خدمات اسپلانک Splunk

اسپلانک چیست؟

اسپلانک یکی از بهترین محصولات جمع آوری، تحلیل و بصری‌سازی انواع داده‌ها است. شرکت اسپلانک ابتدا در سال ۲۰۰۳ با شعار پردازش هر نوع داده تولید شده توسط ماشین پا به عرصه رقابت محصولات مدیریت داده گذاشت و پس از مدت بسیار محدودی با خریداری استارتاپ‌های متعدد در این حوزه توانست به عنوان بهترین ابزار مدیریت لاگ مطرح گردد.

این شرکت محصولات متعددی در حوزه‌ی امنیت شبکه ارائه می‌دهد که از جمله آنها می‌توان به Enterprise Security ،User Behavior Analytics و Phantom اشاره کرد. مهم‌ترین ابزار حوزه‌ی امنیت شبکه آن که طبق آخرین گزارش ارائه شده توسط موسسه تحقیقاتی گارتنر به عنوان پرچمدار محصولات حوزه SIEM می باشد، محصول Enterprise Security است.

این محصول قابلیت استقرار در محیط‌های کوچک تا بنگاه‌های تجاری بزرگ را دارد و به دلیل به مقیاس‌پذیری، برای طیف وسیعی از مشتریان قابل استفاده است.

سورین به پشتوانه‌ی تجارب خود در این حوزه و با بهره‌گیری از متخصصان مجرب در حوزه‌ی راه‌اندازی، پشتیبانی و مشاوره‌، آماده‌ی ارائه خدمات به کلیه مجموعه ها است. اهم خدمات قابل ارائه در حوزه‌ی راه‌اندازی مراکز عملیات امنیت با بهره‌گیری از زیرساخت مبتنی بر محصولات اسپلانک به شرح زیر است:

راه‌اندازی مراکز عملیات امنیت مبتنی بر Splunk

اسپلانک انعطاف‌پذیری بسیار بالایی به لحاظ نحوه‌ی استقرار دارد. معماری استقرار این ابزار باید با توجه به مقیاس سازمان، نوع نیازمندی، حجم داده‌های ورودی، تعداد کاربران و سیاست‌های آرشیو داده‌ها طراحی و پیاده‌سازی شود.

برای هر سازمان می‌توان از یک مقیاس کوچک شروع کرد و متناسب با رشد داده‌ها و توسعه‌ی استفاده از آن، مقیاس استقرار را گسترش داد. اما دیزاین و پیاده‌ سازی آن برای بنگاه‌های تجاری بزرگ مستلزم شناخت کافی از نیازمندی‌های سازمانی و در نظر گرفتن چشم‌انداز آتی سازمان است.

متخصصین شرکت سورین با توجه به تجارب استقرار Splunk در محیط‌های متنوع می‌توانند شما را در طراحی معماری متناسب با نیازمندی‌هایتان راهنمایی کنند. همچنین پروژه‌ی راه‌اندازی مرکز عملیات امنیت را در هر مقیاسی از صفر تا صد انجام دهند و همواره کنارتان باشند.

امکان تامین کلیه‌ی افزونه‌های تجاری Splunk و لایسنس‌های اشتراکی یا اختصاصی با توجه به سیاست‌های سازمانی وجود دارد. سورین تجارب فراوانی در راه‌اندازی این محصول برای مراکز عملیات امنیت دارد:

  • راه‌اندازی با حداقل منابع سخت‌افزاری برای شرکت‌های کوچک
  • پیاده سازی به صورت Clustering برای شرکت های متوسط و بزرگ
  • تامین دسترس‌پذیری بسیار بالا و پراکندگی جغرافیایی
  • ارزیابی و بهینه‌سازی Splunk مستقر

این SIEM دارای انعطاف‌پذیری بالایی است اما استفاده از آن در SOCها مستلزم شناخت پیچیدگی‌ و نیازمندی‌های مراکز و دانش کافی این محصول می‌باشد. طراحی دقیق معماری ضمن افزایش بهره‌وری منابع در نظر گرفته شده برای این ابزار، کیفیت پاسخگویی و تجربه‌ی کاربری را نیز بهبود خواهد بخشید.

بهینه‌سازی ابعاد مختلف طراحی و معماری، پیاده‌سازی و اجرای گزارش‌ها و پرس‌وجوها تاثیر چشم‌گیری در کارایی اسپلانک دارد. مهم‌ترین بهینه‌سازی‌ها در حوزه‌های زیر انجام می‌شوند:

  • ذخیره‌سازی فیزیکی داده‌ها
  • ذخیره‌سازی منطقی داده‌ها
  • جمع‌آوری و ارسال رخدادها
  • پرس‌وجوهای پرکاربرد
  • گزارش‌های زمان‌بندی شده
  • پیکربندی هشدارها
  • رابط کاربری و داشبوردها
  • توسعه‌ی افزونه‌های اختصاصی امنیت شبکه
خدمات اسپلانک Splunk

یکی از مهم‌ترین ویژگی‌های اسپلانک امکان طراحی افزونه‌های مختلف برای آن است که انعطاف‌پذیری آن را افزایش می‌دهند. افزونه‌ها به سه دسته تقسیم می‌شوند:

وابسته به کاربرد (Domain add-ons/DA): معمولا حاوی داشبوردها، ماکروها، جستجوهای ذخیره شده و گزارش‌های زمان‌بندی شده هستند.
فناوری (Technology add-ons/TA): اغلب امکاناتی را برای جمع‌آوری، آماده‌سازی، و نرمال‌سازی داده‌ها فراهم می‌کنند.
پشتیبان (Supporting add-ons/SA): حاوی مجموعه‌ای از موارد موجود در افزونه‌های DA و TA هستند.
فناوری راه نو سورین با بهره‌گیری از کارشناسان توانمند، امکان ارائه‌ی خدمت در زمینه‌ی توسعه‌ی انواع افزونه‌های فوق، جهت یکپارچه‌سازی اسپلانک با کلیه سامانه‌های بومی یا خاص منظوره را دارد.

راهبری و پشتیبانی زیرساخت توزیع شده‌ی اسپلانک

حرف اول را در راهبری هر سامانه‌ای، آشنایی دقیق با معماری، مولفه‌ها و قابلیت‌های آن سامانه و همچنین تجربه کافی در شرایط مشابه می‌زند. از طرفی با توجه به تحریم‌های موجود امکان ارتباط مستقیم و آسان با تیم پشتیبانی اسپلانک برای کاربران ایرانی فراهم نیست. اما با توجه به تجربه و دانش کارشناسان شرکت سورین، امکان ارائه‌ی انواع خدمات راهبری و پشتیبانی کلاستر با اعزام تیم فنی مستقر در محل مشتری یا فراهم کردن دسترسی جهت پشتیبانی از راه دور، وجود دارد.

Splunk در چه مواردی استفاده می شود: چالش داده‌ی ماشین

فرض کنید مدیر سیستمی هستید که در تلاش برای درک مشکل به وجود آمده در سخت‌افزار سیستم است و به طور تصادفی با گزارش‌هایی مانند تصویر بالا مواجه می‌شود، واکنشتان چیست؟ آیا متوجه می شوید که سخت افزار در کدام مرحله به مشکل برخورده است؟ شاید با احتمال ضعیفی بتوانید مشکل را تشخیص دهید، اما این کار هم مستلزم صرف وقت طولانی برای درک معنای هر کلمه است. به طور خلاصه، داده های ماشین ویژگی های زیر را دارند:

  • پیچیده برای درک
  • قالب بدون ساختار
  • نامناسب برای تجزیه و تحلیل / تصویرسازی

در چنین شرایطی است که ابزاری مانند Splunk به کارتان می آید. می‌توانید داده‌های دستگاه را به Splunk بدهید تا کار دشوار (پردازش داده‌ها) را انجام ‌دهد. هنگامی که پردازش و استخراج داده های مربوطه توسط Splunk انجام شد، می توانید به راحتی مکان و محل مشکلات را پیدا کنید.

آغاز به کار Splunk به این طریق بود، اما با شروع کلان داده برجسته تر شد. از آنجا که Splunk قادر به ذخیره و پردازش مقادیر زیادی داده است، تحلیلگران داده شروع به تغذیه‌ی Splunk با کلان داده کردند و تجزیه و تحلیل داده‌ها را به آن سپردند. سیستم‌های اطلاعاتی که برای تجسم در نظر گرفته شده بودند نیازمند رمزگشایی بودند و Splunk بدون فوت وقت به طور گسترده در حوزه‌ی کلان داده برای تجزیه و تحلیل استفاده شد.

مزایای دیگر پیاده‌سازی Splunk عبارتند از:

  • داده های ورودی می تواند در هر قالبی از جمله. .csv یا json یا فرمت های دیگر باشد
  • می‌توانید Splunk را به گونه‌ای پیکربندی کنید که هنگام شروع وضعیت دستگاه، هشدارها/رویدادها را اعلان کند.
  • می توانید به طور دقیق منابع مورد نیاز برای افزایش مقیاس زیرساخت را پیش بینی کنید
  • می توانید برای اطلاعات عملیاتی اهداف دانشی ایجاد کنید

اهداف دانشی موجودیت‌های تعریف‌شده توسط کاربر است که با استفاده از آن می‌توانید اطلاعات ارزشمندی را استخراج کرده و داده‌های موجود را غنی کنید. این اهداف دانش می توانند تحقیقات، انواع رویدادها، جستجوها، گزارش ها، هشدارها یا موارد دیگر ذخیره شده باشند که به تنظیم هوشمندی سیستم کمک می کند.

طرحواره اطلاعاتی زیر به قابلیت هایی اشاره می کند که می توان از Splunk برای آنها استفاده کرد.

برای اینکه بتوانم در مورد نحوه عملکرد Splunk جزئیات بیشتری بیان کنم، قصد دارم درباره‌ی نحوه‌ی استفاده شرکت داده های مراقب های بهداشتی بیماران راه دور از Splunk در تجزیه و تحلیل داده ها سخن بگویم. این شرکت داده های مراقبت های بهداشتی بیماران راه دور را با استفاده از دستگاه های (حسگرهای) اینترنت اشیا جمع آوری می کند. Splunk این داده ها را پردازش می کند و هرگونه فعالیت غیرعادی از طریق رابط بیمار به پزشک و بیمار گزارش می شود. در واقع Splunk به آنها کمک می کند تا به موارد زیر دست یابند:

  • گزارش وضعیت سلامت در زمان واقعی
  • دقیق تر شدن در پرونده سلامتی بیمار و تجزیه و تحلیل الگوها
  • هشدار / زنگ خطر به پزشک و بیمار در زمان‌ وخامت سلامتی

نیاز به مشاوره امنیت سایبری دارید؟

همین حالا تماس بگیرید

برای دریافت مشاوره و خدمات امنیت سایبری می‌توانید با شماره تماس 02122021734 در ساعات اداری تماس گرفته و یا از طریق فرم مربوطه با ما تماس بگیرید.

مشاوره امنیت سایبری