اشتراک مقالات

راه اندازی مرکز عملیات امنیت یا SOC با اسپلانک – قسمت دوم (پایانی)

2004 مشاهده 2 20 دی, 1398

راه اندازی مرکز عملیات امنیت یا SOC با اسپلانک

برای راه اندازی راه اندازی  SOC با اسپلانک ، در قسمت اول این مقاله به بررسی برخی از ویژگی‌های بنیادین Splunk برای ایجاد SOC پرداختیم. در این قسمت نیز به بررسی ماژول‌های تکمیل کننده‌ Splunk و تفاوت‌هایی که ایجاد میکنند، می پردازیم و سپس در پایان به بهترین راهکارهای موجود برای راه اندازی SOC خواهیم رسید.

لایسنس اسپلانک

عملکرد Splunk در SOC

محصولات Splunk یک پلتفرم هوش امنیتی انعطاف‌پذیر و پرسرعتی ارائه می‌دهند که باعث افزایش کارآیی فرآیندها و پرسنل SOC می‌شود. با نرم‌افزار Splunk تمامی پرسنل SOC می‌توانند به داده‌ها و اطلاعات لازم جهت شناسایی، بررسی و اصلاح سریع تهدیدات به‌سرعت دسترسی پیدا کنند. تحلیلگر Tier اول می‌تواند محصولات Splunk را جهت تحقیق اولیه بر اساس یک بازة زمانی، واژة کلیدی، آدرس IP یا نام ماشین مورد استفاده قرار دهد. تحلیلگرهای Tierهای دوم و سوم می‌توانند با استفاده از همین محصولات جهت اجرای عملیات پیشرفتة همپوشانی داده‌ها در سراسر داده (Cross-data Source Correlations)، ایجاد مدل‌های تجزیه و تحلیل جهت شناسایی اختلال و داده‌های خارج از محدوده یا اجرای عملیات پیشرفته جرم‌شناسی روی یک ماشین در معرض آسیب، را انجام دهند. Splunk Enterprise Security نیز در دسترس است و ماژول‌های ازپیش‌ایجادشده، گزارش‌ها، Feedهای تهدیدات هوشمند، شناسایی اختلال، رتبه‌بندی ریسک و چارچوب بررسی حادثه را فراهم می‌کند. Splunk User Behavior Analytics (تجزیه و تحلیل رفتار کاربر Splunk) نیز می‌تواند به عنوان یک لایة شناسایی دیگر اضافه شده و مورد استفاده قرار گیرد. این لایه از یادگیری ماشینی نظارت‌نشده استفاده می‌کند تا تهدیدات داخلی و خارجی ناشناس و پیشرفته را شناسایی کند.

مزایای استفاده از Splunk Enterprise Security در سازمان ها

به علاوه، نرم‌افزار Splunk می‌تواند به خودکارسازی فرآیندها و Playbookهای واکنش به حادثه کمک کند تا زمانی که صرف اصلاح می‌شود کاهش یافته و کارآیی بالا رود. با سفارشی‌سازی نرم‌افزار Splunk جهت خودکارسازی فرآیندهای واکنش به حادثه که به‌صورت دستی انجام می‌شود، می‌توان این کار را انجام داد. برای نمونه، می‌توان در Splunk Enterprise یک رابط کاربری ایجاد نمود؛ بدین صورت تحلیلگر می‌تواند صرفا با وارد کردن چند تاریخ و یک IP یا نام کاربری یا نام Host تمام اطلاعات مربوط به موجودیت مورد نظر را به دست آورده و با سرعت بیشتری به بررسی حادثه بپردازد. همچنین کاربران می‌توانند فرایندهای یک کلیکی را به Splunk UI اضافه کنند در نتیجه می‌توان با کلیک بر یک رویداد دلخواه با آدرس IP جهت بازیابی خودکار یک فایل PCAP، برای آن IP از یک ابزار Captureکننده Packet Third-Party، اشاره کرد.

راه اندازی SOC با اسپلانک  برای ساختارهایی که به مقیاس‌پذیری و سرعت بالا نیاز دارند مناسب است. این نرم‌افزار از Datastore فایل Flat (و نه یک پایگاه دادة نسبی)، جست‌وجوی توزیعی (Distributed Search) و نصب‌ بر انواع سخت‌افزار استفاده نموده است و نیز برای رسیدگی به بزرگ‌ترین و سخت‌ترین فعالیت‌های‌ SOCهای یک سازمان به صورت مقیاس پذیر ارائه گردیده است. نرم‌افزار Splunk همچنین می‌تواند روزانه بیش از 100 ترابایت داده را Index کرده و در عرض چند ثانیه مجموعه‌های حجیمی از داده را جست‌وجو کند.

تکامل SIEM با اسپلانک

نرم‌افزار Splunk می‌تواند جایگزین یا مکمل یک SIEM در SOC باشد. این نرم‎‌افزار را می‌توان به صورت کاملا مستقل از یک SIEM موجود مورد استفاده قرار داد یا زیرمجموعه‌ای از داده‌های آن را مستقیما به  به یک SIEM فرستاد. در این دو سناریو، SIEM موجود معمولا برای همپوشانی‌ها، هشداردهی و گردش کار حادثه مورد استفاده قرار می‌گیرد، در حالی که از نرم‌افزار Splunk اساسا برای بررسی/جرم‌شناسی عمیق حادثه و تجزیه و تحلیل پیشرفته استفاده می‌شود.

جهت مشاوره و راه‌اندازی نرم‌افزار Splunk با شماره 88539044-021 تماس بگیرید.

سناریوی سومی نیز وجود دارد که در آن SIEM موجود داده‌ها را به این نرم‌افزار ارسال می‌کند و پلتفرم Splunk تمامی Use Caseها را بررسی می‌کند. این سناریو معمولا زمانی وجود دارد که Collectorهای SIEM از قبل روی صدها یا هزاران Host موجود بوده و حذف یا جایگزین کردن آن‌ها مشکل باشد.

شرکت APK نخستین شرکت دانش محور در اجرای پروژه های انفورماتیکی کشور    تماس با کارشناسان 021-88539044-5

بهترین راهکار مانیتورینگ

در ارتباط با فرآیند و پرسنل SOC مسائل دیگری از جمله موارد زیر وجود دارند که باید مورد ملاحظه قرار گیرند:

  • یک موقعیت مکانی و چند موقعیت مکانی: مدیریت SOC از یک مکان یا چند مکان مزایایی دارد. اگر SOC از چند مکان مدیریت شود، با بهره‌وری از نیروی کار ارزان‌تر در بازار کار ارزان‌تر، هزینه‌ها کاهش خواهد یافت، اما معمولا SOCها در یک مکان متمرکز می‌شوند تا انتقال اطلاعات میان پرسنل آن‌ها بهتر صورت گیرد.
  • زمانی که صرف استخدام کارکنان می‌شود: خیلی از SOCها در ابتدا روزانه هشت ساعت و در هفته پنج روز کارمند استخدام می‌کنند اما همچنان که رشد می‌کنند، این امر به فرآیندی شبانه‌روزی مبدل می‌شود. اگر کارکنان طی چندین شیفت کار کنند، فرآیندهایی باید صورت گیرد تا از همزمانی شیفت‌ها و انتقال آسان فعالیت‌های جاری از شیفتی به شیفتی دیگر اطمینان حاصل شود.

بیشتر بخوانید: ارائه‌ی راهکار SOC به عنوان سرویس توسط شرکت Fortinet

چند مورد از بهترین راهکارهای عمومی SOC عبارت است از:

  • گروه‌های سازمانی و IT خارج از SOC در فرآیندهای آن به کار گرفته شوند تا این منابع خارجی به هر دو فرآیند مدل‌سازی تهدید و بررسی یا اصلاح حادثه کمک کنند.
  • فرآیندهایی طراحی شوند تا اطمینان حاصل گردد که موارد آموزشی SOC در خود SOC ثبت شود که به بقیة سازمان مرتبط است. این یادگیری‌ها ممکن است کاربر را به ایجاد تغییراتی نظیر تنظیمات پیکربندی نرم‌افزار، اصلاح قواعد همپوشانی SIEM، آموزش بیشتر کاربران نهایی و اصلاح فرآیندهای ناامن سازمان وادار کند.
  • فرایندهای SOC باید هرجا که ممکن است با استفاده از تکنولوژی، خودکارسازی و کارآمدتر شوند.
  • Red Team و اقدامات همانندسازی می‌توانند به کسب اطمینان از کارکرد درست فرآیندها کمک کرده و نیز می‌توانند شکاف‌های امنیتی‌ای را که باید مورد بررسی قرار گیرند، بیابند.

مقاله های مرتبط:

SIEM چیست | نحوه عملکرد و کاربرد SIEM در شناسایی تهدیدات - قسمت اول
SOC چیست | نحوه کاربرد و پیاده سازی موفق آن چگونه است؟
Security Operations Center یا مرکز عملیات امنیت چیست و چه مزایایی دارد
 بررسی قابلیت ها و امکانات Splunk Enterprise Security یا Splunk ES
دلایل نیاز ISPها به Splunk - قسمت اول
راه اندازی مرکز عملیات امنیت یا SOC با اسپلانک - قسمت اول
مزیت‌های اصلی داشتن یک مرکز عملیات امنیت (SOC) چیست؟
برچسب ها : مزایای Splunkمزایای اسپلانکپیاده سازی SOC با اسپلانکنحوه راه اندازی مرکز عملیات امنیتنحوه راه اندازی SOC

مطلب مفید بود؟

 
بیشتر بخوانید