اسپلانک چیست؟
اسپلانک یکی از بهترین محصولات جمع آوری، تحلیل و بصریسازی انواع دادهها است. شرکت اسپلانک ابتدا در سال ۲۰۰۳ با شعار پردازش هر نوع داده تولید شده توسط ماشین پا به عرصه رقابت محصولات مدیریت داده گذاشت و پس از مدت بسیار محدودی با خریداری استارتاپهای متعدد در این حوزه توانست به عنوان بهترین ابزار مدیریت لاگ مطرح گردد.
این شرکت محصولات متعددی در حوزهی امنیت شبکه ارائه میدهد که از جمله آنها میتوان به Enterprise Security ،User Behavior Analytics و Phantom اشاره کرد. مهمترین ابزار حوزهی امنیت شبکه آن که طبق آخرین گزارش ارائه شده توسط موسسه تحقیقاتی گارتنر به عنوان پرچمدار محصولات حوزه SIEM میباشد، محصول Enterprise Security است.
این محصول قابلیت استقرار در محیطهای کوچک تا بنگاههای تجاری بزرگ را دارد و به دلیل به مقیاسپذیری، برای طیف وسیعی از مشتریان قابل استفاده است.
سورین به پشتوانهی تجارب خود در این حوزه و با بهرهگیری از متخصصان مجرب در حوزهی راهاندازی، پشتیبانی و مشاوره، آمادهی ارائه خدمات به کلیه مجموعهها است. اهم خدمات قابل ارائه در حوزهی راهاندازی مراکز عملیات امنیت با بهرهگیری از زیرساخت مبتنی بر محصولات اسپلانک به شرح زیر است:
راهاندازی مراکز عملیات امنیت مبتنی بر Splunk
اسپلانک انعطافپذیری بسیار بالایی به لحاظ نحوهی استقرار دارد. معماری استقرار این ابزار باید با توجه به مقیاس سازمان، نوع نیازمندی، حجم دادههای ورودی، تعداد کاربران و سیاستهای آرشیو دادهها طراحی و پیادهسازی شود.
برای هر سازمان میتوان از یک مقیاس کوچک شروع کرد و متناسب با رشد دادهها و توسعهی استفاده از آن، مقیاس استقرار را گسترش داد. اما دیزاین و پیاده سازی آن برای بنگاههای تجاری بزرگ مستلزم شناخت کافی از نیازمندیهای سازمانی و در نظر گرفتن چشمانداز آتی سازمان است.
متخصصین شرکت سورین با توجه به تجارب استقرار Splunk در محیطهای متنوع میتوانند شما را در طراحی معماری متناسب با نیازمندیهایتان راهنمایی کنند. همچنین پروژهی راهاندازی مرکز عملیات امنیت را در هر مقیاسی از صفر تا صد انجام دهند و همواره کنارتان باشند.
امکان تامین کلیهی افزونههای تجاری Splunk و لایسنسهای اشتراکی یا اختصاصی با توجه به سیاستهای سازمانی وجود دارد. سورین تجارب فراوانی در راهاندازی این محصول برای مراکز عملیات امنیت دارد:
- راهاندازی با حداقل منابع سختافزاری برای شرکتهای کوچک
- پیاده سازی به صورت Clustering برای شرکتهای متوسط و بزرگ
- تامین دسترسپذیری بسیار بالا و پراکندگی جغرافیایی
- ارزیابی و بهینهسازی Splunk مستقر
این SIEM دارای انعطافپذیری بالایی است اما استفاده از آن در مرکز عملیات امنیت SOCها مستلزم شناخت پیچیدگی و نیازمندیهای مراکز و دانش کافی این محصول میباشد. طراحی دقیق معماری ضمن افزایش بهرهوری منابع در نظر گرفته شده برای این ابزار، کیفیت پاسخگویی و تجربهی کاربری را نیز بهبود خواهد بخشید.
بهینهسازی ابعاد مختلف طراحی و معماری، پیادهسازی و اجرای گزارشها و پرسوجوها تاثیر چشمگیری در کارایی اسپلانک دارد. مهمترین بهینهسازیها در حوزههای زیر انجام میشوند:
- ذخیرهسازی فیزیکی دادهها
- ذخیرهسازی منطقی دادهها
- جمعآوری و ارسال رخدادها
- پرسوجوهای پرکاربرد
- گزارشهای زمانبندی شده
- پیکربندی هشدارها
- رابط کاربری و داشبوردها
- توسعهی افزونههای اختصاصی امنیت شبکه
یکی از مهمترین ویژگیهای اسپلانک امکان طراحی افزونههای مختلف برای آن است که انعطافپذیری آن را افزایش میدهند. افزونهها به سه دسته تقسیم میشوند:
وابسته به کاربرد (Domain add-ons/DA): معمولا حاوی داشبوردها، ماکروها، جستجوهای ذخیره شده و گزارشهای زمانبندی شده هستند.
فناوری (Technology add-ons/TA): اغلب امکاناتی را برای جمعآوری، آمادهسازی، و نرمالسازی دادهها فراهم میکنند.
پشتیبان (Supporting add-ons/SA): حاوی مجموعهای از موارد موجود در افزونههای DA و TA هستند.
فناوری راه نو سورین با بهرهگیری از کارشناسان توانمند، امکان ارائهی خدمت در زمینهی توسعهی انواع افزونههای فوق، جهت یکپارچهسازی اسپلانک با کلیه سامانههای بومی یا خاص منظوره را دارد.
راهبری و پشتیبانی زیرساخت توزیع شدهی اسپلانک
حرف اول را در راهبری هر سامانهای، آشنایی دقیق با معماری، مولفهها و قابلیتهای آن سامانه و همچنین تجربه کافی در شرایط مشابه میزند. از طرفی با توجه به تحریمهای موجود امکان ارتباط مستقیم و آسان با تیم پشتیبانی اسپلانک برای کاربران ایرانی فراهم نیست. اما با توجه به تجربه و دانش کارشناسان شرکت سورین، امکان ارائهی انواع خدمات راهبری و پشتیبانی کلاستر با اعزام تیم فنی مستقر در محل مشتری یا فراهم کردن دسترسی جهت پشتیبانی از راه دور، وجود دارد.
Splunk در چه مواردی استفاده میشود: چالش دادهی ماشین
فرض کنید مدیر سیستمی هستید که در تلاش برای درک مشکل به وجود آمده در سختافزار سیستم است و به طور تصادفی با گزارشهایی مانند تصویر بالا مواجه میشود، واکنشتان چیست؟ آیا متوجه میشوید که سخت افزار در کدام مرحله به مشکل برخورده است؟ شاید با احتمال ضعیفی بتوانید مشکل را تشخیص دهید، اما این کار هم مستلزم صرف وقت طولانی برای درک معنای هر کلمه است. به طور خلاصه، دادههای ماشین ویژگیهای زیر را دارند:
- پیچیده برای درک
- قالب بدون ساختار
- نامناسب برای تجزیه و تحلیل / تصویرسازی
در چنین شرایطی است که ابزاری مانند Splunk به کارتان میآید. میتوانید دادههای دستگاه را به Splunk بدهید تا کار دشوار (پردازش دادهها) را انجام دهد. هنگامی که پردازش و استخراج دادههای مربوطه توسط Splunk انجام شد، میتوانید به راحتی مکان و محل مشکلات را پیدا کنید.
آغاز به کار Splunk به این طریق بود، اما با شروع کلان داده برجسته تر شد. از آنجا که Splunk قادر به ذخیره و پردازش مقادیر زیادی داده است، تحلیلگران داده شروع به تغذیهی Splunk با کلان داده کردند و تجزیه و تحلیل دادهها را به آن سپردند. سیستمهای اطلاعاتی که برای تجسم در نظر گرفته شده بودند نیازمند رمزگشایی بودند و Splunk بدون فوت وقت به طور گسترده در حوزهی کلان داده برای تجزیه و تحلیل استفاده شد.
مزایای دیگر پیادهسازی Splunk عبارتند از:
- دادههای ورودی میتواند در هر قالبی از جمله. .csv یا json یا فرمتهای دیگر باشد
- میتوانید Splunk را به گونهای پیکربندی کنید که هنگام شروع وضعیت دستگاه، هشدارها/رویدادها را اعلان کند.
- میتوانید به طور دقیق منابع مورد نیاز برای افزایش مقیاس زیرساخت را پیش بینی کنید
- میتوانید برای اطلاعات عملیاتی اهداف دانشی ایجاد کنید
اهداف دانشی موجودیتهای تعریفشده توسط کاربر است که با استفاده از آن میتوانید اطلاعات ارزشمندی را استخراج کرده و دادههای موجود را غنی کنید. این اهداف دانش میتوانند تحقیقات، انواع رویدادها، جستجوها، گزارشها، هشدارها یا موارد دیگر ذخیره شده باشند که به تنظیم هوشمندی سیستم کمک میکند.
طرحواره اطلاعاتی زیر به قابلیتهایی اشاره میکند که میتوان از Splunk برای آنها استفاده کرد.
برای اینکه بتوانم در مورد نحوه عملکرد Splunk جزئیات بیشتری بیان کنم، قصد دارم دربارهی نحوهی استفاده شرکت دادههای مراقبهای بهداشتی بیماران راه دور از Splunk در تجزیه و تحلیل دادهها سخن بگویم. این شرکت دادههای مراقبتهای بهداشتی بیماران راه دور را با استفاده از دستگاههای (حسگرهای) اینترنت اشیا جمع آوری میکند. Splunk این دادهها را پردازش میکند و هرگونه فعالیت غیرعادی از طریق رابط بیمار به پزشک و بیمار گزارش میشود. در واقع Splunk به آنها کمک میکند تا به موارد زیر دست یابند:
- گزارش وضعیت سلامت در زمان واقعی
- دقیق تر شدن در پرونده سلامتی بیمار و تجزیه و تحلیل الگوها
- هشدار / زنگ خطر به پزشک و بیمار در زمان وخامت سلامتی
نیاز به مشاوره امنیت سایبری دارید؟
همین حالا تماس بگیرید
برای دریافت مشاوره و خدمات امنیت سایبری میتوانید با شماره تماس 02122021734 در ساعات اداری تماس گرفته و یا از طریق فرم مربوطه با ما تماس بگیرید.