بررسی اطلاعات امنیتی و مدیریت رویدادها SIEM با Splunk

بررسی اطلاعات امنیتی و مدیریت رویدادها SIEM با Splunk چگونه صورت می گیرد؟ امنیت و حریم خصوصی داده‌ها از اهمیت خاصی برخوردار هستند اما به واسطه نقض‌های امنیتی فاحشی که طی دوسال اخیر رخ داده‌اند، اهمیت این دو مقوله روز به روز بیشتر می‌شود. اگر قصد بهبود امنیت را داریم، می‌توانیم با استفاده بهتر از داده‌هایی که سیستم ما تاکنون Log می‌کرده شروع کنیم. همچنین می‌توان داده‌های بیشتری را Capture نمود تا درک بهتری از سیستم پیدا کرد و هرچیز مشکوکی را ساده‌تر یافت. در هر دو حالت، استفاده از یک ابزار تخصصی برای کار با داده‌های Log ضروری است تا مجبور نباشیم داده‌های بدون ساختار مربوط به منابع مختلف را مطالعه کنیم. اینجاست که Splunk به کمک ما می‌آید. Splunk به به عنوان یک ابزار مدیریت متمرکز Logکردن شناخته شده اما به هنگام فعالیت‌های امنیتی که پیش از وقوع رخداد‌ یا حتی پس از وقوع رخداد صورت می‌گیرند نیز موثر است. اما چگونه از Splunk برای تحلیلات امنیتی استفاده می‌کنیم؟ به سراغ آن هم خواهیم رفت اما فعلا با ایجاد مبانی پایه‌ای شروع می‌کنیم.

اطلاعات امنیتی و مدیریت رویدادها SIEM با Splunk

اطلاعات امنیتی و مدیریت رویدادها یا SIEM یک نرم‌افزار متمرکز بر امنیت سیستم‌هاست. این تکنولوژی ترکیبی از ابزارهای مدیریت اطلاعات امنیتی یا SIM و مدیریت رویدادهای امنیتی یا SEM است. این ترکیب امکان انجام تحلیلات Real-Time و آفلاین داده‌های ماندگاری برای مدت زمانی طولانی قابل بازیابی هستند را فراهم می‌کند.

همه چیز با جمع‌آوری داده‌ها آغاز می‌گردد و در اینجا SIM پا به میدان می‌گذارد، بسته به ابزار خاصی که استفاده می‌کنیم، می‌توان بطور فعال داده‌ها را انتقال داده یا آنها را به محض نیاز در یک مکان متمرکز آپلود نمود. انتخاب هر یک از ابزارها بجای دیگری تعیین کننده این است که آیا ما تحلیلات Real-Time را انجام می‌دهیم یا با استفاده از داده‌های گذشته تحلیلات جرم‌شناسی را پیش می‌بریم. زمانی که داده‌ها را بارگذاری می‌کنیم می‌توانیم جستجوی عیب‌یابی را شروع نموده و گزارشات و مجازی‌سازی‌ها را ایجاد کنیم تا داده‌های جمع‌آوری شده را درک کنیم.

زمانی که SEM آغاز به کار می‌کند اوضاع جالب می‌شود. پس از آنکه الگوها را در داده‌ها شناسایی نمودیم، می‌توانیم میان داده‌ها همبستگی ایجاد کنیم تا اعلان‌ها و اقدامات را براساس قوانینی که تعریف نمودیم خودکارسازی نماییم. به عنوان مثال، می‌توانیم قوانین را طوری تنظیم کنیم که در صورت وقوع خطاهای زیاد 404، یک هشدار راه‌اندازی گردد. با نگاهی به Logها، می‌توان میان درخواست‌ها همبستگی ایجاد نمود تا فهمید کسی سعی داشته تا روزنه‌ای برای نفوذ به سیستم پیدا کند.

در اینجا می‌توان تمامی مواردی که به آنها اشاره شد را به تنهایی اجرایی نمود. با این حال، ابزارهایی وجود دارند که به شروع کار ما کمک می‌کنند، در نتیجه ما می‌توانیم توجه خود را بر استفاده از داده‌ها متمرکز کنیم تا امنیت سیستم را بهبود بخشیم. Splunk ابزار SIEM است که ما آن را پیشنهاد می‌کنیم، اما چرا باید آن را انتخاب کرد؟

بیشتر بخوانید: نگاهی به پنج ویژگی برتر SIEM در سال 2021، بررسی و تحلیل آن ها

چرا Splunk برای SIEM؟

طبق گزارش Gartner، ابزارهای زیادی برای SIEM وجود دارد اما Splunk از همه آنها بهتر است. با Splunk می‌توان داده‌ها را در یک فرمت استاندارد جمع‌آوری، مجزا و ذخیره‌سازی نمود تا تحلیل آنها آسان‌تر باشد. همچنین می‌توان اعلان‌های خودکار را با هشدارها و گزارشات تنظیم نمود، میان داده‌ها و جستجو‌ها همبستگی ایجاد کرد و با داشبوردها تصویرسازی ایجاد نمود. واقعا مهم نیست که منابع داده‌ها چه هستند؛ می‌توان داده‌ها را بطور Real-Time یا به محض نیاز جمع‌آوری نمود. می‌توان Splunk را در هر ارائه دهنده Cloud، On-Premises یا ترکیبی از هردو نصب و تنظیم نمود. اگر نمی‌خواهیم تا Splunk را خودمان مدیریت کنیم، آنها یک گزینه As-a-Service نیز دارند.

بیشتر بخوانید: آشنایی با قابلیت های FortiSIEM و نحوه شناسایی تهدیدات Insider

اما طبق گزارش Gartner، آنچه که باعث می‌شود Splunk بهتر از سایرین باشد چیزی است که Splunk آن را «برنامه‌های کاربردی» و سایر خدمات تخصصی امنیتی تلقی می‌کند. این برنامه‌های کاربردی مجموعه‌ای از جستجوها، هشدارهای پیش‌ساخته، گزارشات و داشبوردها را فراهم می‌سازد تا بتوانیم به سرعت داده‌ها را تحلیل کنیم. این برنامه‌های کاربردی شامل PCI Compliance، Stream، Security Essentials، Analytics for Hadoop و Machine Learning Toolkit می‌شود. همچنین می‌توان از سرویس‌هایی مانند Enterprise Security یا User Behavior Analytics استفاده نمود.

ذخیره‌گاه متمرکز داده‌ها

اگر بخواهیم در امر امنیت فعال و آینده‌نگر باشیم، باید تمامی داده‌های خود را در یک موقعیت متمرکز ذخیره کنیم. مطالعه و تلاش بر درک فرمت‌های مختلف از منابع مختلف امری ضروری است. بجای آن، از Splunk استفاده می‌کنیم تا بتوانیم داده‌های خود را در یک مکان ذخیره و تحلیل کنیم. داشتن یک ذخیره‌گاه متمرکز درصورت نیاز به پشتیبانی از ذخیره‌ساز طولانی مدت، به دلایل انطباقی حائز اهمیت است.

Splunk با تبدیل داده‌ها به رویدادهای دارای زمان رخداد، تحلیل داده‌هایی که بصورت متمرکز ذخیره شده‌اند را آسان‌تر می‌نماید. این تکنولوژی چنین امری را با مجزاسازی داده‌ها به منظور شناسایی Break Lineها و فیلدهای پیش‌فرض، کدگذاری کاراکترها، تنظیم زمان رخداد درصورت عدم وجود فیلد داده‌ها و حتی پوشش برخی داده‌ها انجام می‌دهد. سپس تمامی این داده‌ها بصورت موثر به کلاستر توضیع می‌شوند تا سرعت جستجو و Indexنمودن بالا بماند. این فرآیند Indexing نام دارد و Splunk بسته به حجم Indexکردن هزینه دریافت می‌کند. می‌توان با استفاده از Forwarderها داده‌ها را به Splunk انتقال داد یا همانطور که پیش‌تر به آن اشاره شد، بطور دستی داده‌ها را به محض نیاز آپلود کرد. پیشنهاد می‌شود که شروع به آپلود دستی داده‌ها کرده و خود را با چگونگی مطالعه داده‌هایمان از سوی Splunk آشنا نمود. زمانی که داده‌های خود را در Splunk بارگذاری نمودیم، می‌توانیم جستجوها، گزارشات و تصویرسازی‌ها را انجام دهیم.

تحلیل امنیتی Real-Time

اگر مشکلات امنیتی زیاد شوند باید هر چه زودتر به آنها رسیدگی نمود. چه اتفاقی رخ میداد اگر می‌توانستیم از مانیتورکردن Real-Time بهره ببریم تا به مشکلات امنیتی به محض وقوع رسیدگی کنیم؟ Splunk این امکان را فراهم می‌سازد.

Splunk می‌تواند با قابلیت هشداردهی خود ما را از حملات Brute-Force و سایر نفوذها آگاه سازد. می‌توان هشدارها را طوری تنظیم نمود تا به هنگام اعلام نتیجه یک جستجو ذخیره‌شده از طریق ایمیل به ما اعلان دهند. به عنوان مثال، جستجوی ذخیره شده می‌تواند یک عبارت رایج باشد که به دنبال داده‌های حساس مانند رمزهای عبور یا اعداد امنیتی باشد است؛ اگر داده‌های حساسی Log شوند که ممکن باشد تطبیق پذیری را تحت خطر قرار دهند، ما متوجه آن خواهیم شد. همانطور که نحوه عملکرد برنامه کاربردی خود را می‌آموزیم، می‌توانیم قواعد بیشتری وضع کنیم که به ما امکان پاسخگویی سریع‌ به حملات یا آسیب‌پذیر‌ها را بدهند.

بهبود امنیت با استفاده از داده‌های Log

در نهایت باید به خاطر داشته باشیم که SIEM نه یک نرم‌افزار است نه یک ابزار بلکه داشتن یک ابزار مناسب (مانند Splunk) اجرایی ساختن SIEM را آسان‌تر می‌کند. همانطور که Grady Booch می‌گوید: یک ابزار بدون فکر به درد نمی‌خورد. تنها به واسطه اینکه کسی کارکرد داخلی Splunk را بداند به آن معنا نیست که می‌داند چگونه با استفاده از SIEM داده‌ها را جمع‌آوری کند. باید درک کند که چرا و چگونه از SIEM باید استفاده کرد و اینکه چه داده‌هایی برای کسب‌وکار ما اهمیت دارند. وظیفه ماست تا قواعد همبستگی را از این داده‌ها وضع کنیم و ما کسی هستیم که به بهترین شکل می‌تواند داده‌های خود را بررسی کند.

باید مراقب داده‌هایی که جمع‌آوری می‌کنیم باشیم. برخی از داده‌ها ممکن است دیگر مرتبط نباشند و در این صورت باید آن داده‌ها حذف شوند تا در هزینه‌ها صرفه‌جویی شده و از نویز کاسته شود. اما نباید بگذاریم ترس از داده‌ها بسیار ما را از Log نمودن باز دارند.  اگر به امنیت اهمیت می‌دهیم، باید به Logکردن داده‌هایی که به نظر مفید هستند ادامه دهیم.    

شرکت امن پایه ریزان کارن ( APK) تجربیات ارزنده ایی در طراحی و پیاده سازی موفق این نرم افزار در سازمان ها و بانک های مختلف را دارد. این شرکت با دانش متخصصان خود در این حوزه و همچنین تهیه و ارائه مدل های مختلف فعال سازی این محصول با قیمت مناسب برای سازمان ها و بانک های محترم، آمادگی لازم جهت برگزاری جلسات فنی در خصوص اجرا و پیاده سازی این محصول بسیار ارزنده در حوزه SIEM/SOC را دارا می باشد تا سازمان ها بتوانند با خیال راحت این سرویس را درون سازمان خودشان عملیاتی کنند. برای کسب اطلاعات بیشتر با ما تماس بگیرید.         

مقاله های مرتبط: