دریافت مقالات

Splunk Enterprise Security

 مروری کلی بر نرم‌افزار Splunk

Splunk اهرمی در حفظ امنیت و پیاده سازی SIEM

نرم‌افزار Splunk دارای سیستم امنیت مبتنی بر تجزیه و تحلیل هوشمند بوده که شامل فرآیند کشف و شناسایی روابط در کلیه داده‌های مرتبط با حوزه امنیت شامل داده‌های زیرساخت‌های IT، محصولات مختلف امنیتی و تمامی داده‌های ماشینی بوده و هدف آن انطباق سریع با تغییرات در تهدیدات و رویارویی با تهدیدات پیشرفته می‌باشد بدین ترتیب که تهدیدات را در کسری از ثانیه شناسایی، تجزیه و تحلیل و در نهایت به آنها پاسخ خواهد داد.

شرح مختصری از قابلیت‌های مختلف Splunk در راستای قدرت‌بخشی به SOC در ابعاد مختلف با پلتفرم هوش امنیتی سریع و انعطاف‌پذیر :

شرکت امن پایه ریزان کارن APK نخستین شرکت دانش محور در اجرای پروژه های انفورماتیکی کشور تماس با کارشناسان 021-88539044-5
  1. شناسایی، بررسی و گزارش بلادرنگ موارد کلاهبرداری و سوء ‌استفاده
  2. افزایش اثربخشی فرآیندها و پرسنل SOC
  3. دارای قابلیت پیاده‌سازی به صورت Cloud، On-Premise و ترکیبی از این دو حالت
  4. قابلیت مقیاس‌پذیری و چابکی
  5. مدیریت SOC از یک یا چندین موقعیت مکانی مختلف و دستیابی به بهره‌وری‌ در هزینه‌ها

Splunk و ارتقا SIEM

ارتقاء پیاده‌سازی‌های فعلی SIEM در اندازه‌های مختلف سازمانی و فعال‌سازی مراکز عملیات امنیت (SOC) با اندازه‌های مختلف

  • راهکارهای مختلف نرم‌افزار Splunk در تکمیل پیاده‌سازی‌های فعلی SIEM
 سناریوی 1سناریوی 2سناریوی 3
یکپارچه‌سازیSplunk Feeds SIEMSIEM Feeds Splunk
LoggingSplunk & SIEMSplunkSIEM
بررسی/forensicsSplunkSplunkSplunk
همبستگی/اعلام هشدار/ گزارش‌گیریSIEMSIEMSplunk
انطباقSIEMSplunkSplunk
سایر نکاتمنابع داده مختلف برای Splunk و SIEMSplunk صرفا زیرمجموعه‌های داده‌های خام را به SIEM ارسال می‌نمایددر ابتدا، کانکتورهای SIEM روی تعداد زیادی Host قرار دارند که جایگزینی آن را مشکل می‌کند.
  • از Splunk می‌توان برای موارد کاربرد SIEM در سطح enterprise شامل «بازنگری رویداد، پشتیبانی مدیریت رویداد، تجزیه و تحلیل و جمع‌آوری اطلاعات رفتاری و بررسی آن، هوش تهدید و جستجوی موردی» استفاده برد.
  • دارای پلتفرم هوش امنیتی کاملاً یکپارچه و مبتنی بر Big Data و قابلیت تجزیه و تحلیل هوشمند حجم انبوهی از داده‌های نرمال و قابل اطمینان کاربر علاوه بر تمامی قابلیت‌های راهکار سنتی SIEM
  • در شرکت‌های بزرگ می‌توان از این تکنولوژی برای طیف کاملی از عملیات‌های امنیت اطلاعات نظیر «ارزیابی وضعیت امنیت، مانیتورینگ، کنترل رویداد و هشدار، CSIRT، تحلیل و بررسی نقض داده‌ها، پاسخ‌گویی به تهدید، همبستگی‌های بین رویدادها، جستجوهای زمینه‌ای و تحلیل و شناسایی سریع تهدیدات پیشرفته»، ساده‌سازی روند مدیریت تهدیدات، کاهش ریسک‌ها و حفظ امنیت کسب‌و‌کار از ابتدای کار راه‌اندازی این سیستم استفاده نمود.

مدیریت تهدیدات و رخدادهای امنیتی

  1. بهبود وضعیت امنیتی با قابلیت دید End-to-End در سراسر داده‌های ماشینی
  • مانیتورینگ مستمر به صورت بلادرنگ (Real-Time)
  • بهبود وضعیت و فرایندهای امنیتی از قبیل مانیتورینگ امنیتی، اولویت‌بندی، پاسخگویی، کنترل و اصلاح تهدیدها و همچنین فرایند بررسی تهدیدات
  • تصمیم‌گیری‌های آگاهانه‌تر با بهره‌گیری از هوش تهدیدات

2. قابلیت‌های متعدد در بررسی رویدادها

  • اولویت‌بندی رویدادها و اقدام بر روی آن‌ها
  • مدیریت فعالانه و پیگیری وضعیت امنیتی
  • بازنگری رویداد و دسته‌بندی و تغییر وضعیت و حساسیت رویدادها و ممیزی، مانیتور و پیگیری تغییر وضعیت‌ها
  • محافظت از Endpoint
  • ارتقا بخشی فرآیند تصمیم‌گیری و همراستایی وضعیت ریسک با کسب‌و‌کار

3. بهینه‌سازی عملیات‌های امنیتی با زمان پاسخ‌گویی کوتاه‌تر و پیگیری پیشگیرانه تهدیدات

4.ساده‌سازی روند مدیریت تهدیدات

  • پیگیری مراحل مختلف تهدید پیشرفته، مرتبط ساختن توالی رویدادها و فعال‌سازی اصلاحات با استفاده از تحلیل Kill Chain
  • شناسایی و بررسی انواع تهدیدهای شناخته شده و ناشناخته، تعیین موارد تطبیقی در بروز تهدیدات و دستیابی به دیدی جامع‌ و کامل با استفاده از تجزیه و تحلیل‌های پیشرفته امنیتی و فرآیند پاسخ‌گویی تطبیقی (adaptive response initiative)
  • امکان نمایش خودکار موارد تطابق یا عدم تطابق در بروز تهدیدات با وجود قابلیت گزارش‌گیری و قواعد همبستگی
  • مدیریت log و پشتیبانی از غنی‌سازی داده‌های log

انجام Benchmarking در پیاده سازی SIEM

معیارهای انجام Benchmarking به منظور تصمیم‌گیری در پیاده سازی SIEM

معیارهای ارزیابی SIEM جدید یا ارزیابی مجدد یک SIEM قدیمی در شرایط جدید:

ردیفقابلیتهای مهم و کلیدی
1پلتفرم واحد
2نرم‌افزار
3فهرست‌بندی داده‌ها با استفاده از مکانیسم‌های مختلف
4تعداد زیادی منبع داده‌ی از پیش تعریف شده
5Flat File Data Store
6یک منبع داده واحد با فهرست‌بندی توزیعی و قابلیت جستجو برای مقیاس‌بندی و سرعت
7جستجوی انعطاف‌پذیر برای همبستگی‌های خودکار استاندارد و پیشرفته
8مجازی‌سازی داده‌ها و رویدادها در چندین قالب و تفسیر مختلف
9قابلیت پشتیبانی فوق‌العاده از APIها و SDKها از ابتدای راه‌اندازی
10پشتیبانی از موارد معمول کاربرد IT مانند انطباق، کلاهبرداری، سرقت و شناسایی موارد سوءاستفاده، عملیات‌های IT، هوش سرویس، ارائه برنامه و تجزیه و تحلیل کسب‌وکار
11در محیط Cloud، Hybrid و On-Premise عمل می‌کند
12گزینه پیاده سازی (Cloud (BYOL, SaaS
13پیاده سازی Hybrid با گزینه‌های Cloud و On-Premise
14عملیاتی نمودن هوش تهدیدات
15امتیازبندی ریسک
16جستجوی موردی در دوره های زمانی طولانی
17پشتیبانی از کاربرد روش  Kill Chain برای بررسی‌ها
18پشتیبانی از فرآیند تحلیل پنج سبک در دفاع از تهدیدات پیشرفته

کاربرد Splunk با اهداف مختلف در راه‌اندازی SIEM

  1. دستیابی به SIEM در سطح پایه با Splunk Enterprise و Splunk Cloud
  2. دستیابی به SIEM پیشرفته با Splunk Enterprise Security
  3. وجود بیش از 300 برنامه امنیتی ، افزونه و امکانات دیگر در Splunk با قابلیتهای نظیر جستجوهای ازپیش‌تعریف‌شده، گزارش‌گیری و تصویرسازی، مانیتور کردن امنیت، فایروال‌های نسل بعدی (Next-Generation Firewall) ، مدیریت تهدیدات پیشرفته و ….
?