اسپلانک (Splunk) یکی از معروفترین و پرطرفدارترین ابزارهای تحلیل Big Data و مانیتورینگ لاگ در بازار امنیت است. اسپلانک میتواند به سازمانها کمک کند تا به راحتی دادههای مربوط به وب سایتها، تراکنشهای مربوط به برنامههای کاربر، سنسورهای مختلف مانند تجهیزات شبکه (فایروال، سیستمهای IDS و لاگهای نقاط پایانی) و موارد دیگر را جمعآوری و آنالیز کند. در واقع اسپلانک یک پلتفرم نرمافزاری است که به جستجو، آنالیز و بصریسازی دادههای ماشینی میپردازد و دادهها را از حجم وسیعی از دستگاهها، جمعآوری و تحلیل میکند.
این نرمافزار یک موتور جستوجو و تحلیل قدرتمند است که امکان نظارت، خطایابی، هشداردهی و گزارشدهی بر روی دادههای در حال انتقال در شبکه را به شما ارائه میدهد.
نرمافزار اسپلانک ارزش پنهان دادهها را نمایان میکند و با وارد کردن اطلاعات از سایر ابزارها، میتواند علاوه بر ارزش یک زیرمجموعه، ارزش طیف کامل دادهها را به دست آورد.
قابلیتهای نرمافزار اسپلانک
اسپلانک به عنوان یک موتور جستجو برای فایلهای لاگ داخل شبکه عمل میکند. شما میتوانید با استفاده از نرمافزار اسپلانک هر نوع لاگ متنی را با هر نوع فرمتی بررسی کنید. اسپلانک به فرمت لاگ وابستگی ندارد و متنی بودن آن اهمیت دارد.
دادههای زیر با استفاده از اسپلانک مورد بررسی قرار خواهند گرفت:
- لاگهایی که توسط تجهیزات امنیتی مثل آنتی ویروس، فایروال و IPS ایجاد شدهاند.
- لاگهایی که توسط تجهیزات زیرساخت شبکه مثل مودم، روتر و سوییچ تولید شدهاند.
- لاگهای مربوط به نرمافزارهای داخلی مثل نرمافزار انبار، حسابداری و…
- لاگهایی که توسط سیستم عامل ایجاد میشوند.
- لاگهایی که تجهیزات الکترونیکی ساختمان مثل سنسورها، آسانسور و پله برقی ایجاد میکنند.
- لاگهای مرتبط با تجهیزات هوشمندی مثل موبایل و تبلت
- لاگهایی که توسط سیستمهای داخلی مربوط به شبکه مانند DHCP، Apache و… ایجاد خواهند شد.
نرمافزار اسپلانک تمامیاین لاگها را به صورت یکجا ذخیره و دسته بندی میکند و شما میتوانید ارتباط بین تغییرات بخشهای مختلف را به راحتی مشاهده و در صورت لزوم، آنها را اصلاح کنید. شما میتوانید از اسپلانک به عنوان یک نرمافزار مانیتورینگ 360 استفاده کنید و از تجهیزاتی مثل SNMP، (مانیتورینگ کامل) بهره نگیرید.
جستوجو و بررسی اطلاعات
نرمافزار اسپلانک، اطلاعات را در هنگام جستوجو به صورت خودکار از میان دادههای ماشینی شناسایی میکند، در نتیجه کاربر قادر خواهد بود تا به سرعت از منابع اطلاعاتی جدید استفاده کند. همچنین با شناسایی، نامگذاری و ضمیمه کردن فیلدها و Data Pointها، امکان افزودن محتوا و معنا را به دادههای ماشینی در اسپلانک امکانپذیر میکند. همچنین با استفاده از رابط کاربری پویا، هر کاربری میتواند به شناسایی اتوماتیک روابط در اطلاعات و ساختن گزارشات قوی، بدون تسلط بر زبان جستجو بپردازد.
مانیتورینگ و اعلام هشدارها
شما میتوانید پیغامهای آنی جستجوها را در اسپلانک فعال کنید تا زمانی که شرایط حساس پیش آمد، هشدارهای فوری و خودکار مانند ارسال ایمیل، اجرای دستورالعملهای پاکسازی و ارسال Feedهای RSS را انجام دهد.
امکان اضافه کردن Appها و Add-onها
اضافه کردن Appها و Add-onهای مختلف این امکان را میدهد تا با استفاده از آنها، محیط اسپلانک را بر اساس نیازهای سازمان خود طراحی کنیم. یک App دربرگیرنده مجموعهای از تنظیمات، داشبوردها، آبجکتهای دانش و Viewهاست که بر روی پلتفرم اسپلانک اجرا میشود.
مزایای اسپلانک
- اسپلانک گزارشهای تحلیلی را با نمودارها و جداول تعاملی ایجاد میکند. همچنین آنها را با افرادی به اشتراک میگذارد که برای آنها مفید است.
- اسپلانک برای پیادهسازی، مقیاسپذیر و آسان است.
- اسپلانک میتواند به طور خودکار اطلاعات مفیدی را که در داده های شما وجود دارد، پیدا کند بنابراین لازم نیست خودتان آن را شناسایی کنید.
- اسپلانک در صرفهجویی در جستوجوها و برچسبهای شما به عنوان اطلاعات مهم به شما کمک میکند تا سیستم به بلوغ برسد.
هر روزه مقیاس و تعداد حملات سایبری تحت شبکه در حال افزایش بوده و به همین خاطر استفاده از ابزارهای تجزیه و تحلیل داده در سازمانها یک امر ضروری است. سیستم مدیریت اطلاعات و رویدادهای امنیتی، The security information and event management یا SIEM رویکردی است که برای مدیریت امنیت به کار میرود و عملکردهای SIM یا سیستم مدیریت اطلاعات و SEM یا سیستم مدیریت رویداد را در یک سیستم مدیریت امنیت ترکیب میکند.
نرمافزار اسپلانک با استفاده از تحلیل و آنالیز دادههای جمعآوری شده از منابع مختلف باعث میشود که دیدی شفاف و هوشمند از رخدادها و ترافیک شبکه ایجاد شود. این دید از تهدیدها جلوگیری میکند و قبل از اینکه آسیبپذیریها به عاملی برای رخنه در شبکه تبدیل شوند، آنها را شناسایی و برطرف میکند. در نهایت میتوان گفت نرمافزار اسپلانک با ویژگیهایی که بیان شد در دسته SIEM ها قرار میگیرد.
برنامه کاربردیSplunk Enterprise Security (ES) یک راهکار مبتنی بر داده برای تجزیه و تحلیل اطلاعات امنیتی و مدیریت رویداد (SIEM) است که دیدی کامل از وضعیت امنیتی محیط شما ارائه می دهد تا بتوانید از کسبوکار خود محافظت کنید.
Splunk ES طیف گستردهای از تجزیه و تحلیلهای امنیتی از جمله نظارت مستمر امنیتی، تشخیص پیشرفته تهدید، انطباق، بررسی حادثه و پاسخ به حادثه را حل میکند که با استانداردهای، MITER ATT&CK، NIST CIS 20، Kill Chain هماهنگ است.
بدون دیدگاه