اسپلانک Enterprise Security چیست؟

برنامه اسپلانک Enterprise Security چیست ؟

در مقاله امروز می‌خواهیم در مورد یکی از مهم ترین و کارآمد ترین برنامه های جانبی اسپلانک صحبت کنیم که یکی از بازو های قدرتمند کمکی تیم SIEM هست. برنامه ES (Enterprise Security) برنامه‌ای است که با تهیه لایسنس آن می‌توانید در داخل Splunk آن را نصب کنید و در بستر شبکه خود آن را تنظیم کنید. متحصصان امنیت با Enterprise security می‌توانند تهدیدهای مرتبط با امنیت را که در زیرساخت های سازمانی بوجود می‌آید را مشاهده کنند.

همانگونه که عنوان شد برنامه ES بر روی پلت فرم اطلاعات عملیاتی Splunk ساخته شده است و از قابلیت های جستجو و همبستگی استفاده می کند. این برنامه به کاربران امکان می دهد داده ها را از دستگاه ها، سیستم ها و برنامه های امنیتی ضبط، نظارت و گزارش دهند. همانطور که مسائل شناسایی می شوند، تحلیلگران امنیتی می توانند به سرعت تهدیدات امنیتی را در دامنه های دسترسی، نقطه پایانی و حفاظت شبکه بررسی و حل کنند. یکی از مزایای استفاده از ES در تیم های SIEM این است که عملکرد تجزیه و تحلیل امنیتی پلتفرم Splunk گسترش می‌یابد. همچنین شما می‌توانید به راحتی داده های خود را بررسی کرده و حوادث امنیتی بالقوه را کشف، تریاژ و بررسی کنید، پاسخ و اصلاح را هماهنگ کنید، معیارها را در دامنه های امنیتی بررسی کنید و در نهایت داده های خود را با اطلاعات تهدید مرتبط کنید.

امکانات برنامه ES

1. نظارت مستمر امنیتی
2. تشخیص تهدید پیشرفته
3. بررسی و پاسخ سریع تهدید
4. گزارشگیری و داشبورد های قابل سفارشی
5. ادغام با سایر سرویس های اسپلانک

هر چند یادگیری ES را نمی‌توان به صورت خلاصه در یک مقاله ارائه داد ولی در ادامه به معرفی جزئی آن می‌پردازیم.

جهت دسترسی به این ویژگی اسپلانک مراحل زیر را انجام میدهیم:

پس از ورود به صفحه اسپلانک از طریق مرورگر در قسمت Apps list به Enterprise Security وارد می‌شویم.

پس از ورود برES قسمت های مختلف آن را در تصویر زیر مشاهده می‌کنید.

در ادامه به بررسی اولیه این قسمت ها می‌پردازیم:

وضعیت امنیتی یا Security Posture

داشبورد وضعیت امنیتی برای ارائه بینش سطح بالا در مورد رویدادهای قابل توجه در همه حوزه های استقرار شما طراحی شده است و برای نمایش در یک مرکز عملیات امنیت (SOC) مناسب است. این داشبورد همه رویدادهای 24 ساعت گذشته را به همراه روندهای 24 ساعت گذشته نشان می دهد و اطلاعات و به روز رسانی رویدادها را در زمان واقعی ارائه می دهد.

1. در پنل key indicator تعداد رویدادهای قابل توجه را بر اساس دامنه امنیتی در 24 ساعت گذشته نمایش می دهد. برای اطلاعات بیشتر، شاخص های کلیدی در امنیت سازمانی Splunk را ببینید.
2. در پنل Notable Events by Urgency وقایع قابل توجه را بر اساس فوریت در 24 ساعت گذشته نمایش می دهد. رویدادهای قابل توجه توسط فوریت از یک محاسبه فوریت بر اساس اولویت اختصاص داده شده به دارایی و شدت اختصاص داده شده به جستجوی همبستگی استفاده می کند. این بررسی، داشبورد «بازبینی حادثه» را باز می‌کند که همه رویدادهای قابل توجه با فوریت انتخاب‌شده در ۲۴ ساعت گذشته را نشان می‌دهد.
3. در پنل Notable Events Over Time جدول زمانی رویدادهای قابل توجه را بر اساس دامنه امنیتی نمایش می دهد. خلاصه، داشبورد بررسی حادثه را باز می کند که همه رویدادهای قابل توجه در حوزه امنیتی انتخاب شده و چارچوب زمانی را نشان می دهد.
4. در پنل Top Notable Events رویدادهای قابل توجه برتر را با نام قانون نمایش می دهد، از جمله تعداد کل و یک خط جرقه برای نشان دادن جهش های فعالیت در طول زمان. خلاصه داشبورد بازبینی حادثه را باز می کند که در محدوده قانون رویداد قابل توجه انتخاب شده است.
5. در پنل Top Notable Event Sources 10 رویداد قابل توجه برتر را بر اساس Source یا مبدا نشان می دهد، از جمله تعداد کل، تعداد در هر همبستگی و دامنه، و یک خط جرقه برای نشان دادن جهش های فعالیت در طول زمان. خلاصه، داشبورد بازبینی حادثه را به منبع رویداد قابل توجه انتخاب شده باز می کند.

بررسی حادثه یا incident review بطور مستقیم بر روی رویداد های قابل اهمیت تمرکز دارد.

رویدادهای قابل توجه و وضعیت فعلی آنها را نمایش می دهد. همچنین می توانید رویدادهای قابل توجه را بر اساس زمینه های خاص فیلتر کنید و تریاژ رویدادهای قابل توجه را از طریق یک گردش کار تحقیق تسریع کنید.یک رویداد قابل توجه نشان دهنده یک یا چند رویداد غیرعادی است که توسط جستجوی همبستگی در بین منابع داده شناسایی شده است. به عنوان مثال، یک رویداد قابل توجه می تواند نشان دهنده موارد زیر باشد:

1. تکرار مکرر یک افزایش غیرعادی در استفاده از شبکه در یک دوره زمانی مشخص
2. یک اتفاق دسترسی غیرمجاز به یک سیستم
3. میزبانی که با یک سرور در لیست تهدیدات شناخته شده ارتباط برقرار می کند

به عنوان یک تحلیلگر، می توان از داشبورد برای به دست آوردن بینش در مورد شدت رویدادهای رخ داده در سیستم یا شبکه خود استفاده کرد. همچنین می توان از داشبورد برای تریاژ رویدادهای قابل توجه جدید، اختصاص رویدادها به تحلیلگران برای بررسی، و بررسی جزئیات رویدادهای قابل توجه برای سرنخ های تحقیقاتی استفاده کرد. به‌عنوان یک سرپرست، می‌توانید «بازبینی رویداد» و تنظیمات رویداد قابل توجه را مدیریت و سفارشی کنید. برای اطلاعات بیشتر در مورد فعالیت‌های سرپرست، به مدیریت بررسی رویداد در امنیت سازمانی Splunk مراجعه کنید.

جمع بندی

در این مقاله به معرفی و بررسی برنامه Enterprise Security پرداختیم و به صورت جزئی و مختصر دو بخش آن را معرفی نمودیم. اگر تنظیمات این برنامه در بستر شبکه به خوبی انجام شده باشد می‌تواند برای تیم مرکز عملیات امنیت به یکی از ابزار های کارآمد و قابل اعتماد برای نظارت، تشخیص، پاسخگویی و گزارش‌گیری تبدیل شود. در نهایت این برنامه با ادغام با سایر سرویس های اسپلانک و پشتیبانی از استاندارد های صنعت، یک راه حل جامع و کاربردی را برای تقویت امنیت سازمان ها فراهم می‌آورد.