Splunk یک پلتفرم تبدیل داده به عمل (Data-to-Everything) است. Splunk دادههای خام را جمع آوری و فهرست بندی میکند و به شما این امکان را میدهد که بتوانید بر روی تمام دادهها عملیات جستجو را انجام دهید و نتایج را به هر صورت قابل دلخواه مشاهده کنید. در این مقاله شما را با مفهوم Splunk بیشتر آشنا خواهیم کرد.
Splunk چیست؟
Splunk یک SIEM است که بصورت پلتفرمی قدرتمند بمنظور جمع آوری لاگها، جستجو، مشاهده، آنالیز و تحلیل دادهها در سازمانها نصب میشود و فعالیت میکند. کشف اطلاعات از طریق پردازش هزاران داده از بررسی لاگها انجام میشود.
ضمنا توسط Splunk میتوان از تمامی دادههای جمع آوری شده به بهترین نحو استفاده و بهره برداری کرد همچنین این امکان نیز فراهم میشود تا با ایجاد سطحی از هوش عملیاتی، سازمان را در سطح بالاتری از عملکرد، رقابت، سودآوری و امنیت قرار دهد تا بتواند به نوعی تمامی دادهها را مشاهده نماید.
SIEM یک فناوری جدیدی است که برای امنیت سازمانها به کار می رود تا بتوان به وسیله آن از حملات هکر ها و بدافزار های مخرب جلوگیری کرد.
هدف اصلی SIEM متمرکز کردن Log ها، گزارشگیری و مدیریت آن ها می باشد.
امروزه شرکت های بسیاری این محصول را در معماری های مختلف ارائه می دهند که یکی از برترین این شرکت ها در زمینه SIEM شرکت SPLUNK است.
ویژگی ها و قابلیت های Splunk :
- سرعت بالا در پردازش دادهها
- قابلیت مقیاسپذیری و چابکی
- امکان انواع روشهای جستجو (جستجوهای منطقی، امکان جستجوی رشتهای، استفاده از wildcard در پارامترهای جستجو،
- جستجوی بلادرنگ، جستجو در بازه زمانی و …) و نمایش نتایج جستجو به صورت گزارش، نمودار و داشبوردهای متنوع
- انطباق سریع داده ها با تغییرات در تهدیدات و رویارویی با تهدیدات پیشرفته
- سطح بالای سازگاری با دادههای مختلف
- مقیاس پذیری (امکان استفاده از Splunk در سطح سازمانها و شرکتهای کوچک و متوسط تا سازمانهای بزرگ از قابلیتهای آن است.)
- پایش و اخطار و زمانبندی ارائه این هشدارها و مدیریت نمایش هشدارها (ارسال رایانامه، اجرای Script و یا نمایش اخطار و ….)
- گزارشهای متنوع (در قالبهای مختلف و نمودارهای متنوع) و امکان نمایش در داشبوردهای کاربری
- استخراج هوشمندانه فیلدها و بازیابی سریع دادهها، امکان شناسایی فیلدها
- هزینه خرید به مراتب پایین تر نسبت سایر رقبا
- لایسنس و فعال سازی اسپلانک (Splunk License)
- وجود نسخه تریال دوماهه و رایگان که از وبسایت شرکت اسپلانک قابل دانلود و نصب می باشد. هیچ یک از محصولات رقیب از جمله HP ArcSight و IBM Qradar دارای چنین امکانی نیست.
- لایسنس اسپلانک میزان حجم لاگهای ورودی در ۲۴ ساعت را مد نظر قرار میدهد. تا محدودیتی برای ارسال لاگهای تجهیزات خود را به
- سرویس SIEM نداشته باشند.( لایسنس سایر محصولات معمولاً بر اساس تعداد لاگ تولید شده درثانیه (EPS) می باشد)
- دارای سیستم امنیت مبتنی بر تجزیه و تحلیل هوشمند
- قدرتبخشی به SOC با پلتفرم هوش امنیتی سریع و انعطافپذیر
- شناسایی سریع تهدیدات در کسری از ثانیه
- تجزیه و تحلیل تهدیدات و پاسخ به تهدایدات
- شناسایی، بررسی و گزارش آنی در موارد کلاهبرداری و سوء استفاده
- افزایش اثربخشی فرآیندها و پرسنل SOC
- قابلیت پیادهسازی به صورت Cloud، On-Premise و ترکیبی از این دو حالت
ضرورت استفاده از SPLUNK به عنوان SIEM
بدون بررسی و تحلیل لاگهای ثبت شده، امکان تشخیص وقوع حمله وجود ندارد. لاگها تنها راه برای تشخیص هویت مهاجمین میباشند. حتی در صورت اطلاع سازمان از وقوع حمله، بدون داشتن لاگهایی جامع و دستکاری نشده توسط مهاجمین، سازمان نسبت به جزییات حمله هیچ دیدی نخواهد داشت.
امروزه با بهرگیری از یک سامانه متمرکز به منظور دریافت، جمع آوری و ساختار دادن به این وقایع، میتواند کمک بسیاری زیادی در تحلیل سریع و برقراری ارتباطهای منطقی بین این وقایع گزارش شده نماید.