وضعیت پنهان، آلودگی‌های بدافزاری (Malware) و تهدیدات داخل سازمانی (Insider Threat) را تشخیص دهند. Splunk UBA، علاوه بر اینکه بر روند تحلیل امنیتی و جریان‌های کاری جوینده نظارت دارد، به حداقل اقدامات مدیریتی نیازمند است و با زیرساخت‌های فعلی ادغام می‌گردد تا تهدیدات پنهان را شناسایی کند.

قابلیت های نرم افزار Splunk Enterprise

از مزایای های مهم Splunk Enterprise می توان به قابلیت گسترش آن اشاره کرد و شما می توانید با برنامه های مختلف، محیط آن را متناسب با نیازهای خاص سازمان خود گسترش دهید. این برنامه ها، که در Splunkbase موجود میباشند، شامل مجموعه ای از پیکربندی ها ، Objectها، و داشبوردهای گوناگون هستند که بر روی پلت فرم Splunk اجرا می شوند.

در ادامه میتوان، با استفاده از قابلیت های مانیتورینگ و مشاهده هشدارها و رویدادهای اسپلانک، مدیران میتوانند هشدارها را برای ایجاد اقدامات از پیش تعریف شده، مانند ارسال اطلاعات هشدار به آدرس های ایمیل مشخص شده ، ارسال اطلاعات سیسکو ، ارسال هشدار به یک فید RSS و اجرای اسکریپت سفارشی مانند برنامه ارسال یک رویداد هشدار برای Syslog تنظیم کنید.

همچنین داشبوردها در اسپلانک شامل پنل ها، فیلدها ، نمودارها و غیره است. پنل های داشبورد معمولاً نتایج جستجوهای تکمیل شده و داده های حاصل از جستجوهای زمان واقعی را که در پس زمینه اجرا می شوند ، نمایش می دهند.

در این نرم افزار، المان Pivot  به جدول ، نمودار یا تجسم داده هایی که با استفاده از ویرایشگر محوری ایجاد می کنید ، اشاره دارد. ویرایشگر Pivot به کاربران امکان می دهد صفات تعریف شده توسط اشیاء مدل داده را به جدول ، نمودار یا تجسم داده ها بدون نیاز به نوشتن جستجوها در زبان پردازش جستجو (SPL) برای تولید آنها ، نقشه برداری کنند. محورها را می توان به عنوان گزارش ذخیره کرد و به داشبورد اضافه کرد.

Splunk Enterprise به شما امکان می دهد جستجوها و محوری ها را به عنوان گزارش ذخیره کنید ، و سپس گزارش ها را به عنوان صفحه به داشبورد اضافه کنید. گزارش ها را بصورت اختصاصی اجرا کنید ، برنامه ای را برای اجرای آنها در یک بازه معمولی انجام دهید، یا یک گزارش برنامه ریزی شده برای تولید هشدار در صورت برآورده شدن نتیجه در شرایط خاص تنظیم کنید.

مدل های داده، دانش تخصصی دامنه را در مورد یک یا چند مجموعه داده فهرست بندی شده رمزگذاری می کنند. آنها کاربران Pivot Editor را قادر می سازند بدون گزارش جستجوهایی که ایجاد می کنند ، گزارش و داشبورد ایجاد کنند.

انواع لایسنس Splunk

بصورت کلی، برای فعالسازی قابلیت های این محصول لایسنس Splunk مورد نیاز میباشد. این نرم افزار دارای لایسنس های متنوع زیر میباشد که قابلیت های مختلفی را برروی آن فعال میگرداند:

• لایسنس حجمی اسپلانک
• لایسنس Splunk ES
• لایسنس Splunk UBA
• لایسنس Splunk ITSI
• لایسنس Splunk PCI
• لایسنس Splunk Phantom