معرفی سامانه Splunk Phantom
تقویت تیم SOC (مرکز عملیات امنیت) با خودکارسازی هرچه بیشتر: افزایش بهره وری و پاسخ سریع به تهدیدات شناسایی شده
تیمهای امنیت سایبری در سازمانها همواره به منظور تشخیص، تحلیل و انجام اقدامات مقابله ای تهدیدات، سخت در تلاشند و با فشار کاری بالایی مواجه هستند. اما این تیمها در بسیاری از سازمانها بصورت مستقل نبوده و وظایف دیگری را نیز برعهده دارند و کمبود نیروی انسانی در این حوزه محسوس است و اکثر سازمانها نیروی انسانی کافی به منظور تحلیل و رسیدگی به حجم بالای رخدادهای امنیتی را در اختیار ندارند.
از این رو سازمانها به دنبال بهره وری بیشتر از منابع موجود و افزایش کارایی تیمها و ابزارهای امنیت سایبری خود هستند.
مراکز عملیات امنیت همواره با حجم بالایی از تهدیدات مواجه هستند که منجر به تولید رخدادهای تکراری میشود که نحوه رسیدگی به این رخدادها غالبا مشابه میباشد. حجم بالای رخدادهایی از این قبیل منجر به اشباع ظرفیت تیم تحلیل مرکز عملیات امنیت خواهد شد و میتواند، عدم رسیدگی به موقع به رخدادهای مهم و خاص را نیز به دنبال داشته باشد.
عملیات امنیتی در یک مرکز SOC به ویژه در کارشناسان رده 1 حاوی کارهای یکنواخت و تکراری است. از طرفی دسترسی به کارشناسان خبره جهت بکارگیری در رده اول مراکز عملیات امنیتی بسیار محدود است. جالب است بدانید که بیش از 1 میلیون نفر کمبود نیاز نیروی انسانی متخصص در دنیا برای این حوزه تخمین زده شده است. با توجه به این موضوع متوسط زمان تشخیص، رسیدگی و پاسخ به تهدیدات بسیار زیاد است و این فرایند به کندی صورت میگیرد.
با کمک سامانه Splunk Phantom میتوانید بار کاری تیم SOC را کم کرده و بسیاری از عملیات تکراری را خودکار سازی نمود. بنابراین تیم SOC صرفا وظیفه رسیدگی به تهدیدات جدید و یا تایید و پیگیری بخشی از مهم ترین تهدیدات تکراری را برعهده دارد.
فانتوم با خودکار سازی، تنظیم و پاسخ سریع به تهدیدات به کمک تیم SOC آمده و آن را تقویت میکند. به کمک فانتوم، تیم SOC میتوانند به جای کارهای طاقت فرسا به کارهای هوشمندانه تر بپردازند.
خودکار سازی کارهای تکراری منجر به رسیدگی سریعتر به رخدادهای امنیتی با کمک تشخیص، تنظیم و پاسخ خودکار خواهد شد. افزایش بهره وری، کارآیی و دقت از دیگر مزایای خودکارسازی با کمک فانتوم خواهد بود. یکی دیگر از مزایای بکارگیری فانتوم، تقویت قدرت دفاع سایبری با متصل کردن و هماهنگ کردن جریانهای کاری پیچیده بین ابزارها و تیمهای عملیاتی مختلف موجود در سازمان میباشد.
با کمک فانتوم تیمهای امنیتی میتوانند بسیاری از کارها را خودکار کرده و جریانهای کاری پیچیده ای تعریف کنند. در این راستا به دنبال وقوع یک رخداد، اقدام مربوطه بصورت خودکار اجرا شده و از ابزارهای مختلف امنیتی موجود در سازمان بهره برده میشود. بنابراین پاسخ متناسب با هر حمله، به سرعت بصورت خودکار یا با تایید تحلیلگران داده میشود.
علاوه بر هماهنگ سازی (Orchasteration) و خودکار سازی جریان کاری، با کمک فانتوم میتوان فرایند رسیدگی به رخدادها، همکاری و هماهنگی بین کارشناسان ردههای مختلف تیمهای SOC را نیز انجام داد.
خودکار سازی در مرکز عملیات امنیت
محصول فانتوم تیمهای تحلیلگر مرکز عملیات امنیت را قادر میسازد تا بصورت هوشمندانه تری عمل کرده و با اجرای سریع اقدامات مورد نیاز بصورت خودکار کارهایی که قبلا چندین ساعت به طول میانجامید را در کمتر از چند ثانیه انجام دهند. تیمهای مرکز عملیات امنیت میتوانند چرخه کاری مورد نیاز را در قالب playbook بصورت بصری و یا با کمک واسط برنامه نویسی به زبان پایتون پیاده سازی کنند. با واگذار کردن اجرای این کارها به فانتوم تیم تحلیلگر میتواند برروی ماموریتهای حیاتی دیگر خود متمرکز شود.
هماهنگ سازی (orchestration)
فانتوم یک ابزار واسط است که مانند نخ تسبیح مهرههای مختلف که همان ابزارها و کارشناسان امنیتی مستقر در سازمان هستند را به یکدیگر متصل میکند. با متصل کردن و هماهنگ کردن گردش کاریهای پیچیده بین تیمهای SOC و ابزارهای امنیتی، این تضمین ایجاد میشود که هرکدام از این مولفهها نقش خود را به درستی در تشخیص، تحلیل و پاسخگویی به تهدیدات امنیتی انجام داده اند. عملیات و کارهایی که میبایست در یک گردش کاری انجام شود، بصورت کاملا انتزاعی در playbook مربوطه قرار داده میشود و تحلیل گر درگیر جزئیات نحوه اتصال و انجام عملیات مختلف مرتبط با هر ابزار نخواهد شد.
پاسخ به حادثه
فانتوم به تیمهای امنیتی کمک میکند تا تحلیل و بررسی و پاسخ سریع تری به تهدیدات شناسایی شده در SIEM و یا سایر ابزارهای امنیتی داشته باشند. قابلیت تشخیص، بررسی و پاسخ خودکاری که در فانتوم قرار دارد، تیمهای امنیتی را قادر میسازد، پاسخ به حادثه را به صورت ماشینی و به سرعت انجام دهند.
حتی با کمک نسخه موبایلی فانتوم تحلیل گران میتوانند در چرخه کاری مربوط به پاسخ به حوادث، نظارت و دخالت داشته باشند. قابلیت مدیریت رویداد و وقایع در فانتوم، فرایندهای مرکز عملیات امنیت را نیز تسهیل مینماید. کلیه دادهها و رویدادهای مرتبط با هر واقعه، از طریق واسط کاربری فانتوم قابل پیگیری و مشاهده خواهد بود. با کمک این ابزار همچنین میتوان در بررسی یک رخداد، با اعضای دیگر تیم تحلیل همفکری، همکاری و تبادل نظر داشت.