راهكار Splunk SOAR و بررسی موارد کاربرد این راهکار در امنیت سایبری – قسمت اول

مرکز عملیات امنیتی یا SOC بصورت مداوم با حجم زيادی از داده ها و اطلاعات مواجه هستند، تحليلگران بايد به تهديدات فراوان رسيدگی کرده و به هشدارهاي امنيتی توجه کنند، امور مرتبط با عمليات امنیتی به ویژه در سطح تحلیلگری لايۀ اول مملو از این نوع وظایف یکنواخت، معمول و تکراری است. بدتر از همه اين كه تعداد متخصصان امنیت سایبری به‌طور قابل‌توجهي پايين بوده که پاسخگويي به هزاران هشدار روزانه را سخت‌تر مي‌كند.

مجموع اين مسائل باعث مي‌شود شاسايی تهديد و پاسخ به آن بسيار آهسته صورت گيرد كه اين موضوع کسب‌وکار یا ایمن نگه‌ داشتن کاربران و دارایی‌ها را با مشكل روبه‌رو مي‌كند. خبر خوب اين است كه تیم امنیتی با راهكار Splunk SOAR ديگر تحت‌فشار نخواهد بود و موارد مشکل زا می تواند تحت‌كنترل در‌آيد. با اين راهكار مي‌توان بيگاري و بيهوده‌كاري را حذف و عمليات امنيتی را ساده كرد و همچنين می توان به هشدارها طبق اولويت و سريعتر از هميشه رسيدگی كرد و به آن‌ها پاسخ داد.

تنظيم و هماهنگ‌سازی امنیتی، خودكارسازی و پاسخ، Security orchestration, automation and response یا SOAR می‌تواند حتی به پيش‌پاافتاده‌ترين و ساده‌ترين تسك‌ها بپردازد. هر فرآیندی که شامل تشخيص، بررسی، مهار یا حتی موارد لجستیکی، مانند ارتباطات عملياتی متقابل می‌شود، می‌تواند در بسیاری از ابزارهای IT و امنیتی در اختيار، تنظيم و بدون هیچ گونه دخالت انسان، خودکار شود. در این مقاله رايج‌ترين موارد كاربردی راهکار SOAR، مراحلی برای هر مورد بايد طی شود و نحوۀ خودکارسازی این مراحل با استفاده از شيوه‌نامه‌ای كه Splunk SOAR در اختيار كاربران قرار داده است، بررسی می شود.

آشنایی با راهکار Splunk Phantom، یکی از بهترین راهکارهای SOAR

ویدیوهای بیشتر درباره Splunk

غنی‌سازی هشدار

وقتی صحبت از بررسی هشدارهای امنیتی می‌شود، اولین کار تحلیلگر این است که شاخص‌های حملات امنيتي یا IOC مانند آدرس IP، URL، نام کاربری، دامين، Hash  و سایر معیارهای مرتبط را بررسي كند. این به تعیین شدت هشدار کمک می‌کند. بسياري از تحليلگران پس از اين مرحله عميقاً داده‌ها را بررسي مي‌كنند تا مطالب بيشتري حول موضوع بيابند، يا از يك پلفترم هوش تهديدات به پلتفرم ديگری می روند تا اطلاعات بيشتری جمع‌آوري كنند.

بیشتر بخوانید: بررسی شش گام مهم برای یک پلتفرم امنیتی بهینه همراه با Splunk

در راهکار SOAR یک ابزار SOAR به راحتی می‌تواند اطلاعات چند ابزار درون SOC را با هم ترکیب کند، داده‌های هشدار را غنی کرده و آن‌ها را در یک رابط واحد قرار دهد. با خودکارسازی فرآیند جمع‌آوری و غنی‌سازی داده‌ها از منابع مختلف، تحلیلگر می‌توانند جزئیات ارزشمند مربوط به هشدار را به محض ظاهر شدن مشاهده کند. تنظيم و خودكارسازی به تحلیلگران کمک می‌کند تا هشدارهای امنیتی را بسیار سریع‌تر بررسی کرده و به آن‌ها پاسخ دهند، و همچنین داده‌هایی را كه تحليلگران از طریق جمع‌آوری اطلاعات از منابع مختلف در یک مکان جمع‌آوری می‌کنند، غنی می‌کند.

Recorded Future Indicator Enrichment Playbook رویدادهای Ingestشده را كه شامل فايل‌های هش، آدرس‌های IP، نام‌های دامين يا URLهاست جمع‌آوری می كند. قرار دادن این جزئیات در بافت اطلات هوش تهديدات مرتبط و IOC به تسریع بررسي‌ها کمک می‌کند.  Recorded Future یک پلتفرم هوش امنیتی است که اطلاعات زمينه‌ای بيشتری برای تحلیلگران فراهم می‌کند تا به تهدیدات سریعتر پاسخ دهند.

در اين شيوه‌نامه اقدامات زير معرفی شده‌اند:

• هوش دامين: دريافت هوش تهديدات برای يك دامين
• هوش فایل: دريافت هوش تهدیدات برای فایلی که با Hash آن مشخص شده است
• اطلاعات IP: دريافت هوش تهدیدات برای يك آدرس IP
• هوشمندی URL: دريافت اطلاعات تهدید برای يك URL، با اين قابليت‌ها، كاربران می توانند به جای سخت كار كردن، هوشمندتر كار كنند.

Splunk SOAR  تسك‌های مكرر مانند هشدار را خودكار می كند تا تحلیلگران امنیتی قبل از شروع بررسی هرآنچه را که باید در مورد هشدار بدانند در اختیار داشته باشند. كاربران می توانند از اين شيوه‌نامه موجود در راهکار SOAR استفاده كنند تا در هر بررسی به تجزيه‌وتحليل سريع دست يابند.

بیشتر بخوانید: بررسی اطلاعات امنیتی و مدیریت رویدادها SIEM با Splunk

بررسی Phishing و واكنش به آن

گزارشی كه Verizon1 با عنوان Data Breach Investigations Report در سال 2021 منتشر كرده است، نشان می‌دهد که Phishing  هنوز یکی از دلایل اصلی نقض امنيتي در دو سال گذشته است. حملات Phishing همچنان یکی از فراگیرترین تهدیدهایی است که امروزه سازمان‌ها با آن مواجه هستند.

روند معمول بررسی ايميل فيشينگ با تجزيه و تحليل داده‌های اوليه و جستجوی موارد مصنوعی آغاز می شود. برخی از موارد مصنوعی در دست بررسی عبارتند از پیوست‌های درون ایمیل، لینک‌های Phishingای كه در ظاهر شبيه URLهای قانونی است، سرصفحه‌های ایمیل، آدرس ایمیل فرستنده، و حتی کل محتوای ایمیل. اگر تشخيص داده شود كه ايميل مخرب است، تحلیلگر امنیتی می ‎‌بايست به مهار آن اقدام کند و نگذارد اعضای سازمان در دام اين حمله بيفتند. معمولاً تحلیلگر امنیتی می‌تواند ایمیل را از Inbox کاربر حذف کند، امید است اين كار را قبل از آن كه کاربر فرصتی برای باز کردن ايميل داشته باشد، انجام دهد. حال تصور كنيد همه اين مراحل برای هر هشدار Phishing  به‌صورت دستی و دانه‌دانه انجام شود.

شرکت APK تجربیات ارزنده ایی در طراحی و پیاده سازی موفق این نرم افزار در سازمان ها و بانک های مختلف را دارد. این شرکت با دانش متخصصان خود در این حوزه و همچنین تهیه و ارائه مدل های مختلف فعال سازی این محصول با قیمت مناسب برای سازمان ها و بانک های محترم، آمادگی لازم جهت برگزاری جلسات فنی در خصوص اجرا و پیاده سازی این محصول بسیار ارزنده در حوزه SIEM/SOC را دارا می باشد تا سازمان ها بتوانند با خیال راحت این سرویس را درون سازمان خودشان عملیاتی کنند. برای کسب اطلاعات بیشتر با ما تماس بگیرید. 

مقاله های مرتبط: