معرفی اسپلانک (Splunk)

در حال حاضر اسپلانک یکی از معروف‌ترین و پرطرفدارترین ابزارهای تحلیل Big Data و مانیتورینگ لاگ در بازار امنیت می‌باشد. در واقع اسپلانک یک پلتفرم نرم‌افزاری برای جستجو، آنالیز و بصری‌سازی داده‌های ماشینی می‌باشد که داده‌ها را از حجم وسیعی از دستگاه‌ها جمع‌آوری و تحلیل می‌کند.

دلیل نیاز به ابزارهای تحلیل و آنالیز

در گذشته اگرچه کارشناسان امنیت بدون نیاز به این ابزاها می‌توانستند با دانش و تجربه‌ خود حملات را شناسایی و مسدود نمایند. اما در حال حاضر با توجه به هوشمندی و پیچیده‌تر شدن حملات، دیگر ابزارها و روش‌های سنتی توانایی شناسایی حملات ناشناخته و پیچیده مانند APT‌ها را ندارد. علاوه‌براین تولید حجم زیادی از داده‌ها و لاگ‌ها توسط تجهیزات مختلف، کار را سخت و دشوار کرده است.

استفاده از اسپلانک

اسپلانک (Splunk) می‌تواند به عنوان یک راهکار جمع‌آوری و تحلیل Big Data به سازمان‌ها کمک کند تا به راحتی داده‌های مربوط به وب سایت‌ها، تراکنش‌های مربوط به برنامه‌های کاربری (تراکنش‌های بانکی برای تشخیص Fraud)، سنسورهای مختلف مانند تجهیزات شبکه (فایروال، سیستم‌های IDS و لاگ‌های نقاط پایانی) و موارد دیگر را جمع‌آوری و آنالیز نماید. برای مثال یک کسب‌و‌کار بزرگ مانند شرکت آمازون، می‌تواند از اسپلانک برای تحلیل اطلاعات مربوط به کسب‌وکار خود استفاده و از این طریق تحلیل دقیقی از کسب‌وکار خود داشته باشد.

نحوه کار اسپلانک (Splunk)

این راهکار برای دریافت و ذخیره داده‌ها، جریان داده‌ ارسالی را ایندکس گذاری کرده و در ردیف‌هایی از رخدادهای کاملا مستقل و قابل جستجو ذخیره می‌کند. بعد از جمع‌آوری اطلاعات، اسپلانک (Splunk) این داده‌ها را براساس قواعد ساختار یافته‌ای به صورت معناداری باهم همبسته می‌کند. در ادامه ما می‌توانیم با استفاده از فیلترها و قابلیت جستجوی اسپلانک (Splunk) نتایج مورد نظرمان را استخراج و با استفاده از نمودارهای گرافیکی مختلف نمایش دهیم.

رابط وبی اسپلانک

اکثرا کاربران اسپلانک با استفاده از مروگر وب و رابط گرافیکی، کار مدیریت و ایجاد آبجکت‌های دانش، ایجاد Query های جستجو، ایجاد گزارشات و مدل‌های داده‌ای مختلف و سایر موارد را انجام می‌دهند. بسیاری از این موارد از طریق دستورات Command-line نیز قابل انجام است.

امکان اضافه کردن Appها و Add-onها

امکان اضافه کردن Appها و Add-onهای مختلف این امکان را می‌دهد تا با استفاده از آنها، محیط اسپلانک (Splunk) خود را بر اساس نیازهای سازمان خود طراحی نماییم.

یک App مجموعه‌ای از تنظیمات، آبجکت‌های دانش، Viewها و داشبوردهاست که بر روی پلتفرم اسپلانک اجرا می‌شود.

آیا اسپلانک (Splunk) یک سیستم SIEM می‌باشد

با توجه به اینکه اسپلانک (Splunk) از طریق تحلیل و آنالیز داده‌های جمع‌آوری شده از منابع مختلف کمک می‌کند تا با ایجاد دید شفاف و هوشمند از رخدادها و ترافیک شبکه، از تهدیدات جلوگیری کنیم و قبل از اینکه آسیب پذیری‌ها به عاملی برای رخنه در شبکه تبدیل شوند، آن‌ها را شناسایی و برطرف نماییم، به همین دلیل در دسته SIEM ها قرار می‌گیرد. علاوه‌براین بسیاری از سازمان‌ها از اسپلانک (Splunk) برای نظارت و کنترل هشدارهای امنیتی، تجزیه و تحلیل نقض سیاست‌های سازمان و پاسخ به حوادث امنیتی خود نیز استفاده می‌کنند.

قابلیت‌های اصلی اسپلانک (Splunk)

در زیر 7 مورد از قابلیت‌های کلیدی اسپلانک که عملکرد اصلی سیستم را تشکیل می‌دهند، بررسی می‌کنیم.

Indexing

اسپلانک (Splunk) در مرحله اول داده‌هایی که نمایانگر کسب و کار و زیرساخت مربوط به آن است را پردازش اولیه کرده و ذخیره می‌کند. همان‌طور که در بالا گفتیم اسپلانک (Splunk) می‌تواند داد‌ه‌های مربوط به دستگاه‌ها و برنامه‌های کاربردی مختلف از جمله وب سایت‌ها، سرورها، پایگاه‌های داده، سیستم عامل‌ها و غیره را جمع‌آوری کند. بعد از جمع‌آوری داده‌ها، ماژول indexing اسپلانک (Splunk) داده‌ها را قطعه قطعه کرده و بعد از فشرده‌سازی در ردیف‌هایی کاملا مستقل ذخیره می‌کند.

Search

در واقع ماژول جستجو قابلیت اصلی اسپلانک (Splunk) برای پیمایش داده‌ها توسط کاربران می‌باشد. در جستجوهای خود می‌توانیم نتیجه مربوط به یک جستجو را به عنوان گزارش ذخیره و از آن در پنل داشبورد استفاده کنیم. به طور کلی ماژول جستجو موراد زیر را را در اختیار ما قرار می‌دهد.

• بازیافت رویداها با استفاده از ایندکس (ذخیره اطلاعات در Bucket های مختلف Hot, Worm, Cold, Frozen)
• محاسبه معیارها
• جستجوی یک وضعیت خاص در یک بازه زمانی خاص
• شناسایی الگوها در بین داده‌ها
• پیش‌بینی روندهای آینده

Alerts

هشدارها، زمانی که نتایج جستجو، یک وضعیت تعریف شده را نشان دهند، ما را مطع می‌کنند. می‌توانیم هشدارها را به گونه‌ای تنظیم کنیم که عملیاتی مانند ارسال اطلاعات هشدار به ایمیل‌های تعریف شده، یا ارسال اطلاعات هشدار به یک فیدر RSS و اجرا کردن یک اسکریپت (مانند اجرای اسکریپت و ارسال یک هشدار به Syslog) را در هنگام وقوع انجام دهند.

Dashboard

داشبورد شامل پنل‌های مربوط به ماژول‌هایی مانند جستجو، فیلدها و نمودارها و غیره می‌شود. داشبورد معمولا به جستجوها و Pivotهای ذخیره شده متصل می‌باشد. این پنل‌ها نتایج کامل جستجوها و داده‌های مربوط به جستجوهای اجرایی در Background را نمایش می‌دهد.

Pivot

pivot ها اشاره به جدول‌ها، نمودارها یا داده‌های بصری شده‌ای دارند که از طریق Pivot editor ایجاد شده‌اند. Pivot editor به ما این امکان را می‌دهد که ویژگی‌های تعریف شده توسط Data Model را بدون نیاز به نوشتن جستجو با استفاده از SPL، به یک جدول، نمودار یا نمایش نگاشت کنیم. در اسپلانک Pivotها می‌توانند همانند گزارشات ذخیره شده و به داشبورد اضافه شوند.

Reports

Splunk Enterprise به ما این امکان را می‌دهد تا جستجوها و محورها را به عنوان گزارش ذخیره، و سپس آنها را به عنوان پنل‌هایی به داشبورد اضافه نماییم. همچنین می‌توانیم گزارشات را یا به صورت موقت اجرا یا برنامه‌ریزی کنیم تا در یک بازه زمانی منظمی اجرا شوند. همچنین می‌توانیم گزارش برنامه‌ریزی شده‌ای برای تولید هشدارها در صورت برآورده شدن یک شرایط خاص تنظیم نماییم.

Data model

مدل‌های داده، دامنه‌ای از دانش تخصصی در مورد یک یا مجموعه‌ای از داده‌های ایندکس شده را کدگذاری می‌کنند. این مدل‌ها کاربران Pivot Editor را قادر می‌سازند تا گزارش‌ها و داشبوردهای خود را بدون نیاز به طراحی جستجوها ایجاد کنند.