خدمات اسپلانک Splunk

اسپلانک چیست؟

اسپلانک یکی از بهترین محصولات جمع آوری، تحلیل و بصری‌سازی انواع داده‌ها است. شرکت اسپلانک ابتدا در سال ۲۰۰۳ با شعار پردازش هر نوع داده تولید شده توسط ماشین پا به عرصه رقابت محصولات مدیریت داده گذاشت و پس از مدت بسیار محدودی با خریداری استارتاپ‌های متعدد در این حوزه توانست به عنوان بهترین ابزار مدیریت لاگ مطرح گردد.

این شرکت محصولات متعددی در حوزه‌ی امنیت شبکه ارائه می‌دهد که از جمله آنها می‌توان به Enterprise Security ،User Behavior Analytics و Phantom اشاره کرد. مهم‌ترین ابزار حوزه‌ی امنیت شبکه آن که طبق آخرین گزارش ارائه شده توسط موسسه تحقیقاتی گارتنر به عنوان پرچمدار محصولات حوزه SIEM ‌می‌باشد، محصول Enterprise Security است.

این محصول قابلیت استقرار در محیط‌های کوچک تا بنگاه‌های تجاری بزرگ را دارد و به دلیل به مقیاس‌پذیری، برای طیف وسیعی از مشتریان قابل استفاده است.

تیم سورین، با هدف بهبود کیفی دفاع سایبری و همچنین ارتقا بلوغ مراکز عملیات امنیت کشور، خدمات مرتبط با مرکز عملیات امنیت (طراحی، راه اندازی، یوزکیس، پاسخ به رخداد، تست تفوذ و …) را ارایه می کند.

جهت ارتقای سطح امنیت سازمان یا ارگان خود با ما تماس بگیرید.

تماس با 02122021734

سورین به پشتوانه‌ی تجارب خود در این حوزه و با بهره‌گیری از متخصصان مجرب در حوزه‌ی راه‌اندازی، پشتیبانی و مشاوره‌، آماده‌ی ارائه خدمات به کلیه مجموعه‌‌ها است. اهم خدمات قابل ارائه در حوزه‌ی راه‌اندازی مراکز عملیات امنیت با بهره‌گیری از زیرساخت مبتنی بر محصولات اسپلانک به شرح زیر است:

راه‌اندازی مراکز عملیات امنیت مبتنی بر Splunk

اسپلانک انعطاف‌پذیری بسیار بالایی به لحاظ نحوه‌ی استقرار دارد. معماری استقرار این ابزار باید با توجه به مقیاس سازمان، نوع نیازمندی، حجم داده‌های ورودی، تعداد کاربران و سیاست‌های آرشیو داده‌ها طراحی و پیاده‌سازی شود.

برای هر سازمان می‌توان از یک مقیاس کوچک شروع کرد و متناسب با رشد داده‌ها و توسعه‌ی استفاده از آن، مقیاس استقرار را گسترش داد. اما دیزاین و پیاده‌ سازی آن برای بنگاه‌های تجاری بزرگ مستلزم شناخت کافی از نیازمندی‌های سازمانی و در نظر گرفتن چشم‌انداز آتی سازمان است.

متخصصین شرکت سورین با توجه به تجارب استقرار Splunk در محیط‌های متنوع می‌توانند شما را در طراحی معماری متناسب با نیازمندی‌هایتان راهنمایی کنند. همچنین پروژه‌ی راه‌اندازی مرکز عملیات امنیت را در هر مقیاسی از صفر تا صد انجام دهند و همواره کنارتان باشند.

امکان تامین کلیه‌ی افزونه‌های تجاری Splunk و لایسنس‌های اشتراکی یا اختصاصی با توجه به سیاست‌های سازمانی وجود دارد. سورین تجارب فراوانی در راه‌اندازی این محصول برای مراکز عملیات امنیت دارد:

  • راه‌اندازی با حداقل منابع سخت‌افزاری برای شرکت‌های کوچک
  • پیاده سازی به صورت Clustering برای شرکت‌‌های متوسط و بزرگ
  • تامین دسترس‌پذیری بسیار بالا و پراکندگی جغرافیایی
  • ارزیابی و بهینه‌سازی Splunk مستقر

این SIEM دارای انعطاف‌پذیری بالایی است اما استفاده از آن در مرکز عملیات امنیت SOCها مستلزم شناخت پیچیدگی‌ و نیازمندی‌های مراکز و دانش کافی این محصول می‌باشد. طراحی دقیق معماری ضمن افزایش بهره‌وری منابع در نظر گرفته شده برای این ابزار، کیفیت پاسخگویی و تجربه‌ی کاربری را نیز بهبود خواهد بخشید.

بهینه‌سازی ابعاد مختلف طراحی و معماری، پیاده‌سازی و اجرای گزارش‌ها و پرس‌وجوها تاثیر چشم‌گیری در کارایی اسپلانک دارد. مهم‌ترین بهینه‌سازی‌ها در حوزه‌های زیر انجام می‌شوند:

  • ذخیره‌سازی فیزیکی داده‌ها
  • ذخیره‌سازی منطقی داده‌ها
  • جمع‌آوری و ارسال رخدادها
  • پرس‌وجوهای پرکاربرد
  • گزارش‌های زمان‌بندی شده
  • پیکربندی هشدارها
  • رابط کاربری و داشبوردها
  • توسعه‌ی افزونه‌های اختصاصی امنیت شبکه

چه کسب و کارهایی از اسپلانک استفاده می‌کنند

شرکت‌های بزرگ و کوچک: شرکت‌های بزرگ و کوچک از اسپلانک به عنوان یک پلتفرم کلی برای جمع‌آوری، مانیتورینگ، تحلیل و نظارت بر داده‌های مختلف خود استفاده می‌کنند.

صنعت بانکداری و مالی: بخش‌های مختلف صنعت بانکداری و مالی از اسپلانک برای مانیتورینگ و تحلیل داده‌های خود استفاده می‌کنند. این داده‌ها می‌توانند شامل اطلاعات مشتری، تراکنش‌های مالی، داده‌های بازار و سایر اطلاعات مرتبط با بخش مالی باشند.

شرکت‌های فناوری اطلاعات: شرکت‌های فناوری اطلاعات نیز از اسپلانک برای مانیتورینگ و تحلیل داده‌های مربوط به سیستم‌های خود استفاده می‌کنند. این داده‌ها می‌توانند شامل لاگ‌های سیستم، مانیتورینگ پایگاه‌داده، اطلاعات امنیتی و سایر اطلاعات مرتبط با سیستم‌های اطلاعاتی باشند.

شرکت‌های امنیتی: شرکت‌های امنیتی از اسپلانک برای تحلیل و مانیتورینگ رویدادهای امنیتی استفاده می‌کنند. این رویدادها می‌توانند شامل ورود غیرمجاز به سیستم‌های اطلاعاتی، حملات سایبری و سایر رویدادهای مخرب باشد.

صنایع تولیدی: صنایع تولیدی از اسپلانک برای جمع‌آوری، مانیتورینگ و تحلیل داده‌های مربوط به سیستم‌های تولید خود استفاده می‌کنند. این داده‌ها می‌توانند شامل اطلاعاتی مانند تعداد وضعیت خطوط تولید، عملکرد ماشین‌آلات، مصرف انرژی و دیگر داده‌های مرتبط با فرآیند تولید باشند.

صنایع خدماتی: صنایع خدماتی از اسپلانک برای مانیتورینگ و تحلیل داده‌های مربوط به خدمات خود استفاده می‌کنند. این داده‌ها می‌توانند شامل اطلاعات مربوط به تعداد مشتریان، رضایت مشتری، عملکرد خدمات و دیگر داده‌های مرتبط با صنعت خدمات باشند.

به طور کلی، هر کسب و کاری که به دنبال جمع‌آوری، مانیتورینگ و تحلیل داده‌های خود برای بهبود عملکرد و ارتقای سطح امنیت سیستم خود باشد، می‌تواند از نرم‌افزار اسپلانک بهره ببرد.

خدمات اسپلانک Splunk

یکی از مهم‌ترین ویژگی‌های اسپلانک امکان طراحی افزونه‌های مختلف برای آن است که انعطاف‌پذیری آن را افزایش می‌دهند. افزونه‌ها به سه دسته تقسیم می‌شوند:

وابسته به کاربرد (Domain add-ons/DA): معمولا حاوی داشبوردها، ماکروها، جستجوهای ذخیره شده و گزارش‌های زمان‌بندی شده هستند.
فناوری (Technology add-ons/TA): اغلب امکاناتی را برای جمع‌آوری، آماده‌سازی، و نرمال‌سازی داده‌ها فراهم می‌کنند.
پشتیبان (Supporting add-ons/SA): حاوی مجموعه‌ای از موارد موجود در افزونه‌های DA و TA هستند.

فناوری راه نو سورین با بهره‌گیری از کارشناسان توانمند، امکان ارائه‌ی خدمت در زمینه‌ی توسعه‌ی انواع افزونه‌های فوق، جهت یکپارچه‌سازی اسپلانک با کلیه سامانه‌های بومی یا خاص منظوره را دارد.  

راهبری و پشتیبانی زیرساخت توزیع شده‌ی اسپلانک

حرف اول را در راهبری هر سامانه‌ای، آشنایی دقیق با معماری، مولفه‌ها و قابلیت‌های آن سامانه و همچنین تجربه کافی در شرایط مشابه می‌زند. از طرفی با توجه به تحریم‌های موجود امکان ارتباط مستقیم و آسان با تیم پشتیبانی اسپلانک برای کاربران ایرانی فراهم نیست. اما با توجه به تجربه و دانش کارشناسان شرکت سورین، امکان ارائه‌ی انواع خدمات راهبری و پشتیبانی کلاستر با اعزام تیم فنی مستقر در محل مشتری یا فراهم کردن دسترسی جهت پشتیبانی از راه دور، وجود دارد.  

Splunk در چه مواردی استفاده ‌می‌شود: چالش داده‌ی ماشین

فرض کنید مدیر سیستمی هستید که در تلاش برای درک مشکل به وجود آمده در سخت‌افزار سیستم است و به طور تصادفی با گزارش‌هایی مانند تصویر بالا مواجه می‌شود، واکنشتان چیست؟ آیا متوجه ‌می‌شوید که سخت افزار در کدام مرحله به مشکل برخورده است؟ شاید با احتمال ضعیفی بتوانید مشکل را تشخیص دهید، اما این کار هم مستلزم صرف وقت طولانی برای درک معنای هر کلمه است. به طور خلاصه، داده‌‌های ماشین ویژگی‌‌های زیر را دارند:

  • پیچیده برای درک
  • قالب بدون ساختار
  • نامناسب برای تجزیه و تحلیل / تصویرسازی

در چنین شرایطی است که ابزاری مانند Splunk به کارتان ‌می‌آید. می‌توانید داده‌های دستگاه را به Splunk بدهید تا کار دشوار (پردازش داده‌ها) را انجام ‌دهد. هنگامی که پردازش و استخراج داده‌‌های مربوطه توسط Splunk انجام شد، ‌می‌توانید به راحتی مکان و محل مشکلات را پیدا کنید.

آغاز به کار Splunk به این طریق بود، اما با شروع کلان داده برجسته تر شد. از آنجا که Splunk قادر به ذخیره و پردازش مقادیر زیادی داده است، تحلیلگران داده شروع به تغذیه‌ی Splunk با کلان داده کردند و تجزیه و تحلیل داده‌ها را به آن سپردند. سیستم‌های اطلاعاتی که برای تجسم در نظر گرفته شده بودند نیازمند رمزگشایی بودند و Splunk بدون فوت وقت به طور گسترده در حوزه‌ی کلان داده برای تجزیه و تحلیل استفاده شد.  

مزایای دیگر پیاده‌سازی Splunk عبارتند از:

  • داده‌‌های ورودی ‌می‌تواند در هر قالبی از جمله. .csv یا json یا فرمت‌‌های دیگر باشد
  • می‌توانید Splunk را به گونه‌ای پیکربندی کنید که هنگام شروع وضعیت دستگاه، هشدارها/رویدادها را اعلان کند.
  • ‌می‌توانید به طور دقیق منابع مورد نیاز برای افزایش مقیاس زیرساخت را پیش بینی کنید
  • ‌می‌توانید برای اطلاعات عملیاتی اهداف دانشی ایجاد کنید

اهداف دانشی موجودیت‌های تعریف‌شده توسط کاربر است که با استفاده از آن می‌توانید اطلاعات ارزشمندی را استخراج کرده و داده‌های موجود را غنی کنید. این اهداف دانش ‌می‌توانند تحقیقات، انواع رویدادها، جستجوها، گزارش‌‌ها، هشدارها یا موارد دیگر ذخیره شده باشند که به تنظیم هوشمندی سیستم کمک ‌می‌کند.

طرحواره اطلاعاتی زیر به قابلیت‌‌هایی اشاره ‌می‌کند که ‌می‌توان از Splunk برای آنها استفاده کرد.

برای اینکه بتوانم در مورد نحوه عملکرد Splunk جزئیات بیشتری بیان کنم، قصد دارم درباره‌ی نحوه‌ی استفاده شرکت داده‌‌های مراقب‌‌های بهداشتی بیماران راه دور از Splunk در تجزیه و تحلیل داده‌‌ها سخن بگویم. این شرکت داده‌‌های مراقبت‌‌های بهداشتی بیماران راه دور را با استفاده از دستگاه‌‌های (حسگرهای) اینترنت اشیا جمع آوری ‌می‌کند. Splunk این داده‌‌ها را پردازش ‌می‌کند و هرگونه فعالیت غیرعادی از طریق رابط بیمار به پزشک و بیمار گزارش ‌می‌شود. در واقع Splunk به آنها کمک ‌می‌کند تا به موارد زیر دست یابند:

  • گزارش وضعیت سلامت در زمان واقعی
  • دقیق تر شدن در پرونده سلامتی بیمار و تجزیه و تحلیل الگوها
  • هشدار / زنگ خطر به پزشک و بیمار در زمان‌ وخامت سلامتی
 

آموزش نصب و راه‌اندازی اسپلانک (Splunk)

نرم‌افزار اسپلانک در نسخه‌های مختلف ویندوزی و لینوکسی وجود دارد. برای نصب اسپلانک، ابتدا باید از سایت Splunk.com نسخه مورد نظر را دانلود نمایید. (سایت مذکور فیلتر بوده و باید با V/P/N وارد شوید).

نسخه‌های متعددی از نرم‌افزار اسپلانک با پسوندهای مختلف وجود دارد که ما فایل با پسوند .tgz را دانلود می‌کنیم.
جهت نصب اسپلانک روی سرور لینوکسی، پس از دانلود نسخه مورد ‌نظر، با استفاده از ابزاری به نام Winscp که جهت انتقال فایل از ویندوز به لینوکس است، آن را روی سرور لینوکس قرار می‌دهیم.

همانطور که در تصویر زیر مشاهده می‌کنید، با اجرای این ابزار یک  UIاز دایرکتوری های لینوکس نمایش داده می‌شود. از آن‌جایی که مسیر پیش‌فرض نصب اسپلانک، دایرکتوری opt است، فایل دانلود شده را با Drag & Drop در مسیر ذکر شده کپی می‌کنیم.   نصب و راه‌اندازی اسپلانک  

پس از انتقال فایل اسپلانک به سرور لینوکس، فایل فشرده اسپلانک را در مسیر opt مشاهده می‌کنیم.   نصب و راه‌اندازی اسپلانک

اولین قدم جهت نصب اسپلانک ، Extract کردن فایل فشرده می‌باشد. برای این‌کار در مسیر /opt دستور زیر را اجرا می‌کنیم. 

Tar xvzf

با استفاده از دستور tar برنامه را فراخوانی کرده و و سپس برخی از آرگومان‌ها را به آن می‌دهیم، از جمله:

x : به tar دستور می دهد که می خواهید محتوا را استخراج کنید.

v : این یک آرگومان اختیاری برای نمایش فرآیند استخراج است. در غیر این صورت، تا زمانی که فرآیند کامل شود، فقط یک مکان نما چشمک زن خواهید دید.

z : به tar می گوید که محتوای یک فایل tar.gz را با gzip را از حالت فشرده خارج کند.

f : نام فایلی را که می خواهید استخراج کنید به tar دستور می دهد. نصب و راه‌اندازی اسپلانک  

پس از Extract کردن، نوبت به اجرای نرم افزار می‌رسد. به این منظور از مسیر زیر، نرم افزار را اجرا ‌می‌کنیم. 

/opt/splunk/bin/splunk start
نصب و راه‌اندازی اسپلانک  

پس از اجرای این دستور، نصب آغاز می‌شود. کافی‌ست چندین بار کلید Space را فشار دهید تا به 100 درصد برسد. سپس با وارد کردن کلید “ y “ که سوال Agreement است را پاسخ دهید.   نصب و راه‌اندازی اسپلانک  

در این مرحله از نصب، یک نام‌کاربری و رمز‌عبور برای اسپلانک مشخص نمایید تا نصب نرم‌افزار تکمیل گردد.   نصب و راه‌اندازی اسپلانک  

از آنجایی‌که لینوکس یک سری سرویس های امنیتی دارد، از ایجاد Connection ها جلوگیری می‌کند. به همین منظور باید فایروال سیستم را stop کنیم.

به همین جهت، دستور زیر را اجرا کرده تا وضعیت سرویس فایروال را بررسی نماییم. 

Systemctl status firewalld

در صورتی‌که سرویس فایروال روشن باشد، با دستور systemctl stop firewalld آن‌را متوقف می‌کنیم.   نصب و راه‌اندازی اسپلانک  

در مرحله آخر، برای ورود به محیط UI اسپلانک، IP سرور را با پورت پیش‌فرض 8000 وارد می‌کنیم.   نصب و راه‌اندازی اسپلانک

برای خرید لایسنس تجاری اسپلانک روی دکمه زیر کلیک کنید:
خرید لایسنس اسپلانک

نیاز به مشاوره امنیت سایبری دارید؟

همین حالا تماس بگیرید

برای دریافت مشاوره و خدمات امنیت سایبری می‌توانید با شماره تماس 02122021734 در ساعات اداری تماس گرفته و یا از طریق فرم مربوطه با ما تماس بگیرید.

مشاوره امنیت سایبری