Splunk Enterprise Security

 مروری کلی بر نرم‌افزار Splunk

Splunk اهرمی در حفظ امنیت و پیاده سازی SIEM

نرم‌افزار Splunk دارای سیستم امنیت مبتنی بر تجزیه و تحلیل هوشمند بوده که شامل فرآیند کشف و شناسایی روابط در کلیه داده‌های مرتبط با حوزه امنیت شامل داده‌های زیرساخت‌های IT، محصولات مختلف امنیتی و تمامی داده‌های ماشینی بوده و هدف آن انطباق سریع با تغییرات در تهدیدات و رویارویی با تهدیدات پیشرفته می‌باشد بدین ترتیب که تهدیدات را در کسری از ثانیه شناسایی، تجزیه و تحلیل و در نهایت به آنها پاسخ خواهد داد.

شرح مختصری از قابلیت‌های مختلف Splunk در راستای قدرت‌بخشی به SOC در ابعاد مختلف با پلتفرم هوش امنیتی سریع و انعطاف‌پذیر :

1. شناسایی، بررسی و گزارش بلادرنگ موارد کلاهبرداری و سوء ‌استفاده
2. افزایش اثربخشی فرآیندها و پرسنل SOC
3. دارای قابلیت پیاده‌سازی به صورت Cloud، On-Premise و ترکیبی از این دو حالت
4. قابلیت مقیاس‌پذیری و چابکی
5. مدیریت SOC از یک یا چندین موقعیت مکانی مختلف و دستیابی به بهره‌وری‌ در هزینه‌ها

Splunk و ارتقا SIEM

ارتقاء پیاده‌سازی‌های فعلی SIEM در اندازه‌های مختلف سازمانی و فعال‌سازی مراکز عملیات امنیت (SOC) با اندازه‌های مختلف

• راهکارهای مختلف نرم‌افزار Splunk در تکمیل پیاده‌سازی‌های فعلی SIEM

• از Splunk می‌توان برای موارد کاربرد SIEM در سطح enterprise شامل «بازنگری رویداد، پشتیبانی مدیریت رویداد، تجزیه و تحلیل و جمع‌آوری اطلاعات رفتاری و بررسی آن، هوش تهدید و جستجوی موردی» استفاده برد.
• دارای پلتفرم هوش امنیتی کاملاً یکپارچه و مبتنی بر Big Data و قابلیت تجزیه و تحلیل هوشمند حجم انبوهی از داده‌های نرمال و قابل اطمینان کاربر علاوه بر تمامی قابلیت‌های راهکار سنتی SIEM
• در شرکت‌های بزرگ می‌توان از این تکنولوژی برای طیف کاملی از عملیات‌های امنیت اطلاعات نظیر «ارزیابی وضعیت امنیت، مانیتورینگ، کنترل رویداد و هشدار، CSIRT، تحلیل و بررسی نقض داده‌ها، پاسخ‌گویی به تهدید، همبستگی‌های بین رویدادها، جستجوهای زمینه‌ای و تحلیل و شناسایی سریع تهدیدات پیشرفته»، ساده‌سازی روند مدیریت تهدیدات، کاهش ریسک‌ها و حفظ امنیت کسب‌و‌کار از ابتدای کار راه‌اندازی این سیستم استفاده نمود.

مدیریت تهدیدات و رخدادهای امنیتی

1. بهبود وضعیت امنیتی با قابلیت دید End-to-End در سراسر داده‌های ماشینی

• مانیتورینگ مستمر به صورت بلادرنگ (Real-Time)
• بهبود وضعیت و فرایندهای امنیتی از قبیل مانیتورینگ امنیتی، اولویت‌بندی، پاسخگویی، کنترل و اصلاح تهدیدها و همچنین فرایند بررسی تهدیدات
• تصمیم‌گیری‌های آگاهانه‌تر با بهره‌گیری از هوش تهدیدات

2. قابلیت‌های متعدد در بررسی رویدادها

• اولویت‌بندی رویدادها و اقدام بر روی آن‌ها
• مدیریت فعالانه و پیگیری وضعیت امنیتی
• بازنگری رویداد و دسته‌بندی و تغییر وضعیت و حساسیت رویدادها و ممیزی، مانیتور و پیگیری تغییر وضعیت‌ها
• محافظت از Endpoint
• ارتقا بخشی فرآیند تصمیم‌گیری و همراستایی وضعیت ریسک با کسب‌و‌کار

3. بهینه‌سازی عملیات‌های امنیتی با زمان پاسخ‌گویی کوتاه‌تر و پیگیری پیشگیرانه تهدیدات

4.ساده‌سازی روند مدیریت تهدیدات

• پیگیری مراحل مختلف تهدید پیشرفته، مرتبط ساختن توالی رویدادها و فعال‌سازی اصلاحات با استفاده از تحلیل Kill Chain
• شناسایی و بررسی انواع تهدیدهای شناخته شده و ناشناخته، تعیین موارد تطبیقی در بروز تهدیدات و دستیابی به دیدی جامع‌ و کامل با استفاده از تجزیه و تحلیل‌های پیشرفته امنیتی و فرآیند پاسخ‌گویی تطبیقی (adaptive response initiative)
• امکان نمایش خودکار موارد تطابق یا عدم تطابق در بروز تهدیدات با وجود قابلیت گزارش‌گیری و قواعد همبستگی
• مدیریت log و پشتیبانی از غنی‌سازی داده‌های log

انجام Benchmarking در پیاده سازی SIEM

معیارهای انجام Benchmarking به منظور تصمیم‌گیری در پیاده سازی SIEM

معیارهای ارزیابی SIEM جدید یا ارزیابی مجدد یک SIEM قدیمی در شرایط جدید:

کاربرد Splunk با اهداف مختلف در راه‌اندازی SIEM

1. دستیابی به SIEM در سطح پایه با Splunk Enterprise و Splunk Cloud
2. دستیابی به SIEM پیشرفته با Splunk Enterprise Security
3. وجود بیش از 300 برنامه امنیتی ، افزونه و امکانات دیگر در Splunk با قابلیتهای نظیر جستجوهای ازپیش‌تعریف‌شده، گزارش‌گیری و تصویرسازی، مانیتور کردن امنیت، فایروال‌های نسل بعدی (Next-Generation Firewall) ، مدیریت تهدیدات پیشرفته و ….