دریافت مقالات

Splunk Enterprise Security

 مروری کلی بر نرم‌افزار Splunk

Splunk اهرمی در حفظ امنیت

نرم‌افزار Splunk دارای سیستم امنیت مبتنی بر تجزیه و تحلیل هوشمند بوده که شامل فرآیند کشف و شناسایی روابط در کلیه داده‌های مرتبط با حوزه امنیت شامل داده‌های زیرساخت‌های IT، محصولات مختلف امنیتی و تمامی داده‌های ماشینی بوده و هدف آن انطباق سریع با تغییرات در تهدیدات و رویارویی با تهدیدات پیشرفته می‌باشد بدین ترتیب که تهدیدات را در کسری از ثانیه شناسایی، تجزیه و تحلیل و در نهایت به آنها پاسخ خواهد داد.

شرح مختصری از قابلیت‌های مختلف Splunk در راستای قدرت‌بخشی به SOC در ابعاد مختلف با پلتفرم هوش امنیتی سریع و انعطاف‌پذیر :

  1. شناسایی، بررسی و گزارش بلادرنگ موارد کلاهبرداری و سوء ‌استفاده
  2. افزایش اثربخشی فرآیندها و پرسنل SOC
  3. دارای قابلیت پیاده‌سازی به صورت Cloud، On-Premise و ترکیبی از این دو حالت
  4. قابلیت مقیاس‌پذیری و چابکی
  5. مدیریت SOC از یک یا چندین موقعیت مکانی مختلف و دستیابی به بهره‌وری‌ در هزینه‌ها

Splunk و ارتقا SIEM

ارتقاء پیاده‌سازی‌های فعلی SIEM در اندازه‌های مختلف سازمانی و فعال‌سازی مراکز عملیات امنیت (SOC) با اندازه‌های مختلف

  • راهکارهای مختلف نرم‌افزار Splunk در تکمیل پیاده‌سازی‌های فعلی SIEM
  سناریوی 1 سناریوی 2 سناریوی 3
یکپارچه‌سازی Splunk Feeds SIEM SIEM Feeds Splunk
Logging Splunk & SIEM Splunk SIEM
بررسی/forensics Splunk Splunk Splunk
همبستگی/اعلام هشدار/ گزارش‌گیری SIEM SIEM Splunk
انطباق SIEM Splunk Splunk
سایر نکات منابع داده مختلف برای Splunk و SIEM Splunk صرفا زیرمجموعه‌های داده‌های خام را به SIEM ارسال می‌نماید در ابتدا، کانکتورهای SIEM روی تعداد زیادی Host قرار دارند که جایگزینی آن را مشکل می‌کند.
  • از Splunk می‌توان برای موارد کاربرد SIEM در سطح enterprise شامل «بازنگری رویداد، پشتیبانی مدیریت رویداد، تجزیه و تحلیل و جمع‌آوری اطلاعات رفتاری و بررسی آن، هوش تهدید و جستجوی موردی» استفاده برد.
  • دارای پلتفرم هوش امنیتی کاملاً یکپارچه و مبتنی بر Big Data و قابلیت تجزیه و تحلیل هوشمند حجم انبوهی از داده‌های نرمال و قابل اطمینان کاربر علاوه بر تمامی قابلیت‌های راهکار سنتی SIEM
  • در شرکت‌های بزرگ می‌توان از این تکنولوژی برای طیف کاملی از عملیات‌های امنیت اطلاعات نظیر «ارزیابی وضعیت امنیت، مانیتورینگ، کنترل رویداد و هشدار، CSIRT، تحلیل و بررسی نقض داده‌ها، پاسخ‌گویی به تهدید، همبستگی‌های بین رویدادها، جستجوهای زمینه‌ای و تحلیل و شناسایی سریع تهدیدات پیشرفته»، ساده‌سازی روند مدیریت تهدیدات، کاهش ریسک‌ها و حفظ امنیت کسب‌و‌کار از ابتدای کار راه‌اندازی این سیستم استفاده نمود.

مدیریت تهدیدات و رخدادهای امنیتی

  1. بهبود وضعیت امنیتی با قابلیت دید End-to-End در سراسر داده‌های ماشینی
  • مانیتورینگ مستمر به صورت بلادرنگ (Real-Time)
  • بهبود وضعیت و فرایندهای امنیتی از قبیل مانیتورینگ امنیتی، اولویت‌بندی، پاسخگویی، کنترل و اصلاح تهدیدها و همچنین فرایند بررسی تهدیدات
  • تصمیم‌گیری‌های آگاهانه‌تر با بهره‌گیری از هوش تهدیدات

2. قابلیت‌های متعدد در بررسی رویدادها

  • اولویت‌بندی رویدادها و اقدام بر روی آن‌ها
  • مدیریت فعالانه و پیگیری وضعیت امنیتی
  • بازنگری رویداد و دسته‌بندی و تغییر وضعیت و حساسیت رویدادها و ممیزی، مانیتور و پیگیری تغییر وضعیت‌ها
  • محافظت از Endpoint
  • ارتقا بخشی فرآیند تصمیم‌گیری و همراستایی وضعیت ریسک با کسب‌و‌کار

3. بهینه‌سازی عملیات‌های امنیتی با زمان پاسخ‌گویی کوتاه‌تر و پیگیری پیشگیرانه تهدیدات

4.ساده‌سازی روند مدیریت تهدیدات

  • پیگیری مراحل مختلف تهدید پیشرفته، مرتبط ساختن توالی رویدادها و فعال‌سازی اصلاحات با استفاده از تحلیل Kill Chain
  • شناسایی و بررسی انواع تهدیدهای شناخته شده و ناشناخته، تعیین موارد تطبیقی در بروز تهدیدات و دستیابی به دیدی جامع‌ و کامل با استفاده از تجزیه و تحلیل‌های پیشرفته امنیتی و فرآیند پاسخ‌گویی تطبیقی (adaptive response initiative)
  • امکان نمایش خودکار موارد تطابق یا عدم تطابق در بروز تهدیدات با وجود قابلیت گزارش‌گیری و قواعد همبستگی
  • مدیریت log و پشتیبانی از غنی‌سازی داده‌های log

انجام Benchmarking در پیاده سازی SIEM

معیارهای انجام Benchmarking به منظور تصمیم‌گیری در پیاده سازی SIEM

معیارهای ارزیابی SIEM جدید یا ارزیابی مجدد یک SIEM قدیمی در شرایط جدید:

ردیف قابلیتهای مهم و کلیدی
1 پلتفرم واحد
2 نرم‌افزار
3 فهرست‌بندی داده‌ها با استفاده از مکانیسم‌های مختلف
4 تعداد زیادی منبع داده‌ی از پیش تعریف شده
5 Flat File Data Store
6 یک منبع داده واحد با فهرست‌بندی توزیعی و قابلیت جستجو برای مقیاس‌بندی و سرعت
7 جستجوی انعطاف‌پذیر برای همبستگی‌های خودکار استاندارد و پیشرفته
8 مجازی‌سازی داده‌ها و رویدادها در چندین قالب و تفسیر مختلف
9 قابلیت پشتیبانی فوق‌العاده از APIها و SDKها از ابتدای راه‌اندازی
10 پشتیبانی از موارد معمول کاربرد IT مانند انطباق، کلاهبرداری، سرقت و شناسایی موارد سوءاستفاده، عملیات‌های IT، هوش سرویس، ارائه برنامه و تجزیه و تحلیل کسب‌وکار
11 در محیط Cloud، Hybrid و On-Premise عمل می‌کند
12 گزینه پیاده سازی (Cloud (BYOL, SaaS
13 پیاده سازی Hybrid با گزینه‌های Cloud و On-Premise
14 عملیاتی نمودن هوش تهدیدات
15 امتیازبندی ریسک
16 جستجوی موردی در دوره های زمانی طولانی
17 پشتیبانی از کاربرد روش  Kill Chain برای بررسی‌ها
18 پشتیبانی از فرآیند تحلیل پنج سبک در دفاع از تهدیدات پیشرفته

کاربرد Splunk با اهداف مختلف در راه‌اندازی SIEM

  1. دستیابی به SIEM در سطح پایه با Splunk Enterprise و Splunk Cloud
  2. دستیابی به SIEM پیشرفته با Splunk Enterprise Security
  3. وجود بیش از 300 برنامه امنیتی ، افزونه و امکانات دیگر در Splunk با قابلیتهای نظیر جستجوهای ازپیش‌تعریف‌شده، گزارش‌گیری و تصویرسازی، مانیتور کردن امنیت، فایروال‌های نسل بعدی (Next-Generation Firewall) ، مدیریت تهدیدات پیشرفته و ….
?