Splunk ES و یا Splunk SIEM چیست؟

1400/03/02
ارسال شده توسط
اسپلانک
4.65k بازدید
splunk siem
زمان مطالعه: 4 دقیقه

در مقاله قبل راجب Splunk صحبت کریدم و معماری آنرا نیز بررسی کردیم در این مقاله به Splunk SIEM و یا محصول Splunk Enterprise Security می پردازیم. با ساینت همراه باشید.

امنیت اطلاعات همیشه کنترل های مختلفی را بر روی انواع دستگاه ها، برنامه ها و داده ها انجام داده است، اما مقابله با تهدیدات پیشرفته بدون دید کلی از وقایع امنیتی سخت است. تجزیه و تحلیل داده های بزرگ معمولاً برای کنترل های امنیتی در زمان واقعی و یا با فاصله بسیار کم از وقوع اتفاقات برای متخصصان امنیت کار سخت و دشواری است. Splunk به دلیل توانایی جمع آوری و استفاده از لاگ های سیستم ها و سایر داده ها به خوبی شناخته شده است. اسپلانک نمونه ای از بسترهای نرم افزاری است که در حوزه امنیت خود را جزء نرم افزارهای آنالیز امنیت داده های بزرگ قرار می دهد.

Splunk Enterprise Security (ES) یک بستر امنیتی است که به منظور بهبود استفاده و تجزیه و تحلیل داده های مربوط به امنیت از طریق تجزیه و تحلیل امنیت داده های بزرگ طراحی شده است. هدف این است که به متخصصان امنیت و تصمیم گیرندگان ابزاری برای تجزیه و تحلیل درست تهدیدات ارائه شود. این محصول می تواند با ساختار ابری عمومی ، خصوصی و ترکیبی و همچنین به عنوان یک محیط مبتنی بر سرویس service-based ادغام شود.

ویژگی های Splunk SIEM

Threats blocked: اسپلانک SIEM می تواند به شناسایی و اصلاح همه تهدیدهای امنیتی از جمله باج افزار، رمزنگاری، حملات DDoS، بدافزار، فیشینگ، تهدیدات خودی و موارد دیگر کمک کند.

Sources ingested: فروشگاه برنامه Splunk ،Splunkbase، بیش از 900 برنامه از سازمانهای مختلف فناوری امنیتی دارد.

Performance: مشتریان Splunk ES می توانند از آن برای مقادیر ترابایت در روز استفاده کنند.

Value: مشتریان گارتنر که Splunk را پیاده سازی کرده اند نگرانی در مورد مدل صدور مجوز و هزینه کلی برای پیاده سازی راه حل را دارند. با این حال ، کسانی که مایل به پرداخت قیمت Splunk ES هستند احتمالاً ROI خوبی را مشاهده می کنند. یک بخش بزرگ در سطح کابینه ایالات متحده ابزار SIEM با میراث Splunk Enterprise را تعویض کرد و 900000 دلار در سال در زمینه نگهداری نرم افزار صرفه جویی کرد.

Implementation: در مورد پیاده سازی Splunk Cloud  و Splunk ES در صورت دسترس بودن منابع داده می تواند در طی چند روز انجام شود. سازمان ها باید با یک شریک Splunk همکاری کنند که ادغام سخت افزار پشتیبانی شده را فراهم می کند. به طور کلی زمان اجرای برای هر سازمانی از چند روز تا چند هفته طول می کشد.

پشتیبانی: مشتریان می توانند از بین Standard و یا  Premium Success Plans انتخاب کنند. برنامه استاندارد برای مشاغل با نیازهای معمولی است و برنامه Premium برای مشاغلی که مایل به استقرار سریع و پذیرش سریع محصول هستند (با شروع ظرفیت 500 گیگابایت) است.

مقیاس پذیری: بسیار خوب است. هیچ محدودیتی خاصی در سرورها، کاربران یا مقیاس استفاده از ES وجود ندارد.

ابزارها و داشبورد Splunk SIEM

Splunk ES دست شما را در انتخاب ابزارها و تنظیم داشبورد کاملا باز می گذارد.که می تئانید با توجه به نقش کاربران و با استفاده از کتابخانه های موجود از ابزارهای امنیتی Splunk آنرا سفارشی سازی کرد Splunk ES همچنین با داشبورد از پیش ساخته برای تجزیه و تحلیل آماری داده های رویداد ارائه می شود. با استفاده از کتابخانه ویجت و داشبورد های سفارشی ، متخصصان امنیتی و محققان گزینه های مختلفی برای نحوه مشاهده داده های جمع آوری شده دارند.

Splunk ES به کاربران اجازه می دهد داده ها را بر اساس موقعیت مکانی و نوع داده ها جستجو و طبقه بندی کنند. این شامل داده های ذخیره شده در Active directories ، spreadsheets ، Asset Databases and CSV و پرونده های CSV می شود. هر منبع داده خارجی می تواند در Splunk ES بدون نیاز به اتصال دهنده های شخص ثالث third-party  فهرست بندی شود. علاوه بر این ، تمام داده های ایندکس شده برای جستجوهای موقت و قابل تنظیم در دسترس هستند.

Splunk ES مانند اکثر محصولات نظارت بر امنیت ، قابلیت های مدیریت هشدار را دارد. این مدیریت هشدار شامل امکان اختصاص مقدار خطر به هر رویداد و اختصاص وقایع به کاربران خاص برای تحقیقات است. Splunk ES همچنین با یک Threat Intelligence Framework ، که اطلاعات تهدید امنیت عمومی را از منابع مختلف ، از جمله مقامات دولتی ، پایگاه داده های منبع باز و سازمان های دیگر جمع می کند ، ادغام شده است.

تجزیه و تحلیل رفتار کاربر با اسپلانک User Behavior Analytics

Splunk ES همچنین با پلتفرم Splunk User Behavior Analytics (UBA) یکپارچه است. Splunk UBA برای تشخیص رفتار غیر عادی از منابع داخلی و خارج استفاده می شود. داده های جمع آوری شده از UBA دقیقاً مانند هر منبع داده دیگر قابل استفاده است و برخی از وقایع یا رفتارها می توانند با هشدار همراه باشند و می توانند در هنگام بررسی یک تهدید یا یک رویداد برای جستجو استفاده شوند.

اگرچه Splunk Enterprise Security برای شخصی سازی در نظر گرفته شده است ولی این محصول تعدادی از تنظیمات تشخیص تهدید out-of-the-box، از جمله premade data swim lanes را ارائه می دهد که می توانید بلافاصله برای بررسی مشکلات احراز هویت، IDS و حملات نرم افزارهای مخرب و ناهنجاری های کاربر یا نقطه انتهایی از آنها استفاده کنید.

هزینه لایسنس و پیاده سازی Splunk ES

سکوی امنیتی Splunk Enterprise Security می تواند در داخل شبکه یا در سرویس های ابر مستقر شود. قیمت گذاری بر اساس حجم و طول عمر لایسنس به صورت سالیانه و یا دائمی perpetual انجام می شود. حجم روزانه یک گیگابایت با مجوز سالانه 1800 دلار است. مجوز دائمی برای حجم شاخص روزانه گیگابایت 4500 دلار برای هر گیگابایت است. قیمت هر گیگابایت با خرید حجم بیشتر کاهش می یابد. با حجم شاخص 100 گیگابایت در روز ، مجوز سالانه 600 دلار در هر گیگابایت است در حالی که مجوز دائمی در این حجم 1500 دلار برای هر گیگابایت است. قیمت گذاری سالانه Splunk Cloud از 8،100 تا 24،000 دلار برای 5 گیگابایت در روز تا 20 گیگابایت در روز از حجم است. اگر قیمت برای حجم های بزرگتر به صورت سفارشی است.

نتیجه

امنیت اطلاعات اکنون و برای آینده قابل پیش بینی بستگی به تکنیک های بزرگ تجزیه و تحلیل داده ها دارد تا بتواند مجموعه تهدیداتی که کسب و کار با آن روبرو است را مشخص کند. Splunk ES برای شرکتهای بزرگ و متوسط با حجم زیادی از داده های امنیتی مناسب است. در همین حال، Splunk Cloud ممکن است گزینه مناسبی برای سازمانهایی باشد که منابع لازم برای استقرار Splunk ES در محل را ندارند.

 

اشتراک گذاری:
برچسب ها:
در تلگرام
کانال ما را دنبال کنید!
در اینستاگرام
ما را دنبال کنید!
مطالب زیر را حتما بخوانید

دیدگاهتان را بنویسید