امروزه، اگر چه مدیران امنیتی سازمان با وجود دانش و تجربهای که دارند و میتوانند حملاتی که رایج هستند را به خوبی شناسایی و برطرف نمایند، ولی به مرور این حملات و نفوذها با توجه به تولید بیش از پیش حجم زیاد دادهها و پیدا کردن حملات ناشناخته در میان آنها، تغییر کرده و هوشمندتر شده است.
با در نظرگیری این دغدغه ها، دیگر نمیتوان با روشهای سنتی و قدیمی لاگهای تولید شده توسط تجهیزات شبکه را ارزیابی و حملات را خنثی کرد، بلکه نیاز به یک راهکار جدید و پیشرفته برای محافظت از دادههای در جریان بستر شبکه احساس میشود.
محصول Splunk راهکاری نوین است که میتواند لاگهای سیستم را بهخوبی دستهبندی کرده و آنها را به صورتهای مختلف برای تحلیل سادهتر نمایش دهد، تا کارشناسان امنیت شبکه سازمان بتوانند این رفتارهای مشکوک را در کمترین زمان ممکن شناسایی کرده و به آنها پاسخ دهند. با توجه به هوشمندتر شدن حملات، راهکار مورد نظر باید بتواند رفتارهای مختلف کاربران و لاگهای تولید شده را جمعآوری کند و بین آنها روابط منطقی به وجود بیاورد و به تیم امنیت کمک کند تا زمان و شدت اثر تهدیدها را به حداقل میزان ممکن برسانند. یکی از بهترین گزینههای پیش روی سازمانها برای این کار اسپلانک است. اسپلانک پلتفرمی است که در قلب مرکز امنیت شبکه سازمان قرار میگیرد و از دادههای حیاتی و مهم سازمان محافظت میکند. اگر در مجموعه شما لاگ تولید میشود به اسپلانک نیاز دارید.
این محصول، در حقیقت یک راهکار SIEM است که توسط این شرکت ارائه گردیده است. محصول مذکور رایگان نیست و برای استفاده از قابلیت های قدرتمند آن باید لایسنس Splunk خریداری کرد. برخی از مهمترین قابلیتهای این محصول عبارتند از:
- یکپارچه سازری قدرتمند وقایع
- نظارت لحظه ای بر شبکه
- قابلیت تولید هشدار براساس سیاست های از پیش تعریف شده و رخدادها
- اولویت بندی و پاسخگویی به رویدادها
- قابلیت استفاده از Threat Intelligence به صورت کاملا عملیاتی
نرم افزار Splunk به شما این امکان را می دهد که داده های جمع آوری شده از مؤلفه های زیرساخت شبکه یا تجارت خود را جستجو، تجزیه و تحلیل و تجسم کنید. بصورت کلی این نرم افزار داده های مختلفی از قبیل وب سایت ها، برنامه ها، حسگرها، دستگاه ها و غیره در اختیار شما قرار می دهد و قابلیت این را دارد تا جریان داده ها را بصورت یک سری از رویدادهای فردی تجزیه کرده، بطوری که براحتی بتوان آنها را مشاهده و جستجو کرد.
ویژگی های Splunk Enterprise
نرم افزار اسپلانک شامل ویژگی های متنوعی میباشد که در ادامه به آن خواهیم پرداخت:
قابلیت Apps and Add-ons
از مزایای های مهم Splunk Enterprise می توان به قابلیت گسترش آن اشاره کرد و شما می توانید با برنامه های مختلف، محیط آن را متناسب با نیازهای خاص سازمان خود گسترش دهید. این برنامه ها، که در Splunkbase موجود میباشند، شامل مجموعه ای از پیکربندی ها ، Objectها، و داشبوردهای گوناگون هستند که بر روی پلت فرم لایسنس اسپلانک اجرا می شوند.
قابلیت مانیتورینگ اسپلانک
با استفاده از قابلیت های مانیتورینگ و مشاهده هشدارها و رویدادهای اسپلانک، مدیران میتوانند هشدارها را برای ایجاد اقدامات از پیش تعریف شده، مانند ارسال اطلاعات هشدار به آدرس های ایمیل مشخص شده ، ارسال اطلاعات سیسکو ، ارسال هشدار به یک فید RSS و اجرای اسکریپت سفارشی مانند برنامه ارسال یک رویداد هشدار برای syslog تنظیم کنید.
داشبورد اسپلانک
داشبوردها در اسپلانک شامل پنل ها، فیلدها ، نمودارها و غیره است. پنل های داشبورد معمولاً نتایج جستجوهای تکمیل شده و داده های حاصل از جستجوهای زمان واقعی را که در پس زمینه اجرا می شوند ، نمایش می دهند.
ویرایشگر محوری
در نرم افزار اسپلانک Pivot به جدول ، نمودار یا تجسم داده هایی که با استفاده از ویرایشگر محوری ایجاد می کنید ، اشاره دارد. ویرایشگر Pivot به کاربران امکان می دهد صفات تعریف شده توسط اشیاء مدل داده را به جدول ، نمودار یا تجسم داده ها بدون نیاز به نوشتن جستجوها در زبان پردازش جستجو (SPL) برای تولید آنها ، نقشه برداری کنند. محورها را می توان به عنوان گزارش ذخیره کرد و به داشبورد اضافه کرد.
گزارش ها
Splunk Enterprise به شما امکان می دهد جستجوها و محوری ها را به عنوان گزارش ذخیره کنید ، و سپس گزارش ها را به عنوان صفحه به داشبورد اضافه کنید. گزارش ها را بصورت اختصاصی اجرا کنید ، برنامه ای را برای اجرای آنها در یک بازه معمولی انجام دهید، یا یک گزارش برنامه ریزی شده برای تولید هشدار در صورت برآورده شدن نتیجه در شرایط خاص تنظیم کنید.
مدل داده اسپلانک
مدل های داده، دانش تخصصی دامنه را در مورد یک یا چند مجموعه داده فهرست بندی شده رمزگذاری می کنند. آنها کاربران Pivot Editor را قادر می سازند بدون گزارش جستجوهایی که ایجاد می کنند ، گزارش و داشبورد ایجاد کنند.
لایسنس Splunk
بصورت کلی، برای فعالسازی قابلیت های این محصول لایسنس Splunk مورد نیاز میباشد. این نرم افزار دارای لایسنس های متنوع زیر میباشد که قابلیت های مختلفی را برروی آن فعال میگرداند:
- لایسنس حجمی اسپلانک
- لایسنس Splunk ES
- لایسنس Splunk UBA
- لایسنس Splunk ITSI
- لایسنس Splunk PCI
- لایسنس Splunk Phantom
لایسنس Splunk Enterprise
لایسنس نرم افزار Splunk ES یا لایسنس Enterprise Security، با فعالسازی قابلیت های این نرم افزار، به عنوان یک راهکار امنیتی مطلوب، این امکان را برای تیم امنیتی فراهم میکند تا حملات داخلی و خارجی را به سرعت شناسایی نموده، نسبت به آن واکنش نشان داده، مدیریت تهدید را تسهیل کرده و علاوه بر موارد ذکر شده، تیم امنیتی را قادر میسازد تا از تمام دادهها استفاده نموده و نسبت به کل سازمان و اطلاعات امنیتی آن دید پیدا کند.
سلب مسئولیت: مطالب منتشرشده در دسته رپورتاژ آگهی توسط شرکتهای ثالث تهیه شده اند و جنبه تبلیغاتی یا بیانیه خبری دارند. این مطالب صرفاً بازنشر شده و شهرسختافزار مسئولیتی در قبال صحت محتوای آن ندارد.
نظر خود را اضافه کنید.
برای ارسال نظر وارد شوید
ارسال نظر بدون عضویت در سایت