دریافت مقالات

Splunk Enterprise Security

 مروری کلی بر نرم‌افزار Splunk

Splunk اهرمی در حفظ امنیت

نرم‌افزار Splunk دارای سیستم امنیت مبتنی بر تجزیه و تحلیل هوشمند بوده که شامل فرآیند کشف و شناسایی روابط در کلیه داده‌های مرتبط با حوزه امنیت شامل داده‌های زیرساخت‌های IT، محصولات مختلف امنیتی و تمامی داده‌های ماشینی بوده و هدف آن انطباق سریع با تغییرات در تهدیدات و رویارویی با تهدیدات پیشرفته می‌باشد بدین ترتیب که تهدیدات را در کسری از ثانیه شناسایی، تجزیه و تحلیل و در نهایت به آنها پاسخ خواهد داد.

شرح مختصری از قابلیت‌های مختلف Splunk در راستای قدرت‌بخشی به SOC در ابعاد مختلف با پلتفرم هوش امنیتی سریع و انعطاف‌پذیر :

  1. شناسایی، بررسی و گزارش بلادرنگ موارد کلاهبرداری و سوء ‌استفاده
  2. افزایش اثربخشی فرآیندها و پرسنل SOC
  3. دارای قابلیت پیاده‌سازی به صورت Cloud، On-Premise و ترکیبی از این دو حالت
  4. قابلیت مقیاس‌پذیری و چابکی
  5. مدیریت SOC از یک یا چندین موقعیت مکانی مختلف و دستیابی به بهره‌وری‌ در هزینه‌ها

Splunk و ارتقا SIEM

ارتقاء پیاده‌سازی‌های فعلی SIEM در اندازه‌های مختلف سازمانی و فعال‌سازی مراکز عملیات امنیت (SOC) با اندازه‌های مختلف

  • راهکارهای مختلف نرم‌افزار Splunk در تکمیل پیاده‌سازی‌های فعلی SIEM
 سناریوی ۱سناریوی ۲سناریوی ۳
یکپارچه‌سازیSplunk Feeds SIEMSIEM Feeds Splunk
LoggingSplunk & SIEMSplunkSIEM
بررسی/forensicsSplunkSplunkSplunk
همبستگی/اعلام هشدار/ گزارش‌گیریSIEMSIEMSplunk
انطباقSIEMSplunkSplunk
سایر نکاتمنابع داده مختلف برای Splunk و SIEMSplunk صرفا زیرمجموعه‌های داده‌های خام را به SIEM ارسال می‌نمایددر ابتدا، کانکتورهای SIEM روی تعداد زیادی Host قرار دارند که جایگزینی آن را مشکل می‌کند.
  • از Splunk می‌توان برای موارد کاربرد SIEM در سطح enterprise شامل «بازنگری رویداد، پشتیبانی مدیریت رویداد، تجزیه و تحلیل و جمع‌آوری اطلاعات رفتاری و بررسی آن، هوش تهدید و جستجوی موردی» استفاده برد.
  • دارای پلتفرم هوش امنیتی کاملاً یکپارچه و مبتنی بر Big Data و قابلیت تجزیه و تحلیل هوشمند حجم انبوهی از داده‌های نرمال و قابل اطمینان کاربر علاوه بر تمامی قابلیت‌های راهکار سنتی SIEM
  • در شرکت‌های بزرگ می‌توان از این تکنولوژی برای طیف کاملی از عملیات‌های امنیت اطلاعات نظیر «ارزیابی وضعیت امنیت، مانیتورینگ، کنترل رویداد و هشدار، CSIRT، تحلیل و بررسی نقض داده‌ها، پاسخ‌گویی به تهدید، همبستگی‌های بین رویدادها، جستجوهای زمینه‌ای و تحلیل و شناسایی سریع تهدیدات پیشرفته»، ساده‌سازی روند مدیریت تهدیدات، کاهش ریسک‌ها و حفظ امنیت کسب‌و‌کار از ابتدای کار راه‌اندازی این سیستم استفاده نمود.

مدیریت تهدیدات و رخدادهای امنیتی

  1. بهبود وضعیت امنیتی با قابلیت دید End-to-End در سراسر داده‌های ماشینی
  • مانیتورینگ مستمر به صورت بلادرنگ (Real-Time)
  • بهبود وضعیت و فرایندهای امنیتی از قبیل مانیتورینگ امنیتی، اولویت‌بندی، پاسخگویی، کنترل و اصلاح تهدیدها و همچنین فرایند بررسی تهدیدات
  • تصمیم‌گیری‌های آگاهانه‌تر با بهره‌گیری از هوش تهدیدات

۲. قابلیت‌های متعدد در بررسی رویدادها

  • اولویت‌بندی رویدادها و اقدام بر روی آن‌ها
  • مدیریت فعالانه و پیگیری وضعیت امنیتی
  • بازنگری رویداد و دسته‌بندی و تغییر وضعیت و حساسیت رویدادها و ممیزی، مانیتور و پیگیری تغییر وضعیت‌ها
  • محافظت از Endpoint
  • ارتقا بخشی فرآیند تصمیم‌گیری و همراستایی وضعیت ریسک با کسب‌و‌کار

۳. بهینه‌سازی عملیات‌های امنیتی با زمان پاسخ‌گویی کوتاه‌تر و پیگیری پیشگیرانه تهدیدات

۴.ساده‌سازی روند مدیریت تهدیدات

  • پیگیری مراحل مختلف تهدید پیشرفته، مرتبط ساختن توالی رویدادها و فعال‌سازی اصلاحات با استفاده از تحلیل Kill Chain
  • شناسایی و بررسی انواع تهدیدهای شناخته شده و ناشناخته، تعیین موارد تطبیقی در بروز تهدیدات و دستیابی به دیدی جامع‌ و کامل با استفاده از تجزیه و تحلیل‌های پیشرفته امنیتی و فرآیند پاسخ‌گویی تطبیقی (adaptive response initiative)
  • امکان نمایش خودکار موارد تطابق یا عدم تطابق در بروز تهدیدات با وجود قابلیت گزارش‌گیری و قواعد همبستگی
  • مدیریت log و پشتیبانی از غنی‌سازی داده‌های log

انجام Benchmarking در پیاده سازی SIEM

معیارهای انجام Benchmarking به منظور تصمیم‌گیری در پیاده سازی SIEM

معیارهای ارزیابی SIEM جدید یا ارزیابی مجدد یک SIEM قدیمی در شرایط جدید:

ردیفقابلیتهای مهم و کلیدی
۱پلتفرم واحد
۲نرم‌افزار
۳فهرست‌بندی داده‌ها با استفاده از مکانیسم‌های مختلف
۴تعداد زیادی منبع داده‌ی از پیش تعریف شده
۵Flat File Data Store
۶یک منبع داده واحد با فهرست‌بندی توزیعی و قابلیت جستجو برای مقیاس‌بندی و سرعت
۷جستجوی انعطاف‌پذیر برای همبستگی‌های خودکار استاندارد و پیشرفته
۸مجازی‌سازی داده‌ها و رویدادها در چندین قالب و تفسیر مختلف
۹قابلیت پشتیبانی فوق‌العاده از APIها و SDKها از ابتدای راه‌اندازی
۱۰پشتیبانی از موارد معمول کاربرد IT مانند انطباق، کلاهبرداری، سرقت و شناسایی موارد سوءاستفاده، عملیات‌های IT، هوش سرویس، ارائه برنامه و تجزیه و تحلیل کسب‌وکار
۱۱در محیط Cloud، Hybrid و On-Premise عمل می‌کند
۱۲گزینه پیاده سازی (Cloud (BYOL, SaaS
۱۳پیاده سازی Hybrid با گزینه‌های Cloud و On-Premise
۱۴عملیاتی نمودن هوش تهدیدات
۱۵امتیازبندی ریسک
۱۶جستجوی موردی در دوره های زمانی طولانی
۱۷پشتیبانی از کاربرد روش  Kill Chain برای بررسی‌ها
۱۸پشتیبانی از فرآیند تحلیل پنج سبک در دفاع از تهدیدات پیشرفته

کاربرد Splunk با اهداف مختلف در راه‌اندازی SIEM

  1. دستیابی به SIEM در سطح پایه با Splunk Enterprise و Splunk Cloud
  2. دستیابی به SIEM پیشرفته با Splunk Enterprise Security
  3. وجود بیش از ۳۰۰ برنامه امنیتی ، افزونه و امکانات دیگر در Splunk با قابلیتهای نظیر جستجوهای ازپیش‌تعریف‌شده، گزارش‌گیری و تصویرسازی، مانیتور کردن امنیت، فایروال‌های نسل بعدی (Next-Generation Firewall) ، مدیریت تهدیدات پیشرفته و ….
?