تعاریف شبکه

Splunk چیست؟ آشنایی با مفهوم Splunk

SPLUNK چیست؟ آشنایی با مفهوم Splunk
12 فروردین

Splunk یک پلتفرم تبدیل داده به عمل (Data-to-Everything) است. Splunk داده‌های خام را جمع ­آوری و فهرست بندی می‌کند و به شما این امکان را می­دهد که بتوانید بر روی تمام داده‌ها عملیات جستجو را انجام دهید و نتایج را به هر صورت قابل دلخواه مشاهده کنید. در این مقاله شما را با مفهوم Splunk بیشتر آشنا خواهیم کرد.

SPLUNK چیست؟ آشنایی با مفهوم Splunk

Splunk چیست؟

Splunk یک SIEM است که بصورت پلتفرمی قدرتمند بمنظور جمع ­آوری لاگ‌ها، جستجو، مشاهده، آنالیز و تحلیل داده‌ها در سازمانها نصب می­شود و فعالیت می­کند. کشف اطلاعات از طریق پردازش هزاران داده از بررسی لاگ­ها انجام می­شود.

ضمنا توسط Splunk می­توان از تمامی داده‌های جمع­ آوری شده به بهترین نحو استفاده و بهره­ برداری کرد همچنین این امکان نیز فراهم می‌شود تا با ایجاد سطحی از هوش عملیاتی، سازمان را در سطح بالاتری از عملکرد، رقابت، سودآوری و امنیت قرار دهد تا بتواند به نوعی تمامی داده­ها را مشاهده نماید.

SIEM یک فن­اوری جدیدی است که برای امنیت سازمان­ها به­ کار می­ رود تا بتوان به ­وسیله آن از حملات هکر ها و بدافزار های مخرب جلوگیری کرد.

هدف اصلی SIEM متمرکز کردن Log ها، گزارشگیری و مدیریت آن ها می ­باشد.

امروزه شرکت­ های بسیاری این محصول را در معماری­ های مختلف ارائه می­ دهند که یکی از برترین این شرکت ها در زمینه SIEM شرکت SPLUNK است.

ویژگی ها و قابلیت های Splunk :

  • سرعت بالا در پردازش داده‌ها
  • قابلیت مقیاس‌پذیری و چابکی
  • امکان انواع روش­های جستجو (جستجوهای منطقی، امکان جستجوی رشته­ای، استفاده از wildcard در پارامترهای جستجو،
  • جستجوی بلادرنگ، جستجو در بازه زمانی و …) و نمایش نتایج جستجو به صورت گزارش، نمودار و داشبوردهای متنوع
  • انطباق سریع داده ها با تغییرات در تهدیدات و رویارویی با تهدیدات پیشرفته
  • سطح بالای سازگاری با داده‌های مختلف
  • مقیاس پذیری (امکان استفاده از Splunk در سطح سازمان‌ها و شرکت‌های کوچک و متوسط تا سازمان‌های بزرگ از قابلیت‌های آن است.)
  • پایش و اخطار و زمانبندی ارائه این هشدارها و مدیریت نمایش هشدارها (ارسال رایانامه، اجرای Script و یا نمایش اخطار و ….)
  • گزارش­های متنوع (در قالب‌های مختلف و نمودارهای متنوع) و امکان نمایش در داشبوردهای کاربری
  • استخراج هوشمندانه فیلدها و بازیابی سریع داده­ها، امکان شناسایی فیلدها
  • هزینه خرید به مراتب پایین تر نسبت سایر رقبا
  • لایسنس و فعال سازی اسپلانک (Splunk License)
  • وجود نسخه تریال دوماهه و رایگان که از وبسایت شرکت اسپلانک قابل دانلود و نصب می باشد. هیچ یک از محصولات رقیب از جمله HP ArcSight و IBM Qradar دارای چنین امکانی نیست.
  • لایسنس اسپلانک میزان حجم لاگهای ورودی در ۲۴ ساعت را مد نظر قرار می­دهد. تا محدودیتی برای ارسال لاگهای تجهیزات خود را به
  • سرویس SIEM نداشته باشند.( لایسنس سایر محصولات معمولاً بر اساس تعداد لاگ تولید شده درثانیه (EPS) می باشد)
  • دارای سیستم امنیت مبتنی بر تجزیه و تحلیل هوشمند
  • قدرت‌بخشی به SOC با پلتفرم هوش امنیتی سریع و انعطاف‌پذیر
  • شناسایی سریع تهدیدات در کسری از ثانیه
  • تجزیه و تحلیل تهدیدات و پاسخ به تهدایدات
  • شناسایی، بررسی و گزارش آنی در موارد کلاهبرداری و سوء ‌استفاده
  • افزایش اثربخشی فرآیندها و پرسنل SOC
  • قابلیت پیاده‌سازی به صورت Cloud، On-Premise و ترکیبی از این دو حالت

ضرورت استفاده از SPLUNK به عنوان SIEM

بدون بررسی و تحلیل لاگ‌های ثبت شده، امکان تشخیص وقوع حمله وجود ندارد. لاگ‌ها تنها راه برای تشخیص هویت مهاجمین می­باشند. حتی در صورت اطلاع سازمان از وقوع حمله، بدون داشتن لاگ‌هایی جامع و دست‌کاری نشده توسط مهاجمین، سازمان نسبت به جزییات حمله هیچ دیدی نخواهد داشت.

امروزه با بهرگیری از یک سامانه متمرکز به منظور دریافت، جمع ­آوری و ساختار دادن به این وقایع، میتواند کمک بسیاری زیادی در تحلیل سریع و برقراری ارتباط‌های منطقی بین این وقایع گزارش شده نماید.

جدیدتر دانلود کتاب های آموزش Splunk – آموزش کار با نرم افزار Splunk
بازگشت به لیست
قدیمی تر دانلود نرم افزار TSPlus Enterprise + فعال سازی و کرک لایسنس TSPlus

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *