اسپلانک چیست؟
اسپلانک یکی از بهترین محصولات جمع آوری، تحلیل و بصریسازی انواع دادهها است. شرکت اسپلانک ابتدا در سال ۲۰۰۳ با شعار پردازش هر نوع داده تولید شده توسط ماشین پا به عرصه رقابت محصولات مدیریت داده گذاشت و پس از مدت بسیار محدودی با خریداری استارتاپهای متعدد در این حوزه توانست به عنوان بهترین ابزار مدیریت لاگ مطرح گردد.
این شرکت محصولات متعددی در حوزهی امنیت شبکه ارائه میدهد که از جمله آنها میتوان به Enterprise Security ،User Behavior Analytics و Phantom اشاره کرد. مهمترین ابزار حوزهی امنیت شبکه آن که طبق آخرین گزارش ارائه شده توسط موسسه تحقیقاتی گارتنر به عنوان پرچمدار محصولات حوزه SIEM میباشد، محصول Enterprise Security است.
این محصول قابلیت استقرار در محیطهای کوچک تا بنگاههای تجاری بزرگ را دارد و به دلیل به مقیاسپذیری، برای طیف وسیعی از مشتریان قابل استفاده است.
تیم سورین، با هدف بهبود کیفی دفاع سایبری و همچنین ارتقا بلوغ مراکز عملیات امنیت کشور، خدمات مرتبط با مرکز عملیات امنیت (طراحی، راه اندازی، یوزکیس، پاسخ به رخداد، تست تفوذ و …) را ارایه می کند.
جهت ارتقای سطح امنیت سازمان یا ارگان خود با ما تماس بگیرید.
سورین به پشتوانهی تجارب خود در این حوزه و با بهرهگیری از متخصصان مجرب در حوزهی راهاندازی، پشتیبانی و مشاوره، آمادهی ارائه خدمات به کلیه مجموعهها است. اهم خدمات قابل ارائه در حوزهی راهاندازی مراکز عملیات امنیت با بهرهگیری از زیرساخت مبتنی بر محصولات اسپلانک به شرح زیر است:
راهاندازی مراکز عملیات امنیت مبتنی بر Splunk
اسپلانک انعطافپذیری بسیار بالایی به لحاظ نحوهی استقرار دارد. معماری استقرار این ابزار باید با توجه به مقیاس سازمان، نوع نیازمندی، حجم دادههای ورودی، تعداد کاربران و سیاستهای آرشیو دادهها طراحی و پیادهسازی شود.
برای هر سازمان میتوان از یک مقیاس کوچک شروع کرد و متناسب با رشد دادهها و توسعهی استفاده از آن، مقیاس استقرار را گسترش داد. اما دیزاین و پیاده سازی آن برای بنگاههای تجاری بزرگ مستلزم شناخت کافی از نیازمندیهای سازمانی و در نظر گرفتن چشمانداز آتی سازمان است.
متخصصین شرکت سورین با توجه به تجارب استقرار Splunk در محیطهای متنوع میتوانند شما را در طراحی معماری متناسب با نیازمندیهایتان راهنمایی کنند. همچنین پروژهی راهاندازی مرکز عملیات امنیت را در هر مقیاسی از صفر تا صد انجام دهند و همواره کنارتان باشند.
امکان تامین کلیهی افزونههای تجاری Splunk و لایسنسهای اشتراکی یا اختصاصی با توجه به سیاستهای سازمانی وجود دارد. سورین تجارب فراوانی در راهاندازی این محصول برای مراکز عملیات امنیت دارد:
- راهاندازی با حداقل منابع سختافزاری برای شرکتهای کوچک
- پیاده سازی به صورت Clustering برای شرکتهای متوسط و بزرگ
- تامین دسترسپذیری بسیار بالا و پراکندگی جغرافیایی
- ارزیابی و بهینهسازی Splunk مستقر
این SIEM دارای انعطافپذیری بالایی است اما استفاده از آن در مرکز عملیات امنیت SOCها مستلزم شناخت پیچیدگی و نیازمندیهای مراکز و دانش کافی این محصول میباشد. طراحی دقیق معماری ضمن افزایش بهرهوری منابع در نظر گرفته شده برای این ابزار، کیفیت پاسخگویی و تجربهی کاربری را نیز بهبود خواهد بخشید.
بهینهسازی ابعاد مختلف طراحی و معماری، پیادهسازی و اجرای گزارشها و پرسوجوها تاثیر چشمگیری در کارایی اسپلانک دارد. مهمترین بهینهسازیها در حوزههای زیر انجام میشوند:
- ذخیرهسازی فیزیکی دادهها
- ذخیرهسازی منطقی دادهها
- جمعآوری و ارسال رخدادها
- پرسوجوهای پرکاربرد
- گزارشهای زمانبندی شده
- پیکربندی هشدارها
- رابط کاربری و داشبوردها
- توسعهی افزونههای اختصاصی امنیت شبکه
چه کسب و کارهایی از اسپلانک استفاده میکنند
شرکتهای بزرگ و کوچک: شرکتهای بزرگ و کوچک از اسپلانک به عنوان یک پلتفرم کلی برای جمعآوری، مانیتورینگ، تحلیل و نظارت بر دادههای مختلف خود استفاده میکنند.
صنعت بانکداری و مالی: بخشهای مختلف صنعت بانکداری و مالی از اسپلانک برای مانیتورینگ و تحلیل دادههای خود استفاده میکنند. این دادهها میتوانند شامل اطلاعات مشتری، تراکنشهای مالی، دادههای بازار و سایر اطلاعات مرتبط با بخش مالی باشند.
شرکتهای فناوری اطلاعات: شرکتهای فناوری اطلاعات نیز از اسپلانک برای مانیتورینگ و تحلیل دادههای مربوط به سیستمهای خود استفاده میکنند. این دادهها میتوانند شامل لاگهای سیستم، مانیتورینگ پایگاهداده، اطلاعات امنیتی و سایر اطلاعات مرتبط با سیستمهای اطلاعاتی باشند.
شرکتهای امنیتی: شرکتهای امنیتی از اسپلانک برای تحلیل و مانیتورینگ رویدادهای امنیتی استفاده میکنند. این رویدادها میتوانند شامل ورود غیرمجاز به سیستمهای اطلاعاتی، حملات سایبری و سایر رویدادهای مخرب باشد.
صنایع تولیدی: صنایع تولیدی از اسپلانک برای جمعآوری، مانیتورینگ و تحلیل دادههای مربوط به سیستمهای تولید خود استفاده میکنند. این دادهها میتوانند شامل اطلاعاتی مانند تعداد وضعیت خطوط تولید، عملکرد ماشینآلات، مصرف انرژی و دیگر دادههای مرتبط با فرآیند تولید باشند.
صنایع خدماتی: صنایع خدماتی از اسپلانک برای مانیتورینگ و تحلیل دادههای مربوط به خدمات خود استفاده میکنند. این دادهها میتوانند شامل اطلاعات مربوط به تعداد مشتریان، رضایت مشتری، عملکرد خدمات و دیگر دادههای مرتبط با صنعت خدمات باشند.
به طور کلی، هر کسب و کاری که به دنبال جمعآوری، مانیتورینگ و تحلیل دادههای خود برای بهبود عملکرد و ارتقای سطح امنیت سیستم خود باشد، میتواند از نرمافزار اسپلانک بهره ببرد.
یکی از مهمترین ویژگیهای اسپلانک امکان طراحی افزونههای مختلف برای آن است که انعطافپذیری آن را افزایش میدهند. افزونهها به سه دسته تقسیم میشوند:
وابسته به کاربرد (Domain add-ons/DA): معمولا حاوی داشبوردها، ماکروها، جستجوهای ذخیره شده و گزارشهای زمانبندی شده هستند.
فناوری (Technology add-ons/TA): اغلب امکاناتی را برای جمعآوری، آمادهسازی، و نرمالسازی دادهها فراهم میکنند.
پشتیبان (Supporting add-ons/SA): حاوی مجموعهای از موارد موجود در افزونههای DA و TA هستند.
فناوری راه نو سورین با بهرهگیری از کارشناسان توانمند، امکان ارائهی خدمت در زمینهی توسعهی انواع افزونههای فوق، جهت یکپارچهسازی اسپلانک با کلیه سامانههای بومی یا خاص منظوره را دارد.
راهبری و پشتیبانی زیرساخت توزیع شدهی اسپلانک
حرف اول را در راهبری هر سامانهای، آشنایی دقیق با معماری، مولفهها و قابلیتهای آن سامانه و همچنین تجربه کافی در شرایط مشابه میزند. از طرفی با توجه به تحریمهای موجود امکان ارتباط مستقیم و آسان با تیم پشتیبانی اسپلانک برای کاربران ایرانی فراهم نیست. اما با توجه به تجربه و دانش کارشناسان شرکت سورین، امکان ارائهی انواع خدمات راهبری و پشتیبانی کلاستر با اعزام تیم فنی مستقر در محل مشتری یا فراهم کردن دسترسی جهت پشتیبانی از راه دور، وجود دارد.
Splunk در چه مواردی استفاده میشود: چالش دادهی ماشین
فرض کنید مدیر سیستمی هستید که در تلاش برای درک مشکل به وجود آمده در سختافزار سیستم است و به طور تصادفی با گزارشهایی مانند تصویر بالا مواجه میشود، واکنشتان چیست؟ آیا متوجه میشوید که سخت افزار در کدام مرحله به مشکل برخورده است؟ شاید با احتمال ضعیفی بتوانید مشکل را تشخیص دهید، اما این کار هم مستلزم صرف وقت طولانی برای درک معنای هر کلمه است. به طور خلاصه، دادههای ماشین ویژگیهای زیر را دارند:
- پیچیده برای درک
- قالب بدون ساختار
- نامناسب برای تجزیه و تحلیل / تصویرسازی
در چنین شرایطی است که ابزاری مانند Splunk به کارتان میآید. میتوانید دادههای دستگاه را به Splunk بدهید تا کار دشوار (پردازش دادهها) را انجام دهد. هنگامی که پردازش و استخراج دادههای مربوطه توسط Splunk انجام شد، میتوانید به راحتی مکان و محل مشکلات را پیدا کنید.
آغاز به کار Splunk به این طریق بود، اما با شروع کلان داده برجسته تر شد. از آنجا که Splunk قادر به ذخیره و پردازش مقادیر زیادی داده است، تحلیلگران داده شروع به تغذیهی Splunk با کلان داده کردند و تجزیه و تحلیل دادهها را به آن سپردند. سیستمهای اطلاعاتی که برای تجسم در نظر گرفته شده بودند نیازمند رمزگشایی بودند و Splunk بدون فوت وقت به طور گسترده در حوزهی کلان داده برای تجزیه و تحلیل استفاده شد.
مزایای دیگر پیادهسازی Splunk عبارتند از:
- دادههای ورودی میتواند در هر قالبی از جمله. .csv یا json یا فرمتهای دیگر باشد
- میتوانید Splunk را به گونهای پیکربندی کنید که هنگام شروع وضعیت دستگاه، هشدارها/رویدادها را اعلان کند.
- میتوانید به طور دقیق منابع مورد نیاز برای افزایش مقیاس زیرساخت را پیش بینی کنید
- میتوانید برای اطلاعات عملیاتی اهداف دانشی ایجاد کنید
اهداف دانشی موجودیتهای تعریفشده توسط کاربر است که با استفاده از آن میتوانید اطلاعات ارزشمندی را استخراج کرده و دادههای موجود را غنی کنید. این اهداف دانش میتوانند تحقیقات، انواع رویدادها، جستجوها، گزارشها، هشدارها یا موارد دیگر ذخیره شده باشند که به تنظیم هوشمندی سیستم کمک میکند.
طرحواره اطلاعاتی زیر به قابلیتهایی اشاره میکند که میتوان از Splunk برای آنها استفاده کرد.
برای اینکه بتوانم در مورد نحوه عملکرد Splunk جزئیات بیشتری بیان کنم، قصد دارم دربارهی نحوهی استفاده شرکت دادههای مراقبهای بهداشتی بیماران راه دور از Splunk در تجزیه و تحلیل دادهها سخن بگویم. این شرکت دادههای مراقبتهای بهداشتی بیماران راه دور را با استفاده از دستگاههای (حسگرهای) اینترنت اشیا جمع آوری میکند. Splunk این دادهها را پردازش میکند و هرگونه فعالیت غیرعادی از طریق رابط بیمار به پزشک و بیمار گزارش میشود. در واقع Splunk به آنها کمک میکند تا به موارد زیر دست یابند:
- گزارش وضعیت سلامت در زمان واقعی
- دقیق تر شدن در پرونده سلامتی بیمار و تجزیه و تحلیل الگوها
- هشدار / زنگ خطر به پزشک و بیمار در زمان وخامت سلامتی
آموزش نصب و راهاندازی اسپلانک (Splunk)
نرمافزار اسپلانک در نسخههای مختلف ویندوزی و لینوکسی وجود دارد. برای نصب اسپلانک، ابتدا باید از سایت Splunk.com نسخه مورد نظر را دانلود نمایید. (سایت مذکور فیلتر بوده و باید با V/P/N وارد شوید).
نسخههای متعددی از نرمافزار اسپلانک با پسوندهای مختلف وجود دارد که ما فایل با پسوند .tgz را دانلود میکنیم.
جهت نصب اسپلانک روی سرور لینوکسی، پس از دانلود نسخه مورد نظر، با استفاده از ابزاری به نام Winscp که جهت انتقال فایل از ویندوز به لینوکس است، آن را روی سرور لینوکس قرار میدهیم.
همانطور که در تصویر زیر مشاهده میکنید، با اجرای این ابزار یک UIاز دایرکتوری های لینوکس نمایش داده میشود. از آنجایی که مسیر پیشفرض نصب اسپلانک، دایرکتوری opt است، فایل دانلود شده را با Drag & Drop در مسیر ذکر شده کپی میکنیم.
پس از انتقال فایل اسپلانک به سرور لینوکس، فایل فشرده اسپلانک را در مسیر opt مشاهده میکنیم.
اولین قدم جهت نصب اسپلانک ، Extract کردن فایل فشرده میباشد. برای اینکار در مسیر /opt دستور زیر را اجرا میکنیم.
Tar xvzf
با استفاده از دستور tar برنامه را فراخوانی کرده و و سپس برخی از آرگومانها را به آن میدهیم، از جمله:
x : به tar دستور می دهد که می خواهید محتوا را استخراج کنید.
v : این یک آرگومان اختیاری برای نمایش فرآیند استخراج است. در غیر این صورت، تا زمانی که فرآیند کامل شود، فقط یک مکان نما چشمک زن خواهید دید.
z : به tar می گوید که محتوای یک فایل tar.gz را با gzip را از حالت فشرده خارج کند.
f : نام فایلی را که می خواهید استخراج کنید به tar دستور می دهد.
پس از Extract کردن، نوبت به اجرای نرم افزار میرسد. به این منظور از مسیر زیر، نرم افزار را اجرا میکنیم.
/opt/splunk/bin/splunk start
پس از اجرای این دستور، نصب آغاز میشود. کافیست چندین بار کلید Space را فشار دهید تا به 100 درصد برسد. سپس با وارد کردن کلید “ y “ که سوال Agreement است را پاسخ دهید.
در این مرحله از نصب، یک نامکاربری و رمزعبور برای اسپلانک مشخص نمایید تا نصب نرمافزار تکمیل گردد.
از آنجاییکه لینوکس یک سری سرویس های امنیتی دارد، از ایجاد Connection ها جلوگیری میکند. به همین منظور باید فایروال سیستم را stop کنیم.
به همین جهت، دستور زیر را اجرا کرده تا وضعیت سرویس فایروال را بررسی نماییم.
Systemctl status firewalld
در صورتیکه سرویس فایروال روشن باشد، با دستور systemctl stop firewalld آنرا متوقف میکنیم.
در مرحله آخر، برای ورود به محیط UI اسپلانک، IP سرور را با پورت پیشفرض 8000 وارد میکنیم.
نیاز به مشاوره امنیت سایبری دارید؟
همین حالا تماس بگیرید
برای دریافت مشاوره و خدمات امنیت سایبری میتوانید با شماره تماس 02122021734 در ساعات اداری تماس گرفته و یا از طریق فرم مربوطه با ما تماس بگیرید.