معرفی سامانه Splunk Phantom

تقویت تیم SOC (مرکز عملیات امنیت) با خودکارسازی هرچه بیشتر: افزایش بهره وری و پاسخ سریع به تهدیدات شناسایی شده

تیم‌‌های امنیت سایبری در سازمان‌‌ها همواره به منظور تشخیص، تحلیل و انجام اقدامات مقابله ای تهدیدات، سخت در تلاشند و با فشار کاری بالایی مواجه هستند. اما این تیم‌‌ها در بسیاری از سازمان‌‌ها بصورت مستقل نبوده و وظایف دیگری را نیز برعهده دارند و کمبود نیروی انسانی در این حوزه محسوس است و اکثر سازمان‌‌ها نیروی انسانی کافی به منظور تحلیل و رسیدگی به حجم بالای رخدادهای امنیتی را در اختیار ندارند.

از این رو سازمان‌‌ها به دنبال بهره وری بیشتر از منابع موجود و افزایش کارایی تیم‌‌ها و ابزارهای امنیت سایبری خود هستند.

مراکز عملیات امنیت همواره با حجم بالایی از تهدیدات مواجه هستند که منجر به تولید رخدادهای تکراری ‌می‌شود که نحوه رسیدگی به این رخدادها غالبا مشابه ‌می‌باشد. حجم بالای رخدادهایی از این قبیل منجر به اشباع ظرفیت تیم تحلیل مرکز عملیات امنیت خواهد شد و ‌می‌تواند، عدم رسیدگی به موقع به رخدادهای مهم و خاص را نیز به دنبال داشته باشد.

عملیات امنیتی در یک مرکز SOC به ویژه در کارشناسان رده 1 حاوی کارهای یکنواخت و تکراری است. از طرفی دسترسی به کارشناسان خبره جهت بکارگیری در رده اول مراکز عملیات امنیتی بسیار محدود است. جالب است بدانید که بیش از 1 میلیون نفر کمبود نیاز نیروی انسانی متخصص در دنیا برای این حوزه تخمین زده شده است. با توجه به این موضوع متوسط زمان تشخیص، رسیدگی و پاسخ به تهدیدات بسیار زیاد است و این فرایند به کندی صورت ‌می‌گیرد.

با کمک سامانه Splunk Phantom ‌می‌توانید بار کاری تیم SOC را کم کرده و بسیاری از عملیات تکراری را خودکار سازی نمود. بنابراین تیم SOC صرفا وظیفه رسیدگی به تهدیدات جدید و یا تایید و پیگیری بخشی از مهم ترین تهدیدات تکراری را برعهده دارد.

فانتوم با خودکار سازی، تنظیم و پاسخ سریع به تهدیدات به کمک تیم SOC آمده و آن را تقویت ‌می‌کند. به کمک فانتوم، تیم SOC میتوانند به جای کارهای طاقت فرسا به کارهای هوشمندانه تر بپردازند.

خدمات اسپلانک

خودکار سازی کارهای تکراری منجر به رسیدگی سریع­تر به رخدادهای امنیتی با کمک تشخیص، تنظیم و پاسخ خودکار خواهد شد. افزایش بهره وری، کارآیی و دقت از دیگر مزایای خودکارسازی با کمک فانتوم خواهد بود. یکی دیگر از مزایای بکارگیری فانتوم، تقویت قدرت دفاع سایبری با متصل کردن و هماهنگ کردن جریان‌‌های کاری پیچیده بین ابزارها و تیم‌‌های عملیاتی مختلف موجود در سازمان ‌می‌باشد.

با کمک فانتوم تیم‌‌های امنیتی می­توانند بسیاری از کارها را خودکار کرده و جریان‌‌های کاری پیچیده ای تعریف کنند. در این راستا به دنبال وقوع یک رخداد، اقدام مربوطه بصورت خودکار اجرا شده و از ابزارهای مختلف امنیتی موجود در سازمان بهره برده میشود. بنابراین پاسخ متناسب با هر حمله، به سرعت بصورت خودکار یا با تایید تحلیل­گران داده میشود.

علاوه بر هماهنگ سازی (Orchasteration) و خودکار سازی جریان کاری، با کمک فانتوم میتوان فرایند رسیدگی به رخدادها، همکاری و هماهنگی بین کارشناسان رده‌‌های مختلف تیم‌‌های SOC را نیز انجام داد.

خودکار سازی در مرکز عملیات امنیت

محصول فانتوم تیم‌‌های تحلیل­گر مرکز عملیات امنیت را قادر می­سازد تا بصورت هوشمندانه تری عمل کرده و با اجرای سریع اقدامات مورد نیاز بصورت خودکار کارهایی که قبلا چندین ساعت به طول ‌می‌انجامید را در کمتر از چند ثانیه انجام دهند. تیم‌‌های مرکز عملیات امنیت میتوانند چرخه کاری مورد نیاز را در قالب playbook بصورت بصری و یا با کمک واسط برنامه نویسی به زبان پایتون پیاده سازی کنند. با واگذار کردن اجرای این کارها به فانتوم تیم تحلیل­گر میتواند برروی ماموریت‌‌های حیاتی دیگر خود متمرکز شود.

هماهنگ سازی (orchestration)

فانتوم یک ابزار واسط است که مانند نخ تسبیح مهره‌‌های مختلف که همان ابزارها و کارشناسان امنیتی مستقر در سازمان هستند را به یکدیگر متصل میکند. با متصل کردن و هماهنگ کردن گردش کاری‌‌های پیچیده بین تیم‌‌های SOC و ابزارهای امنیتی، این تضمین ایجاد میشود که هرکدام از این مولفه‌‌ها نقش خود را به درستی در تشخیص، تحلیل و پاسخگویی به تهدیدات امنیتی انجام داده اند. عملیات و کارهایی که ‌می‌بایست در یک گردش کاری انجام شود، بصورت کاملا انتزاعی در playbook مربوطه قرار داده میشود و تحلیل گر درگیر جزئیات نحوه اتصال و انجام عملیات مختلف مرتبط با هر ابزار نخواهد شد.

پاسخ به حادثه

فانتوم به تیم‌‌های امنیتی کمک میکند تا تحلیل و بررسی و پاسخ سریع تری به تهدیدات شناسایی شده در SIEM و یا سایر ابزارهای امنیتی داشته باشند. قابلیت تشخیص، بررسی و پاسخ خودکاری که در فانتوم قرار دارد، تیم‌‌های امنیتی را قادر می­سازد، پاسخ به حادثه را به صورت ماشینی و به سرعت انجام دهند.

حتی با کمک نسخه موبایلی فانتوم تحلیل گران میتوانند در چرخه کاری مربوط به پاسخ به حوادث، نظارت و دخالت داشته باشند. قابلیت مدیریت رویداد و وقایع در فانتوم، فرایند‌‌های مرکز عملیات امنیت را نیز تسهیل ‌می‌نماید. کلیه داده‌‌ها و رویدادهای مرتبط با هر واقعه، از طریق واسط کاربری فانتوم قابل پیگیری و مشاهده خواهد بود. با کمک این ابزار همچنین میتوان در بررسی یک رخداد، با اعضای دیگر تیم تحلیل همفکری، همکاری و تبادل نظر داشت.