معرفی اجمالی اسپلانک

اسپلانک (Splunk) یکی از مجبوب‌ترین و منعطف‌ترین SIEM های موجود در جهان برای ذخیره‌سازی، تجزیه و تحلیل و جستجو روی داده‌ها است. ثبت و بررسی داده‌ها در اسپلانک در یک محیط قابل جستجو از طریق رابط کاربری تحت وب انجام می‌شود که قابلیت نمایش داده‌ها به‌صورت نمودار، جدول ، هشدار و ... را دارد.

می‌توان با استفاده از قابلیت ایجاد گزارش و داشبورد، داشبوردهایی را به منظور مانیتورینگ و تشخیص مشکلات سازمان و ... ایجاد کرد و دارایی‌های اطلاعاتی سازمان‌های مختلف از جمله شرکت‌های امنیتی، مالی، خدماتی و ... را در تمام ساعات شبانه روز بررسی کرد.

از جمله ویژگی‌های این محصول می‌توان به قابلیت تجزیه و تحلیل یا به اصطلاح Pars شدن انواع لاگ‌های متنی اشاره کرد. در واقع این راه حل هیچگونه وابستگی به فرمت لاگ نداشته و صرفا متنی بودن آن‌ها مهم است.

کاربران با استفاده از محصول اسپلانک می‌توانند لاگ تجهیزات امنیتی، تجهیزات زیرساختی مثل سوئیچ ها و روترها، نرم‌افزارها، سیستم عامل ها، تجهیزات هوشمند مانند دارایی های IOT ، OT  و ... را مورد بررسی قرار دهند. این SIEM تمامی‌ این لاگ‌ها را به صورت یکجا ذخیره و دسته بندی می‌کند و بدین ترتیب می‌توان ارتباط بین تغییرات بخش‌های مختلف را به راحتی مشاهده و در صورت لزوم آن‌ها را اصلاح کرد.

این محصول جهت ذخیره سازی لاگ‌های امنیتی یک سازمان نیاز به لایسنس دارد تا ویژگی‌هایی را که کاربران به آن نیاز دارند را برآورده کرده و به صورت موثر، توانایی کار در شبکه یک سازمان را داشته باشد.

هنگام ارسال داده ها به سمت اسپلانک، ابتدا فرآیند Parsing و سپس فرآیند ذخیره سازی یا Indexing انجام شده و سپس ذخیره می‌شوند. همزمان با انجام فرآیند Indexing، اندازه گیری حجم داده‌های دریافت شده و گزارش آن حجم به مولفه‌ی License Master برای محاسبه و بررسی حجم لایسنس است.

استفاده از لایسنس اسپلانک چه مزایایی دارد؟

این روزها دانش تحلیل داده‌ها و همچنین رویدادهای (Logs) شبکه‌های ارتباطی امری بسیار مهم جهت امن سازی کسب و کارها از جمله سازمان و ارگان‌های دولتی و خصوصی است. امنیت اطلاعات پردازشی و ذخیره شده موضوعی بسیار مهم برای شرکت های امنیت سایبری می‌باشد و اگر مورد حمله قرار گیرند، ممکن است به بهای نابودی آن سازمان و ارگان تمام شود.

در این بین ثبت، ویرایش و هر تغییری که بر روی داده های سازمان شکل بگیرد، قادر به ذخیره شدن در ساختار یک رخداد است و به مدیران امنیت و آی تی کمک می‌کند تا از میان این رخدادها موارد مشکوک را کشف و سعی در امن سازی آنها کنند. همچنین شرکت های امنیت سایبری متعددی در داخل و خارج از کشور وجود دارد که وظیفه پایش و بررسی این وقایع را به عهده داشته و در صورت مشاهده‌ی مخاطرات در شبکه یک سازمان ، آنها را گزارش و جهت امن سازی به آنها مشاوره می‌دهند. اسپلانک از جمله پرطرفدارترین نرم افزارهایی است که اطلاعات رخدادی را بصورت خودکار و جامع ثبت می‌کند تا در آینده مورد پایش قرار گیرد.

از طریق پایش این اطلاعات می‌توان گزارش‌های بسیار مهمی را ایجاد و در جهت شناسایی آسیب های شبکه سازمان‌، از آنها استفاده نمود تا به واسطه آن عملیات امن سازی و برطرف کردن رخنه‌ها انجام گردد.

در صورتی که از لایسنس این محصول استفاده شود، قابلیت های زیر برای سازمان یا کاربران فراهم خواهد شد:

• امکان ذخیره سازی حجم وسیعی از داده ها به صورت روزانه
• امکان کلاستر کردن و انجام جستجوی توزیع شده
• بهره وری کامل از ماژول های مختلف اسپلانک نظیر Splunk Enterprise Security و …
• امنیت بالاتر به واسطه فعال سازی احراز هویت و سایر ماژول های امنیتی
• عدم اختلال در ذخیره سازی و تحلیل داده ها

لایسنس اسپلانک بر اساس حجم داده‌، نوع کاربر، مدت زمان و نوع پلتفرم تقسم بندی می‌شوند:

• لایسنس ها از نظر حجم داده

لایسنس Enterprise: این نوع لایسنس به کاربر حجم‌های مختلف مانند (1، 10، 100 و ...) گیگابایت داده در روز را ارائه می‌دهد. به بیانی دیگر، با استفاده از این مدل لایسنس، می توان به میزان 1، 10، 100 یا ... گیگابایت لاگ یا داده را روزانه ذخیره سازی کرد.

لایسنس Trial : این نوع لایسنس در مدت زمانی ۶۰ روز امکان استفاده از تمام قابلیت‌های اسپلانک را به کاربر می‌دهد با این تفاوت که حجم داده ای مصرفی در روز محدود به 500 مگابایت می‌باشد. این لایسنس برای استفاده سازمانی یا استفاده در محیط های واقعی مناسب نیست و صرفا جهت تست قابلیت های اسپلانک مفید است.

لایسنس Developer: این نوع لایسنس با حجم داده ای 10 گیکابایت در روز، امکان دسترسی به تمام قابلیت‌های اسپلانک را به مدت 6 ماه فراهم ساخته و پس از این اتمام این مدت، باید تمدید شود.

• لایسنس‌ها از نظر مدت اعتبار

• لایسنس های سالانه: مدت اعتبار این لایسنس یک سال بوده که بعد از آن نیاز به تمدید مجدد وجود دارد.
• لایسنس های دائمی: لایسنس های مادام العمر بوده که با توجه به اسم آنها نیاز به تمدید در بازه زمانه‌های مختلف ندارد.

برای دسترسی کامل به تمام امکانات نرم افزار اسپلانک می‌بایست از لایسنس Enterprise این نرم افزار استفاده کرد. این لایسنس توسط شرکت دانش بنیان سورین (شرکت امنیت سایبری سورین) ارائه می‌شود.

‌سلب مسئولیت: مطالب منتشرشده در دسته رپورتاژ آگهی توسط شرکت‌های ثالث تهیه شده و جنبه تبلیغاتی یا بیانیه خبری دارند. این مطالب صرفاً بازنشر شده و شهرسخت‌افزار مسئولیتی در قبال صحت محتوای آن ندارد.