معرفی اسپلانک (Splunk)
در حال حاضر اسپلانک یکی از معروفترین و پرطرفدارترین ابزارهای تحلیل Big Data و مانیتورینگ لاگ در بازار امنیت میباشد. در واقع اسپلانک یک پلتفرم نرمافزاری برای جستجو، آنالیز و بصریسازی دادههای ماشینی میباشد که دادهها را از حجم وسیعی از دستگاهها جمعآوری و تحلیل میکند.
دلیل نیاز به ابزارهای تحلیل و آنالیز
در گذشته اگرچه کارشناسان امنیت بدون نیاز به این ابزاها میتوانستند با دانش و تجربه خود حملات را شناسایی و مسدود نمایند. اما در حال حاضر با توجه به هوشمندی و پیچیدهتر شدن حملات، دیگر ابزارها و روشهای سنتی توانایی شناسایی حملات ناشناخته و پیچیده مانند APTها را ندارد. علاوهبراین تولید حجم زیادی از دادهها و لاگها توسط تجهیزات مختلف، کار را سخت و دشوار کرده است.
استفاده از اسپلانک
اسپلانک (Splunk) میتواند به عنوان یک راهکار جمعآوری و تحلیل Big Data به سازمانها کمک کند تا به راحتی دادههای مربوط به وب سایتها، تراکنشهای مربوط به برنامههای کاربری (تراکنشهای بانکی برای تشخیص Fraud)، سنسورهای مختلف مانند تجهیزات شبکه (فایروال، سیستمهای IDS و لاگهای نقاط پایانی) و موارد دیگر را جمعآوری و آنالیز نماید. برای مثال یک کسبوکار بزرگ مانند شرکت آمازون، میتواند از اسپلانک برای تحلیل اطلاعات مربوط به کسبوکار خود استفاده و از این طریق تحلیل دقیقی از کسبوکار خود داشته باشد.
نحوه کار اسپلانک (Splunk)
این راهکار برای دریافت و ذخیره دادهها، جریان داده ارسالی را ایندکس گذاری کرده و در ردیفهایی از رخدادهای کاملا مستقل و قابل جستجو ذخیره میکند. بعد از جمعآوری اطلاعات، اسپلانک (Splunk) این دادهها را براساس قواعد ساختار یافتهای به صورت معناداری باهم همبسته میکند. در ادامه ما میتوانیم با استفاده از فیلترها و قابلیت جستجوی اسپلانک (Splunk) نتایج مورد نظرمان را استخراج و با استفاده از نمودارهای گرافیکی مختلف نمایش دهیم.
رابط وبی اسپلانک
اکثرا کاربران اسپلانک با استفاده از مروگر وب و رابط گرافیکی، کار مدیریت و ایجاد آبجکتهای دانش، ایجاد Query های جستجو، ایجاد گزارشات و مدلهای دادهای مختلف و سایر موارد را انجام میدهند. بسیاری از این موارد از طریق دستورات Command-line نیز قابل انجام است.
امکان اضافه کردن Appها و Add-onها
امکان اضافه کردن Appها و Add-onهای مختلف این امکان را میدهد تا با استفاده از آنها، محیط اسپلانک (Splunk) خود را بر اساس نیازهای سازمان خود طراحی نماییم.
یک App مجموعهای از تنظیمات، آبجکتهای دانش، Viewها و داشبوردهاست که بر روی پلتفرم اسپلانک اجرا میشود.
آیا اسپلانک (Splunk) یک سیستم SIEM میباشد
با توجه به اینکه اسپلانک (Splunk) از طریق تحلیل و آنالیز دادههای جمعآوری شده از منابع مختلف کمک میکند تا با ایجاد دید شفاف و هوشمند از رخدادها و ترافیک شبکه، از تهدیدات جلوگیری کنیم و قبل از اینکه آسیب پذیریها به عاملی برای رخنه در شبکه تبدیل شوند، آنها را شناسایی و برطرف نماییم، به همین دلیل در دسته SIEM ها قرار میگیرد. علاوهبراین بسیاری از سازمانها از اسپلانک (Splunk) برای نظارت و کنترل هشدارهای امنیتی، تجزیه و تحلیل نقض سیاستهای سازمان و پاسخ به حوادث امنیتی خود نیز استفاده میکنند.
قابلیتهای اصلی اسپلانک (Splunk)
در زیر 7 مورد از قابلیتهای کلیدی اسپلانک که عملکرد اصلی سیستم را تشکیل میدهند، بررسی میکنیم.
Indexing
اسپلانک (Splunk) در مرحله اول دادههایی که نمایانگر کسب و کار و زیرساخت مربوط به آن است را پردازش اولیه کرده و ذخیره میکند. همانطور که در بالا گفتیم اسپلانک (Splunk) میتواند دادههای مربوط به دستگاهها و برنامههای کاربردی مختلف از جمله وب سایتها، سرورها، پایگاههای داده، سیستم عاملها و غیره را جمعآوری کند. بعد از جمعآوری دادهها، ماژول indexing اسپلانک (Splunk) دادهها را قطعه قطعه کرده و بعد از فشردهسازی در ردیفهایی کاملا مستقل ذخیره میکند.
Search
در واقع ماژول جستجو قابلیت اصلی اسپلانک (Splunk) برای پیمایش دادهها توسط کاربران میباشد. در جستجوهای خود میتوانیم نتیجه مربوط به یک جستجو را به عنوان گزارش ذخیره و از آن در پنل داشبورد استفاده کنیم. به طور کلی ماژول جستجو موراد زیر را را در اختیار ما قرار میدهد.
- بازیافت رویداها با استفاده از ایندکس (ذخیره اطلاعات در Bucket های مختلف Hot, Worm, Cold, Frozen)
- محاسبه معیارها
- جستجوی یک وضعیت خاص در یک بازه زمانی خاص
- شناسایی الگوها در بین دادهها
- پیشبینی روندهای آینده
Alerts
هشدارها، زمانی که نتایج جستجو، یک وضعیت تعریف شده را نشان دهند، ما را مطع میکنند. میتوانیم هشدارها را به گونهای تنظیم کنیم که عملیاتی مانند ارسال اطلاعات هشدار به ایمیلهای تعریف شده، یا ارسال اطلاعات هشدار به یک فیدر RSS و اجرا کردن یک اسکریپت (مانند اجرای اسکریپت و ارسال یک هشدار به Syslog) را در هنگام وقوع انجام دهند.
Dashboard
داشبورد شامل پنلهای مربوط به ماژولهایی مانند جستجو، فیلدها و نمودارها و غیره میشود. داشبورد معمولا به جستجوها و Pivotهای ذخیره شده متصل میباشد. این پنلها نتایج کامل جستجوها و دادههای مربوط به جستجوهای اجرایی در Background را نمایش میدهد.
Pivot
pivot ها اشاره به جدولها، نمودارها یا دادههای بصری شدهای دارند که از طریق Pivot editor ایجاد شدهاند. Pivot editor به ما این امکان را میدهد که ویژگیهای تعریف شده توسط Data Model را بدون نیاز به نوشتن جستجو با استفاده از SPL، به یک جدول، نمودار یا نمایش نگاشت کنیم. در اسپلانک Pivotها میتوانند همانند گزارشات ذخیره شده و به داشبورد اضافه شوند.
Reports
Splunk Enterprise به ما این امکان را میدهد تا جستجوها و محورها را به عنوان گزارش ذخیره، و سپس آنها را به عنوان پنلهایی به داشبورد اضافه نماییم. همچنین میتوانیم گزارشات را یا به صورت موقت اجرا یا برنامهریزی کنیم تا در یک بازه زمانی منظمی اجرا شوند. همچنین میتوانیم گزارش برنامهریزی شدهای برای تولید هشدارها در صورت برآورده شدن یک شرایط خاص تنظیم نماییم.
Data model
مدلهای داده، دامنهای از دانش تخصصی در مورد یک یا مجموعهای از دادههای ایندکس شده را کدگذاری میکنند. این مدلها کاربران Pivot Editor را قادر میسازند تا گزارشها و داشبوردهای خود را بدون نیاز به طراحی جستجوها ایجاد کنند.
دیدگاهتان را بنویسید