مشاوره خرید و پیاده سازی رهکارهای SIEM

اگر شما جز متخصصین شبکه و امنیت باشید مطمئنا اسم اسپلانک به گوش شما خورده است اما اسپلانک واقعا چیست و چه تمایزی با محصولات رقیب دارد؟
شرکت اسپلانک در سال ۲۰۰۳ میلادی شروع به کار کرده و اولین تفاوت آن با سایر رقبا را میتوان تمرکز این شرکت صرفا روی تولید محصولات تخصصی Big Data و SIEM دانست که در هیچ زمینه دیگری فعالیتی ندارد. این شرکت دارای بیش از ۲۰۰۰ کارمند می باشد که تمامی آنها فقط در زمینه های یاد شده فعالیت میکنند و به همین سبب اسپلانک دارای بیشترین سهم از تعداد مشتریان در این بازار میباشد. (بیش از ۱۰ هزار مشتری در بیش از یکصد کشور دنیا)

splunk

از زمان تاسیس تا کنون، اسپلانک شرکت های کوچک و استارآپهای بسیاری را خریداری و به مجموعه خود الحاق کرده است که این امر روز به روز اسپلانک را جامعتر و قدرتمند ساخته است. محصول اصلی تولیدی این شرکت با نام Splunk Enterprise شناخته میشود که تمامی محصولات دیگر این شرکت را میتوان مکمل زیر مجموعه Splunk Enterprise  دانست. این محصول هسته هوشمند و قدرتمند شرکت اسپلانک برای Big Data  و SIEM  است که با نصب و افزودن چند صد افزونه رایگان و  مختلف موجود، میتوان آنرا بسیار کارآمدتر و کاربردی  تر ساخت
Splunk Enterprise چیست و چه قابلیتهایی را به ارمغان می آورد؟

این نرم افزار را میتوان مشابه موتور جستجوی Google برای LogFile های تولیدی در یک شبکه از تجهیزات رایانه ای و الکترونیکی دانست که هیچگونه وابستگی به نوع و فرمت این Log ها وجود ندارد و صرف متنی بودن آنها کفایت میکند تا بتوان آنها را به Splunk Enterprise وارد کرد. مثالهای مختلفی از منابع تولید این لاگ ها میتوان نام برد از جمله:
لاگهای ایجاد شده توسط تجهیزات امنیتی از قبیل IPS, Firewall, Anti-Virus
لاگهای ایجاد شده توسط تجیزات زیرساخت از قبیلSwitch, Router, Modem
لاگهای ایجاد شده توسط نرم افزارهای داخلی از قبیل بانکداری، اتوماسیون، مالی، انبار
لاگهای ایجاد شده توسط سرویسهای داخلی ار قبیلAD,DNS ,IIS, Apache ,DHCP
لاگهای ایجاد شده توسط سیستم عاملهای مختلف از قبیلWindows,
Linux ,MacOS
لاگهای ایجاد شده توسط تجهیزات هوشمند و همراه از قبیل گوشی و تبلت
لاگها ایجاد شده توسط تجهیزات الکترونیکی از قبیل دربهای برقی، آسانسور، حسگرها، کنترل تردد.

جهت دریافت مشاوره و پیاده سازی سرویس Splunk و همچنین خرید لایسنس های این محصول با کارشناسان ما در تماس باشید

Splunk Enterprise تمام لاگهای تولید شده توسط موارد نام برده را یکجا دخیره و دسته بندی میکند و به ما این امکان را میدهد که بتوانیم ارتباط بین تغییرات و رخدادهای گوناگون در بخشهای مختلف را پیدا و برای اصلاح یا رفع آن اقدام نماییم.

علاوه بر این میتوان با نصب و استفاده از افزونه های مختلف روی Splunk Enterprise که شرکت اسپلانک اکثر آنها را به صورت رایگان ارائه میدهد از Splunk Enterprise به عنوان یک نرم افزار مانیتورینگ ۳۶۰ استفاده کرد بدون نیاز به افزودن SNMP یا موارد دیگری که سایر محصولات مشابه نیاز دارند.
در ادامه به معرفی برخی از پرکاربردترین این افزونه ها می پردازیم:

Cisco Security Suite App

افزونه بسیار کاربردی و مفید برای مانیتوریگ تمامی محصولات امنیتی سیسکو از قبیل ASA, IPS, FirePower, FWSM, ASAM, ISE, ACS, WSA, ESA به صورت یکپارچه و و آنلاین

Cisco Security Suite App

افزونه ای بسیار کاربردی برای Capture و تحلیل لحظه ای ترافیک عبوری از یک لینک یا پورت مورد نظر
F5 Networks App
افزونه ای جهت مانیتورینگ تمامی تجهیزات ونرم افزارهای شرکت f5
Web Analytics App
افزونه ای کامل و کاربردی برای مانیتورینگ وضعیت وبسایت ها
Windows Security Operation Center App

افزونه ای برای بررسی و تحلیل رخدادهای امنیتی در شبکه های ماکروسافتی و سرویسهای وابسته از قبیل AD, NTLM, DNS, DHCP


در مجموع میتوان گفت حدود هزار افزونه مختلف و رایگان مشابه مواردی که نامبرده شد توسط شرکت اسپلانک ارائه شده که تقریبا تمامی برندهای معروف از قبیل Juniper, Fortinet, Citrix, Redhat  و … را در بر میگیرد.همچنین شرکت اسپلانک تعداد محدودی افزونه غیر رایگان نیر ارائه میدهد که مشتریان بنا به نیاز خود با پرداخت مبالغ مشخص میتوانند این افزونه ها را به صورت مدت دار یا نامحدود استفاده نمایند ، لیست افزونه های یاد شده به شرح ذیل می باشد:

جهت دریافت مشاوره و پیاده سازی سرویس Splunk و همچنین خرید لایسنس های این محصول با کارشناسان ما در تماس باشید

Enterprise Security

اصلی ترین افزونه اسپلانک که با استفاده از آن میتوان Splunk Enterprise را به یکی از قدرتمندترین SIEM های دنیا تبدیل کرد. این افزونه لاگهای ایجاد شده از تمامی تجهیزات و نرم افزارهای امنیتی موجود از لبه بیرونی شبکه گرفته تا سیستم کاربران را به صورت یکجا جمع آوری ، تحلیل و گزارش می دهد. این افزونه تیم های امنیتی را قادر میسازد تا به سرعت تمامی حملات شناخته شده و حتی شناخته نشده داخلی و خارجی را تشخیص و اقدامات لازم را انجام دهند.لازم به ذکر است هیچگونه محدودیتی در زمینه برند و مدل تجهیزات امنیتی مورد استفاده وجود ندارد و این افزونه قابلیت همخوانی با تمامی تجهیزات امنیتی را داراست.

Enterprise Security

برخی از امکانات ارائه شده توسط این افزونه به شرح ذیل است:

مانیتورینگ لحظه ای و دوره ای وضعیت امنیتی شبکه و رخدادهای امنیتی بر اساس اولویت های دلخواه و سفارشی سازی شده
اولویت بندی رخداد ها و تعریف عکس العملهای متناسب با هر رخداد
تعریف جستجو های مختلف و دلخواه روی لاگهای موجود به منظور یافتن رفتارهای غیر عادی در شبکه
تعریف آنالیزهای پویا و به روز به منظور یافتن فعالیتهای مخرب در شبکه به صورت خودکار

IT Service Intelligent

نسل جدید مانیتورینگ و آنالیز شبکه به منظور دریافت اطلاعات دقیق و کابردی از وضعیت عملکرد و کارایی شبکه.برخی از قابلیتهای این افزونه به شرح ذیل است:
ارائه مانیتورینگ مرکزی ، یکپارچه و هوشمند از تمامی اجزای مختلف شبکه
همسان سازی سرویسهای مختلف با رویدادهای مختلف از طریق فناوری قدرتمند KPI
آنالیز رفتار شبکه و دیتای موجود به منظور یافتن رفتارهای غیر استاندارد و پیدا کردن علت این رفتار
قابلیت بررسی دقیق و جزئی دیتا مورد نظر به منظور یافتن علت رخدادهای مختلف

IT Service Intelligent

User Behavior Analytics

با استفاده از این افزونه و با کمک حجم عظیمی از اطلاعات و گزارشهای کاربردی تیم های امنیتی قادر خواهند بود تهدیدات و حملات داخلی را به راحتی شناسایی و ردیابی کنند.برخی از قابلیتهای این افزونه به شرح ذیل است:
شناسایی آلودگی های ویروسی و تهدیدات داخلی بدون استفاده از Signiture, Rule, Policy و آنالیزهای انسانی
بهبود فرآیند شناسایی تهدید و عکس العمل به کمک سنسورهای پیشرفته و کارآمد
ارائه گزارهاش مفید و کاربردی به صورت خلاصه یا زنجیره ای به منظور افزایش کارایی بخش SOC
قابلیت یکپارچه سازی با Enterprise Security و IT Service Intelligent به منظور دستیابی به بهترین و کاملترین حالت عملکرد

User Behavior Analytics

لایسنس و فعال سازی اسپلانک (Splunk License)

یکی از قابلیتهای ممتاز اسپلانک را میتوان وجود نسخه تریال رایگان دانست که کاربران به راحتی و مستقیما میتوانند این نسخه تریال دو ماهه را از وبسایت شرکت اسپلانک دانلود و نصب نمایند. این در حالیست که هیچ یک از محصولات رغیب از جمله HP ArcSight و IBM Qradar دارای چنین امکانی نبوده و برای دریافت نسخه تریال می بایستی فرآیند پیچیده ای طی شود. نحوه عملکرد لایسنس اسپلانک نیز کاملا متفاوت از سایر محصولات است. بر خلاف لایسنس سایر محصولات که معمولا بر اساس تعداد لاگ تولید شده درثانیه(EPS) عمل میکنند لایسنس اسپلانک میزان حجم لاگهای ورودی در ۲۴ ساعت را مد نظر قرار می دهد. این قابلیت باعث می شود تیمهای امنیتی محدودیتی در زمینه تعداد تجهیزاتی که لاگهای خود را به سرویس SIEM ارسال می کنند نداشته باشند.
لازم به ذکر است برای استفاده از افزونه های غیر رایگان علاوه بر تهیه لایسنس حجمی نرم افزار اصلی اسپلانک میبایستی برای آن افزونه مورد نظر نیز لایسنس حجمی جداگانه تهیه کرد.در زمینه کاربری SIEM میتوان گفت که حتی تهیه هر دو لایسنس مورد نیاز ( لایسنس Splunk Enterprise و لایسنس افزونه Enterprise Security ) به مراتب هزینه ای پایین تر از محصولات رقیب خواهد داشت.

Splunk License

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *