مدیریت امنیت اطلاعات و وقایع

SPLUNK نرم‌افزاری به عنوان SIME (مدیریت امنیت اطلاعات و وقایع)

موقعیت امنیتی خود را با استفاده از Splunk  به عنوان SIME خود افزایش دهید.

نکات برجسته:

  • امکان بکارگیری نرم افزار Splunk در راه‌اندازی مرکز عملیات امنیت (SOC) در هر اندازه (بزرگ، متوسط، کوچک)
  • پشتیبانی از محدوده کامل عملیات امنیت اطلاعات – شامل ارزیابی وضعیت، نظارت، هشدار و مدیریت حادثه، CSIRT، تحلیل نقض و واکنش و همبستگی رخدادها
  • پشتیبانی خارج از چارچوب معمول از SIEM و موارد کاربرد امنیتی
  • شناسایی تهدیدات آشنا و ناشناخته، بررسی تهدیدات، تعیین تطبیق و استفاده از تحلیل امنیتی پیشرفته برای دستیابی به بینش دقیق
  • پلت‌فرم هوشمند امنیتی مبتنی بر داده‌ با یکپارچگی اثبات شده
  • استفاده از جستجوی‌ های ادهاک برای تحلیل نقض پیشرفته
  • درون‌سازمانی، اَبر و گزینه‌های نصب و راه‌اندازی ابری و درون‌سازمانی

امروزه تشخیص زود هنگام، واکنش سریع، مشارکت در کاهش تهدیدات پیشرفته موجب تحمیل مطالبات قابل‌ توجهی به تیم‌های امنیت سازمانی می‌شود. سیاهه‌ های گزارشی و نظارتی و رویدادهای امنیتی دیگر کافی نیست. متخصصان امنیتی به اطلاعات گسترده‌تری از تمام منابع داده‌ای تولید شده در مقیاس بزرگ درکل سازمان از جمله فناوری اطلاعات، کسب و کار و اَبر نیاز دارند. شرکت‌ها برای جلوگیری از حملات خارجی و خودی‌ های مخرب، نیازمند یک راه‌حل امنیتی پیشرفته هستند که می‌توان از آن در تشخیص سریع واکنش، بررسی حادثه و هماهنگی سناریوهای شکست CSIRT استفاده نمود. همچنین، شرکت‌ ها باید دارای قابلیت شناسایی و پاسخ به تهدیدات آشنا، ناشناخته و پیشرفته باشند.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای SIEM را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

معیارهای جدید برای SIME امروزی

تیم‌های امنیت سازمانی باید از راه‌حل SIEM استفاده کنند که نه تنها در موارد کاربرد امنیتی رایج بلکه در موارد کاربردی پیشرفته نیز پاسخگوست. انتظار می‌رود که SIEMهای مدرن برای همگام بودن با چشم‌انداز تهدیدات پویا، قادر به انجام موارد زیر باشند:

  • متمرکز و متراکم کردن همه رخدادهای مربوط به امنیت، همانطور که از منبع خود ایجاد شده‌اند.
  • پشتیبانی از انواع مکانیسم‌های پذیرش و جمع‌آوری از جمله syslog، انتقال فایل، مجموعه فایل‌ها، و غیره
  • افزودن زمینه وهوش تهدیدات به رخدادهای امنیتی
  • همگام‌سازی و هشداردهی در سراسر محدوده‌ی داده‌ها
  • شناسایی تهدیدات پیشرفته و ناشناخته
  • نمایش رفتار در کل سازمان
  • جذب همه داده‌ها (کاربران، برنامه‌ها) و در دسترس قرار دادن آنها برای استفاده ، نظارت، هشدار، تحقیق، جستجو ادهاک
  • فراهم‌سازی جستجوی ادهاک و گزارش‌دهی از تحلیل نقض پیشرفته
  • بررسی حوادث و انجام تحقیقات قانونی به منظور تحلیل دقیق حوادث
  • ارزیابی و ارائه گزارش از وضعیت تطابق
  • استفاده از تحلیل‌ها و گزارش‌های مربوط به وضعیت امنیتی
  • پیگیری اقدامات مهاجمان از طریق تحلیل‌های ساده ادهاک و توالی رخدادها

اکنون، تمام داده‌ها مربوط به امنیت هستند.

شواهدی از حمله و همچنین عملیات آن، در داده‌ های ماشینی سازمان وجود دارد. تمام داده‌ها، از جمله داده‌های امنیتی بدست آمده از محصولات امنیتی سنتی، مانند فایروال، IDS یا ضد بدافزار برای بررسی حوادث امنیتی و شناسایی تهدیدها توسط تیم‌های امنیتی باید در SIEM قرار داده شوند. غالباً داده‌های مورد نیاز برای این‌که سازمان‌ها از وضعیت امنیتی کامل خود به وضعیت بلادرنگ دست یابند، از بین می‌ روند.

فعالیت‌های این تهدیدات پیشرفته غالباً تنها شامل داده‌های غیر امنیتی مانند پرونده‌های سیستم عامل، سیستم‌های دایرکتوری مانند LDAP / AD، اطلاعات نشانه، DNS، و ایمیل و وب‌ سرورها می‌باشد.

برای کمک هنگام واکنش به حادثه و تشخیص نقض ضروری است که داده‌های ماشینی غالباً با مفهوم تهدید داخلی و خارجی مانند محتوای هوش تهدیدات و سایر اطلاعات متنی کامل گردند.

همگام بودن با حجم و مقیاس داده

مقدار و نوع داده‌های موردنیاز برای ایجاد موثرترین تصمیمات امنیتی داده محور به راه‌حلی نیاز دارد که برای نمایش صدها ترابایت داده در هر روز بدون نرمال‌سازی در زمان جمع‌آوری، مقیاس‌بندی شده و تنها در زمان جستجو (پرس‌ و جو)، طرحی را بر روی این داده‌ها اعمال نماید.

تشخیص ناهنجاری و داده‌های پرت

در کشف تهدیدات پیشرفته، تمام داده‌های غیرامنیتی و امنیتی باید در یک انباره (مخزن) منفرد ذخیره شوند. با این امر، حجم عظیمی از داده‌ها نمایش داده شده و مخزنی برای کاربر عادی و فعالیت ترافیکی پایه فراهم می‌گردد. با استفاده از این خط مبنا، تحلیل می‌تواند ناهنجاری‌ها و داده‌های پرتی را که ممکن است تهدیدات پیشرفته به شمار روند، بیابد. آمار با جستجوی رویدادهایی که انحراف معیار میانگین هستند، می‌تواند در این شناسایی مفید واقع گردد. همبستگی‌ها نیز با شناسایی ترکیبی از رویدادهایی که به ندرت مشاهده شده و مشکوک هستند، می‌توانند کمک نمایند.

رویکرد جدیدی به سوی SIME

ممکن است بسیاری از SIEMها علیرغم ادعای برآورده‌ سازی معیارهای جدید، برای سازمان شما مناسب نباشند. لیستی از توانایی‌ های کلیدی که باید هنگام ارزیابی یک SIEM جدید یا ارزیابی مجدد SIEM قدیمی در برابر شرایط جدید در نظر گرفته شوند، در جدول زیر ارائه شده‌اند:

قابلیت‌های کلیدی مزیت
پلت فرم منفرد یک محصول برای نصب و مدیریت، که ساده‌سازی عملیات را برعهده دارد.
نرم‌افزار ارائه گزینه‌های سخت‌افزاری مقیاس‌بندی مقرون‌به‌صرفه می‌تواند منطبق بر الزامات باشد و در صورت نیاز گسترش یابد. هزینه‌های سخت‌افزاری به حداقل می‌رسند زیرا می‌توان از سخت‌افزار متداول در بازار استفاده نمود.
فهرست‌بندی هر داده با استفاده از انواع مکانیسم‌ها زمان سریع برای ارزش‌گذاری. مشتریان باید  ارزش برحسب SIEM خود را در ساعت ها یا روزها درک نمایند.
تعداد زیادی از منابع داده‌ای از پیش تعریف شده وجود یک اکوسیستم همراه غنی، وابستگی به فروشنده SIEM و جمع‌‌کننده‌های سفارشی را کاهش می‌دهد.
ذخیره‌سازی اطلاعات فایل یک سطحی که دسترسی به تمام مقادیر داده و زمینه‌های داده‌ای را بدون هیچ طرح یا نرمال‌سازی فراهم می‌سازد می‌توان تمام مقادیر و زمینه‌ها از تمام منابع داده  را به عنوان هشدار از پیش تعریف‌شده و یا برای بررسی ادهاک مورد جستجو، گزارش‌گیری و تطبیق قرار داد. تمام داده‌های اصلی آن در مقایسه با SIEMهای قدیمی که برای آسان‌سازی باید فرمت‌های مختلف مجازشان به “طبقه بندی” منفرد تبدیل شوند، حفظ شده و مقابل جستجو هستند.
ذخیره‌سازی داده های انفرادی با فهرست‌بندی توزیعی و انجام جستجو برای مقیاس و سرعت مسائل مربوط به مقیاس‌پذیری و سرعت وجود ندارد
جستجوی انعطاف‌پذیر برای همبستگی‌های اتوماتیک پایه و  پیشرفته قابلیت یافتن داده‌های پرت و ناهنجاری‌ها را افزایش می‌دهد
تجسم داده‌ها و حوادث در فرمت‌ها و تفسیرهای مختلف توانایی استفاده، ایجاد و ویرایش جداول موجود، نمودارها یا نمودارهای پراکنده موجب می‌گردد تا  انعطاف‌پذیری بسیار مطلوبی برای محیطی با مشتری های مختلف فراهم شود.
پشتیبانی خارج از چارچوب مرسوم و متداول از APIها و SDKها رابط کاربری با برنامه‌های شخص ثالث برای گسترش قابلیت SIEM
پشتیبانی از موارد کاربردی رایج  IT مانند انطباق، کلاه برداری، تشخیص سرقت و سوء استفاده، عملیات IT، هوش خدماتی، تحویل برنامه کاربردی و تحلیل کسب و کار از آنجایی‌که عملیات تیم‌های امنیتی با هماهنگی با سایر توابع IT صورت می‌پذیرد، برخورداری از قابلیت دید از نظر سایر موارد کاربردی به چشم‌اندازی متمرکز در سراسر سازمان همراه با همکاری بخش‌های مختلف و ROI قوی‌تر منجر می‌گردد.
عملیات درون سازمانی، در اَبر و محیط ترکیبی اجرای یک راه‌حل منطقی که موجب می‌گردد تا کاربران هنگامی که داده‌ها به صورت درون‌سازمانی یا ابر ذخیره می‌شوند، قادر به جستجو ، گزارش و انجام عملیات باشند.
گزینه استقرار اَبر (BYOL و SaaS) کمک به تحکیم تجارت شما در اَبر
استقرار ترکیبی با گزینه‌های درون‌سازمانی و اَبر بهینه‌سازی کسب و کار شما نیازمند استفاده از SaaS و یا استقرار درون‌سازمانی است. – بدون به خطر انداختن دید فداکاری
عملیاتی نمودن هوش تهدیدات تیم‌های امنیتی قادرند به سرعت و به طور موثر اطلاعات تهدید را به هوش تهدید تفسیر نمایند تا امکان تشخیص تهدیدات و حفاظت از سازمان شما عملی گردد.
رتبه‌بندی ریسک آگاهی یافتن از خطر نسبی یک دستگاه یا کاربر در محیط شبکه خود در طول زمان
جستجوی ادهاک در طول دوره های طولانی مدت شناسایی نقایض و انجام تحلیل دقیق نقض با بررسی سریع داده‌های ماشینی برای رسیدن به بینشی عمیق و دقیق
پشتیبانی با اعمال روش تحقیق زنجیره نابود کننده افزایش قابلیت دید حمله، درک اهداف دشمن، نظارت بر فعالیت در طول حمله، ثبت اطلاعات مهم و استفاده از آن‌ها برای دفاع از سازمان خود
تحلیل پشتیبانی از پنج سبک دفاع در برابر تهدیدات پیشرفته کمک به شناسایی حملات پیشرفته هدفمند که همچنین به عنوان تهدیدات مستمر پیشرفته از شبکه، بار مفید و نقطه انتهایی در داده‌های نزدیک به زمان واقعی و پس از سازش شناخته می‌شوند.

 

انعطاف‌پذیری و ساختار این پلت‌ فرم نقش مهمی در تعیین این‌که آیا SIEM برای برآورده شدن نیازهای مقیاس‌ پذیری، قابل مقیاس‌ بندی است یا خیر، برعهده دارد. این امر که نرم افزار SIEM می‌تواند به سرعت همه داده‌های اولیه و خام از هر منبع را در حجم‌های گسترده داده‌ای فهرست‌ بندی نماید، حایز اهمیت است. مقیاس‌ پذیری در چندین صدها ترابایت داده‌ایی که روزانه به صورت فهرست ارائه می‌شوند، یکی دیگر از معیارهای کلیدی محسوب می‌گردد.

مقیاس‌‌گذاری افقی با استفاده از سخت افزارهای متداول (موجود در بازار)، انعطاف‌پذیری را فراهم نموده و مقیاس‌پذیری را محاسبه می‌کند که تجهیزات گران‌ قیمت فیزیکی قادر به برآورده‌سازی آن‌ها نیستند.

بکارگیری فهرست‌بندی توزیعی و تکنولوژی جستجو بر مبنای جستجوهای سریع، گزارش‌دهی و تحلیل، امکان تبدیل سریع نتایج به محدوده‌ی گسترده‌ای از گزارش‌های تعاملی و تصویرسازی را میسر می‌سازد.

Splunk به عنوان SIME شما

راه‌حل های امنیتی Splunk نه تنها معیارهای جدید SIEM امروزی را برآورده می‌سازنند، بلکه قابلیت‌های تحلیل امنیتی را نیز میسر ساخته و با ارائه مفهومی باارزش و بینشی بصری در تصمیم‌گیری امنیتی سریع و دقیق‌تر تیم‌های امنیتی، مثمر ثمر واقع می‌شوند.

Splunk گزینه‌های متعددی را برای شرکت‌هایی که به دنبال گسترش SIEM اولیه خود یا تغییر SIEM قدیمی خود هستند، ارائه نموده و انتخاب گزینه‌های استقرار درون سازمانی، ابری یا ترکیبی را پیشنهاد می‌کند.

مشتریان قادرند با استفاده از Splunk Enterprise یا Splunk Cloud،موارد کاربردی SIEM پایه خود را برطرف سازند. Splunk Enterprise و Splunk Cloud پلت‌ فرم‌های اصلی Splunk هستند که جمع‌آوری، نمایه‌سازی، جستجو و ارائه گزارش را ممکن می‌سازنند. بسیاری از مشتریان امنیتی Splunk از Splunk Enterprise یا Splunk Cloud در ایجاد جستجوی زمان واقعی خود و داشبوردهایی برای تجربه SIEM پایه، استفاده می‌کنند.

بهترین راه‌حل ارائه شده توسط Splunk، یعنیSplunk Enterprise Security)   Splunk ES) از موارد کاربردی SIEM پیشرفته را همراه با داشبورد آماده استفاده، جستجوها و گزارش‌های همبسته پشتیبانی می‌کند. Splunk ES درSplunk Enterprise ، Splunk Cloud یا هر دو قابل اجراست. Splunk ES علاوه بر قوانین همبستگی و هشدارهای از پیش تعیین شده، شامل بازنگری حادثه، قابلیت کارکرد وهوش تهدیدات شخص ثالث است که برای تحقیقات شما مفیدند.

علاوه بر این، بیش از ۳۰۰ برنامه کاربردی امنیتی در Splunkbase با قابلیت جستجوهای از پیش تعریف شده، گزارش‌گیری و تصویرسازی برای فروشنده‌های برنامه‌های امنیتی شخص ثالث وجود دارد. این برنامه‌ها، کاربردها و افزونه‌های آماده برای استفاده، ارائه‌کننده قابلیت‌های مختلفی از نظارت امنیتی، فایروال نسل بعدی، مدیریت تهدید پیشرفته و موارد دیگر به شمار می‌روند. این موارد موجب افزایش پوشش امنیتی می‌شود و توسط Splunk، شرکای Splunk و سایر تامین‌کنندگان برنامه شخص ثالث ارائه می‌گردد.

چندین راه برای تغییر SIEMهای قدیمی و یا پیچیده به Splunk وجود دارد. لطفا برای کسب اطلاعات بیشتر با بخش فروش Splunk تماس بگیرید. Splunk دارای منابع فنی، از جمله متخصصان امنیتی متعهدند که می‌توانند برای تعیین بهترین مسیر جایگزینی با شما همکاری کنند.

بیش از ۲۰۰۰ مشتری از نرم افزار Splunk برای SIEM و موارد پیشرفته استفاده امنیتی استفاده می کنند. Splunk تاکنون برنده جایزه‌های متعدد صنعتی مانند قرار گرفتن در بخش رهبران رده‌بندی چهارگوش جادویی اطلاعات امنیت و مدیریت رویداد (SIME) گارتنر در ۲۰۱۵ شده است.

Splunk را به صورت رایگان دانلود کنید و یا از سند باکس آنلاین مورد پیگیری قرار دهید. Splunk چه به صورت ابری، درون‌سازمانی یا برای تیم‌های بزرگ یا کوچک دارای یک مدل استقرار است که با نیازهای شما متناسب خواهد بود. 

 

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *