اسپلانک چیست ؟

Splunk یک فناوری پیشرفته، مقیاس پذیر و مؤثر است که پرونده های ثبت شده در یک سیستم را فهرست بندی و جستجو می کند. اسپلانک این داده های تولید شده توسط ماشین را تجزیه و تحلیل می کند تا بر مبنای هوش ماشین برنامه عملیاتی را ارائه دهد.

ضمناً توسط Splunk می­توان از تمامی داده‌های جمع­ آوری شده به بهترین نحو استفاده و بهره­ برداری کرد همچنین این امکان نیز فراهم می‌شود تا با ایجاد سطحی از هوش عملیاتی، سازمان را در سطح بالاتری از عملکرد، رقابت، سودآوری و امنیت قرار دهد تا بتواند به نوعی تمامی داده­ها را مشاهده نماید.

پردازش زمان واقعی بزرگترین نقطه قوت Splunk است زیرا، ما شاهد بهبود و بهتر شدن دستگاه‌های ذخیره‌سازی در طول سال‌ها بوده‌ایم، ما شاهد بوده‌ایم که پردازنده‌ها با گذشت هر روز کارآمدتر می‌شوند.

برای اینکه اطلاعات بیشتری در مورد نحوه عملکرد Splunk به شما بدهم، قصد دارم به شما بگویم که Bosch چگونه از Splunk برای تجزیه و تحلیل داده ها استفاده کرد. آنها داده های مراقبت های بهداشتی را از بیمارانی که از راه دور مرتبط بودند را با استفاده از دستگاه های (حسگرها) IoT جمع آوری کردند. Splunk این داده ها را پردازش می کند و هرگونه فعالیت غیرعادی از طریق رابط بیمار به پزشک گزارش می شود. Splunk به آنها کمک کرد تا به موارد زیر دست یابند:

گزارش وضعیت سلامتی به صورت بلادرنگ در پرونده سلامتی بیمار

الگوها را به صورت عمیق تجزیه و تحلیل کنید.

هشدارها

قابلیت های Splunk Enterprise

این نرم افزار مانند گوگل برای LogFile های تولیدی در یک شبکه از تجهیزات کامپیوتری و الکترونیکی است که به نوع و فرمت لاگها وابستگی ندارد و فقط متنی بودن لاگ ها کافی است تا بتوان آنها را به Splunk Enterprise  وارد کرد. مثالهای مختلفی از منابع تولید این لاگ­ها در ادامه آورده شده است:

• لاگهای ایجاد شده توسط تجهیزات امنیتی از قبیل IPS, Firewall, Anti-Virus
• لاگهای ایجاد شده توسط تجیزات زیرساخت از قبیل Switch, Router, Modem
• لاگهای ایجاد شده توسط نرم­ افزارهای داخلی از قبیل بانکداری، اتوماسیون، مالی، انبار
• لاگهای ایجاد شده توسط سرویس­ های داخلی ار قبیل AD, DNS, IIS, Apache, DHCP
• لاگهای ایجاد شده توسط سیستم عامل های مختلف از قبیل Windows, Linux, MacOS
• لاگهای ایجاد شده توسط تجهیزات هوشمند و همراه از قبیل گوشی و تبلت
• لاگهای ایجاد شده توسط تجهیزات الکترونیکی از قبیل دربهای برقی، آسانسور، حسگرها، کنترل تردد

Splunk Enterprise  تمام لاگهای تولید شده را یکجا دخیره و دسته بندی می­کند و امکان ارتباط بین تغییرات و رخدادهای گوناگون در بخشهای مختلف را می­دهد و می­توان به ایجاد اصلاحات اقدام نماییم. همچنین از Splunk Enterprise به عنوان یک نرم افزار مانیتورینگ ۳۶۰ می­توان استفاده کرد بدون نیاز به افزودن SNMP یا موارد دیگری که سایر محصولات مشابه نیاز دارند.

قیمت لایسنس اسپلانک Splunk ES

قابلیت های SPLUNK

• سرعت بالا در پردازش داده‌ها
• سطح بالای سازگاری با داده‌های مختلف
• امکان انواع روش­های جستجو (جستجوهای منطقی، امکان جستجوی رشته­ای، استفاده از wildcard در پارامترهای جستجو، جستجوی بلادرنگ، جستجو در بازه زمانی و …) و نمایش نتایج جستجو به صورت گزارش، نمودار و داشبوردهای متنوع
• استخراج هوشمندانه فیلدها و بازیابی سریع داده­ها، امکان شناسایی فیلدها
• پایش و اخطار و زمانبندی ارائه این هشدارها و مدیریت نمایش هشدارها (ارسال رایانامه، اجرای Script و یا نمایش اخطار و ….)
• گزارش­های متنوع (در قالب‌های مختلف و نمودارهای متنوع) و امکان نمایش در داشبوردهای کاربری
• مقیاس پذیری (امکان استفاده از Splunk در سطح سازمان‌ها و شرکت‌های کوچک و متوسط تا سازمان‌های بزرگ از قابلیت‌های آن است.)
• لایسنس و فعال سازی اسپلانک(Splunk License)
  • وجود نسخه تریال دوماهه و رایگان که از وبسایت شرکت اسپلانک قابل دانلود و نصب می باشد. هیچ یک از محصولات رقیب از جمله HP ArcSight و IBM Qradar  دارای چنین امکانی نیست.
  • لایسنس اسپلانک میزان حجم لاگهای ورودی در ۲۴ ساعت را مد نظر قرار می­دهد. تا محدودیتی برای ارسال لاگهای تجهیزات خود را به سرویس SIEM نداشته باشند.( لایسنس سایر محصولات معمولاً بر اساس تعداد لاگ تولید شده درثانیه (EPS) می باشد)
• هزینه خرید به مراتب پایین تر نسبت سایر رقبا
• دارای سیستم امنیت مبتنی بر تجزیه و تحلیل هوشمند
• انطباق سریع داده ها با تغییرات در تهدیدات و رویارویی با تهدیدات پیشرفته
• شناسایی سریع تهدیدات در کسری از ثانیه
• تجزیه و تحلیل تهدیدات و پاسخ به تهدایدات
• قدرت‌بخشی به SOC با پلتفرم هوش امنیتی سریع و انعطاف‌پذیر
• شناسایی، بررسی و گزارش آنی در موارد کلاهبرداری و سوء ‌استفاده
• افزایش اثربخشی فرآیندها و پرسنل SOC
• قابلیت پیاده‌سازی به صورت Cloud، On-Premise و ترکیبی از این دو حالت
• قابلیت مقیاس‌پذیری و چابکی

قیمت لایسنس اسپلانک Splunk ES

روش­های ورود اطلاعات به Splunk

روش‌های مختلفی برای ورود اطلاعات وجود دارد که به شرح زیر معرفی می­گردند:

• بارگذاری فایل‌ها درفرمت‌های ساخت یافته‌ای مانند CSV و فایل‌های ثبت وقایع محلی.
• دریافت خودکار داده‌ها از مسیری مشخص، Syslog ، Script ، WMI و …
• دریافت داده از ارسال کننده Splunk

شاخص بندی داده ها در Splunk

همچنین با توجه به هوشمندی Splunk، امکان شاخص‌بندی داده‌های متعارف شامل موارد زیر قابل انجام می‌باشد:

• داده­های ساخت یافته، مانند CSV , JSON, XML
• فایل‌های رویداد و ثبت وقایع محصولات مایکروسافت مانندActive Directory، Exchange …
• رویدادهای قابل ارسال از طریق Syslog (جمع­آوری رویدادها از تجهیزاتی مانند سوئیچ‌های سیسکو)
• رویدادهای ایجاد شده توسط سرویس دهنده‌های وب مانند Apache و IIS
• سرویس دهنده‌های بانکهای اطلاعاتی، Oracle, MS SQL Server, My SQL

Enterprise Security

شرکت اسپلانک علاوه بر افزونه­های رایگان متعدد، تعداد محدودی افرونه غیر رایگان نیز ارائه       می­دهد که مشتریان بنا به نیاز خود با پرداخت مبالغ مشخص می­توانند این افرونه­ها را به صورت مدت­دار یا نامحدود استفاده نمایند، یکی از این افزونه­های یاد شده    Enterprise Security می­باشد.   توانایی­های Enterprise Security در یک نگاه

• امکان تجمیع، تحلیل و گزارش­ها از لاگ­های ایجاد شده
• امکان تشخیص و اقدام لازم برای تیم­های امنیتی در زمان به حملات شناخته شده و حتی شناخته نشده داخلی و خارجی
• قابلیت همخوانی با تمامی تجهیزات امنیتی
• مانیتورینگ لحظه­ای و دوره­ای وضعیت امنیتی شبکه و رخدادهای امنیتی بر اساس  الویت­های دلخواه
• اولیت­بندی رخداد­ها و تعریف عکس العمل­های متناسب با هر رخداد
• تعریف Search های دلخواه روی لاگ­های موجود به منظور یافتن رفتارهای غیر عادی در شبکه
• تعریف آنالیزهای پویا و به روز به منظور یافتن فعالیت­های مخرب در شبکه به صورت خودکار

بیگ دیتا (Big Data) بیگ دیتا از نظر لغوی به‌معنای «داده بزرگ» است و اصطلاحی رایج است که رشد و در دسترس بودن داده، چه ساختارمند و چه غیرساختارمند، را توصیف می­­کند. با تجزیه و تحلیل آن می‌توان، «الگوهای پنهان» و «همبستگی‌های ناشناخته» و سایر اطلاعات مفید را استخراج کرد. در بیگ دیتا عموماً با داده‌هایی سر و کار داریم که حجم آنها بیشتر از ظرفیت نرم‌افزارهای عادی است  بنابراین در این پروسه، حجم عظیمی از اطلاعات تفکیک نشده و ساختار نیافته در اختیار قرار می­گیرد که ساختار بندی و کشف الگوها، کاری دشوار محسوب می‌شود. دلایل اهمیت بیگ دیتا (Big Data)

• تعیین علت­ های اصلی شکست­ ها، مسائل و نقوص در لحظه و صرفه­ جویی میلیاردها دلار
• بهینه سازی مسیر وسیله ­­های حمل بسته­­ های تحویلی که هنوز در جاده هستند
• محاسبه مجدد ریسک­ ها در مدت زمان کوتاه
• شناسایی سریع مشتریان دارای بالاترین درجه از اهمیت

Splunk  و ارتقا  SIEM نرم افزار Splunk از قابلیت ­های عملکردی SIEM نیز فراتر رفته است و امکانات و توانایی ­هایی افزون بر SIEM دارد که در ادامه به آنها اشاره خواهد شد:

• Splunk دارای پلتفرم هوش امنیتی کاملاً یکپارچه و مبتنی بر Big Data نسبت به SIEM است.
• Splunk قابلیت تجزیه و تحلیل هوشمند حجم انبوهی از داده‌ های نرمال و قابل اطمینان نسبت به SIEM دارد.

• • ارزیابی وضعیت امنیت، مانیتورینگ، کنترل رویداد و هشدار
  • تحلیل و بررسی نقض داده‌ها
  • پاسخ‌گویی به تهدیدات پیشرو
  • همبستگی‌های بین رویدادها
  • جستجوهای زمینه‌ای
  • تحلیل و شناسایی سریع تهدیدات پیشرفته
  • ساده‌سازی روند مدیریت تهدیدات
  • کاهش ریسک‌ها و حفظ امنیت کسب‌ و‌کار

قیمت لایسنس اسپلانک Splunk ES

راهکارهای مختلف نرم‌افزار Splunk در تکمیل پیاده‌سازی‌های فعلی SIEM

کاربرد Splunk با اهداف مختلف در راه‌اندازی  SIEM

1. 1. دستیابی به SIEM در سطح پایه با Splunk Enterprise و Splunk Cloud
   2. دستیابی به SIEM پیشرفته با Splunk Enterprise Security
   3. وجود بیش از ۳۰۰ برنامه امنیتی ، افزونه و امکانات دیگر در Splunk با قابلیت­هایی نظیر جستجوهای ازپیش‌تعریف‌شده، گزارش‌گیری و تصویرسازی، مانیتور کردن امنیت، فایروال‌های نسل بعدی (Next-Generation Firewall) ، مدیریت تهدیدات پیشرفته و ….

قیمت لایسنس اسپلانک Splunk ES

معرفی Splunk ES

Splunk Enterprise Security یا به اختصار  Splunk ES می‌تواند به عنوان یک راهکار امنیتی مطلوب به صورت On-Premise ،Public Cloud ،Private Cloud ،SaaS  یا هر ترکیبی از آنها باشد. همچنین این تکنولوژی را می‌توان به صورت نرم‌افزار همراه با Splunk Enterprise  یا به عنوان سرویس Cloud همراه با Splunk Cloud استفاده نمود. در ادامه توانایی­های Splunk ES به اختصار ذکر می گردد:

• مانیتورینگ مستمر در جهت واکنش نسبت به رویدادها
• ایجاد یک مرکز عملیات امنیت (SOC)
• شناسایی سریع حملات داخلی و خارجی و واکنش مقتضی
• تسهیل مدیریت تهدید
• کاهش ریسک و افزایش محافظت از کسب‌ و کار
• امکان استفاده از تمام داده­ها برای تیم امنیتی در تمام سطوح سازمان
• ارائه قابلیت‌های جدید برای مدیریت Alertها، قدرت کشف و شناسایی پویا، جستجوهای زمینه‌ای و همچنین شناسایی و تحلیل سریع تهدیدهای پیشرفته
• ارائه انعطاف‌پذیری در سفارشی‌سازی در جهت بهبود عملکردهایی شامل جستجوها، هشدارها، گزارشات و داشبوردها مطابق با نیازهای خاص؛ برای انجام مانیتورینگ مستمر، پاسخ‌گویی به رویدادها، مرکز عملیات امنیتی (SOC)
• ایجادامنیت مبتنی بر تجزیه و تحلیل و مانیتورینگ مستمر برای تهدیدها
• بهینه‌سازی عملیات‌های امنیتیبا زمان پاسخ‌گویی کوتاه‌تر
• بهبود وضعیت امنیتبا ایجاد دید End-to-End نسبت به تمامی اطلاعات دستگاه‌ها
• افزایش قابلیت‌های بررسی و شناسایی با هدف شناسایی ناهنجاری­ها و تهدیدها
• اتخاذ تصمیمات آگاهانه‌تر نسبت به تهدیدات

قیمت لایسنس اسپلانک

قیمت لایسنس اسپلانک به نیاز شما یعنی میزان داده‌های سازمان شما بستگی دارد و بر اساس حجم داده مورد نیازتان می‌تواند متفاوت باشد.