بررسی راهکارهای تحلیل لاگ توسط Splunk Enterprise

در این مطلب قصد داریم تا ضمن اراده نسخه جدید نرم افزا رپر کراربرد Splunk به بررسی راهکارهای تحلیل لاگ توسط Splunk Enterprise به پردازیم .
Splunk در واقع یک SIEM یا Security information and event management است که به منظور جمع ­آوری لاگ‌ها، جستجو، مشاهده، آنالیز و تحلیل داده‌ها در سازمانها نصب می­شود و فعالیت می­کند. کشف اطلاعات از طریق پردازش هزاران داده از بررسی لاگ­ها انجام می­شود. به بیانی دیگر Splunk داده‌های خام را جمع ­آوری و  فهرست بندی می‌کند و به شما این امکان را می­دهد که بتوانید بر روی تمام داده‌ها عملیات جستجو را انجام دهید و نتایج را به هر صورت قابل دلخواه مشاهده کنید

Splunk Enterprise و قابلیت های آن

این نرم افزار مانند Google برای LogFile های تولیدی در یک شبکه از تجهیزات رایانه­ای و الکترونیکی است که به نوع و فرمت Log ها وابستگی ندارد و فقط متنی بودن Log ها کافی است تا بتوان آنها را به Splunk Enterprise  وارد کرد.

مثالهای مختلفی از منابع تولید این لاگ­ها در ادامه آورده شده است:

  • لاگهای ایجاد شده توسط تجهیزات امنیتی از قبیل IPS, Firewall, Anti-Virus
  • لاگهای ایجاد شده توسط تجیزات زیرساخت از قبیل Switch, Router, Modem
  • لاگهای ایجاد شده توسط نرم­ افزارهای داخلی از قبیل بانکداری، اتوماسیون، مالی، انبار
  • لاگهای ایجاد شده توسط سرویس­ های داخلی ار قبیل AD, DNS, IIS, Apache, DHCP
  • لاگهای ایجاد شده توسط سیستم عامل های مختلف از قبیل Windows, Linux, MacOS
  • لاگهای ایجاد شده توسط تجهیزات هوشمند و همراه از قبیل گوشی و تبلت
  • لاگهای ایجاد شده توسط تجهیزات الکترونیکی از قبیل دربهای برقی، آسانسور، حسگرها، کنترل تردد

Splunk Enterprise  تمام لاگهای تولید شده را یکجا دخیره و دسته بندی می­کند و امکان ارتباط بین تغییرات و رخدادهای گوناگون در بخشهای مختلف را می­دهد و می­توان به ایجاد اصلاحات اقدام نماییم.

همچنین از Splunk Enterprise به عنوان یک نرم افزار مانیتورینگ ۳۶۰ می­توان استفاده کرد بدون نیاز به افزودن SNMP یا موارد دیگری که سایر محصولات مشابه نیاز دارند.

 شش قابلیت اصلی SIEM مبتنی بر تحلیل به شرح جدول زیر است.
پایش لحظه ای
 سرعت رشد تهدیدات بسیار بالا است و مدیران IT ملزم به پایش پیوسته و بررسی آنی ارتباط میان رخدادها به منظور شناسایی و متوقف کردن آنها هستند.
پاسخ آنی در برابر حوادث IT نیازمند یک روش سازماندهی شده به منظور مدیریت هر گونه نقص احتمالی به همراه هر گونه نقض امنیتی و یا حمله با هدف محدود کردن آسیب ها و کاهش زمان بازیابی است.
پایش کاربران نظارت دقیق بر فعالیت کاربران مساله ای بحرانی و حساس به منظور شناسایی نقاط ضعف و سوء استفاده ها است. نظارت بر فعالیت کاربران یکی از الزامات شناسایی compliance است.

سیستم هوشمند مقابله با تهدیدات چنین سیستم هوشمندی در شناسایی فعالیت های غیرمعمول، شناسایی ریسک های کسب و کار و اولویت بندی اقدامات نقش شایانی دارد.
تجزیه و تحلیل پیشرفته تحلیل حجم عظیم داده ها بهترین راه برای کسب دید کلی نسبت به آنها است و machine learning امکان تحلیل خودکار و شناسایی تهدیدات پنهان را در اختیارمان قرار می دهد.
سیستم پیشرفته شناسایی تهدیدات متخصصان امنیت نیازمند ابزارهای ویژه ای به منظور نظارت، تحلیل و شناسایی تهدیدات در سراسر زنجیره حملات هستند.


پایش لحظه ای در Splunk

هر چه زمان شناسایی یک تهدید طولانی تر باشد، به صورت بالقوه احتمال ایجاد آسیب های بیشتری وجود دارد. شرکت های IT نیازمند SIEM با قابلیت های پایش لحظه ای هر نوع داده ای بدون توجه به مکان داده (محلی و ابری) هستند. علاوه بر این قابلیت پایش ملزم به بازیابی contextual data feed مانند دارایی های اطلاعاتی و اطلاعات هویتی و فیدهای هوشمند مقابله با تهدیدات که با هدف ارایه هشدارها استفاده می شوند.
سیستم های SIEM مبتنی بر تحلیل ملزم به شناسایی کلیه نهادهای یک محیط IT شامل کاربران، ابزارها و نرم افزارها به همراه کلیه فعالیت های مرتبط با هر یک از این نهادها، است. SIEM به منظور شناسایی طیف گسترده ای از رفتارهای غیرمعمول، باید قادر به استفاده از این داده ها در هر لحظه ای باشد. پس از شناسایی، داده ها به شکلی ساده وارد جریان کار شناسایی و ارزیابی خطرات بالقوه شده و به این ترتیب ریسک های کسب وکار شناسایی و معرفی می شوند.
می بایست مجموعه ای از قوانین از پیش تعیین شده و سفارشی، یک کنسول رخدادهای امنیتی به منظور نمایش لحظه ای وقایع اتفاق افتاده و داشبوردهایی به منظور ارایه یک دیدکلی نسبت به تهدیدات پیوسته و در حال پیشرفت، وجود داشته باشد. در نهایت کلیه این قابلیت ها از طریق ارایه برنامه های جستجوی لحظه ای و برنامه ریزی شده به منظور شناسایی ارتباط رخدادها تکمیل می شود. این جستجوها از طریق یک UI با کاربری ساده در اختیار مدیران IT قرار می گیرد.
در نهایت SIEM مبتنی بر تحلیل نیازمند قابلیت جستجوی محلی داده ها در هر زمانی به منظور کاهش بار ترافیکی جستجوی داده ها نیز می باشد.

Installwindows_high from SplunkEDU on Vimeo.


چرا Splunk ؟

صرفه جویی در هزینه های سرمایه گذاری و زمان شرکت Autodesk با استفاده از بکارگیری Splunk در AWS .

مشتریان در کلیه بخش های صنعت ساختمان، معماری، ساخت و ساز و صنایع سرگرمی شامل ۲۰ برنده برتر جایزه اسکار برای بهترین جلوه های بصری از نرم افزارهای Autodesk به منظور طراحی، تجسم و شبیه سازی ایده های خود استفاده کردند. با توجه به تاثیرات جهانی این مساله Autodesk با دو چالش مجزا روبرو بود: نیاز به کسب اطلاعات و آگاهی کلی در زمینه های عملیاتی، امنیتی و کسب وکار در سراسر گروه های مختلف داخلی و انتخاب بهترین زیرساخت به منظور استقرار نرم افزارهای هوشمند عملیاتی است.
پس از استفاده شرکت Autodesk از بستر Splunk ، این شرکت از مزایای زیر بهره مند شده است:
• پس انداز چندین هزار دلاری
• درک عملیاتی و امنیتی وسیع تر
• مشاهده آنی عملکرد محصولات

Splunk اولین بار در سال ۲۰۰۷ در دفتر مرکزی Autodesk به عنوان راهی برای کنترل و مهار اطلاعات دستگاه ها مورد استفاده در عیب یابی عملی، مورد استفاده قرار گرفت. امروزه استفاده از این ابزار گسترش یافته و شامل پایش لحظه ای، نظارت امنیتی دقیق و تحلیل کامل فرآیندهای کسب و کار در سراسر بخش های اجرایی Autodesk شامل موارد زیر است:
• سرویس های اطلاعاتی سازمانی یا EIS : مسئولیت مدیریت اطلاعاتی سراسری شامل اطلاعات امنیتی و مدیریتی را بر عهده دارد.
• گروه های مشتریان Autodesk یا ACG : مسئولیت کلیه محصولات مصرفی Autodesk بر عهده این بخش است.
• مدل سازی اطلاعات و بستر محصولات یا IPG : مسئولیت راهکارهای Autodesk برای مشتریان تجاری و صنعتی شامل طراحان و مهندسین کلیه صنایع است.
Autodesk به منظور کاهش زمان شناسایی و حل مسایل امنیتی از Splunk ES استفاده می کند. همچنین این شرکت از Splunk App در AWS به منظور ارایه و مدیریت انعطاف پذیر منابع برای Splunk Enterprise و سایر برنامه های مهم و حساس، بهره می گیرد.
توانمندسازی تصمیم گیری های مبتنی بر داده
شرکت Autodesk با استفاده از Splunk Enterprise، Splunk App for AWS، Splunk Enterprise Security و سایر راهکارهای Splunk، درک کاملی نسبت به کارایی عملیاتی، امنیتی و عملکرد محصولات خود، کسب کرد. همچنین این شرکت با استفاده از تحلیل های مبتنی بر داده و انعطاف پذیر Splunk و بستر مبتنی بر AWS، نتایجی همچون صرفه جویی در زمان، کاهش هزینه سرمایه و افزایش حوزه و ژرفای تصمیمات حیاتی را کسب کرده است.

چند نکته در مورد شرایط نصب Splunk

برای کارایی بهتر Indexer و SearchHead روی دو سرور مجرا نصب کنید

برای Indexer هاردهای SSD و RAM بیشتری در نظر بگیرید و برای SearchHead از توان پردازشی CPU بیشتری استفاده کنید

در صورت امکان از Indexer های مختلفی به صورت distributed استفاده کنید تا در حجم های بالاتر با کندی کمتری مواجه بشید

در صورت استفاده از لایسنس کرکی این نکته رو مد نظر داشته باشید که ممکنه نسخه های بعدی نرم افزار این لایسنس رو قبول نکنه و قابلیت به روز رسانی نرم افزار رو تا ارائه کرک نسخه جدید نداشته باشید

به منظور نوشتن Add-On برای نرم افزارهای سفارشی که Splunk فرمت لاگ آنها رو پشتیبانی نمیکنه ساده ترین راه استفاده از نوعی مهندسی معکوس روی Add-On های موجود هستش تا هرچه کمتر درگیر مسائل کد نویسی و برنامه نویسی بشید.

Splunk Enterprise 7.2.4
newadmin.ir

درباره نویسنده

newadmin

پاسخ دهید