Splunk ES یا Splunk SIEM چیست؟

اسپلانک با داشتن قابلیت های متنوع مانند داشبوردها، نمودارها و هشدارها یکی از بهترین راه حل ها برای جمع آوری و نظارت بر انواع داده های سازمانی است. رابط کاربری پیشرفته، جستجو، تحلیل و بررسی ریشه حوادث و نظارت بر معیارهای کلیدی کسب و کار از ویژگی های مهم اسپلانک است. پیچیدگی و سرعت تهدیدات سایبری اخیر اما باعث شده تا عرضه کنندگان محصولات امنیتی به طور دائم به دنبال ارائه راه حل های جدید باشند و Splunk ES یا Splunk SIEM یکی از این راه حل هاست. در ادامه این مقاله درباره این محصول از اسپلانک صحبت می کنیم. با ما در ادامه این مقاله همراه باشید.

SIEM چیست؟

همان طور که در مقاله «SIEM چیست و چه کاربردهایی دارد؟» توضیح دادیم، سیستم های SIEM پاسخی به تهدیدات روزافزون و متنوع سایبری بود که در سال 2005 با تجمیع سیستم های Security Information Management و Security Event Management ارائه شد. سیستمهای SIEM توانستند با متمرکز کردن، نرمال سازی و تجزیه و تحلیل داده ها از منابع مختلف، خطرات امنیتی بالقوه را شناسایی کنند. این امر به تیم های امنیتی امکان داد تا در مواجهه با حجم روبه رشد ترافیک در زیرساخت های پیچیده فناوری اطلاعات، کارآمدتر و مؤثرتر عمل کنند. در حال حاضر، مدیریت اطلاعات و رویدادهای امنیتی (SIEM) یک راه‌حل قدرتمند در حوزه امنیت سایبری است که نه تنها بر رویدادهای امنیتی نظارت دارد بلکه تحلیلی جامع و بلادرنگ از وضعیت امنیتی یک سازمان ارائه داده و تهدیدات پیشرفته را شناسایی کرده و به آن ها پاسخ می دهد. محصول Splunk Enterprise Security یا به اختصار Splunk ES یکی از انواع مختلف پیاده سازی شده از این سیستم هاست. البته اسپلانک سه محصول مختلف قابل استفاده برای SIEM دارد که Splunk ES به عنوان راه حل اختصاصی این شرکت برای پیاده سازی یک سیستم SIEM شناخته می شود. در ادامه درباره انواع محصولات اسپلانک بیشتر توضیح می دهیم.

استفاده از Splunk به‌عنوان سیستم SIEM

در مقاله «اسپلانک چیست؟» درباره اسپلانک، معماری آن، ویژگی ها و قابلیت ها و کاربردهای آن به طور مفصل صحبت کردیم. یکی از کاربردهای اسپلانک استفاده از آن به عنوان یک سیستم SIEM است. راه‌حل‌های امنیتی Splunk نیازهای اساسی سیستم‌های SIEM را برآورده می‌کنند و با ارائه تحلیل‌های بصری، زمینه و بینش مورد نیاز در مورد حوادث امنیتی را فراهم می‌کنند.

Splunk گزینه‌های پیاده‌سازی محلی، ابری یا ترکیبی را برای کسب‌وکارهایی که به دنبال راه‌اندازی یک SIEM جدید یا مهاجرت از یک سیستم SIEM موجود هستند، ارائه می‌دهد. شما می‌توانید یکی از سه راه‌حل Splunk را برای راه‌اندازی یک SIEM انتخاب کنید:

1. 1. Splunk Enterprise: این محصول قابلیت‌های اصلی ایندکس‌گذاری داده و جستجو را فراهم کرده و در کنار آن قابلیت‌های پایه SIEM را در یک مدل پیاده‌سازی در محل (On-Premises) مهیا می کند.
2. Splunk Cloud: این محصول همان ویژگی های Splunk Enterprise و نیز قابلیت‌های پایه SIEM را در یک مدل پیاده‌سازی ابری (Cloud) ارائه می‌دهد.
3. Splunk Enterprise Security (ES): این محصول راه‌حل پیشرفته اسپلانک برای پیاده سازی یک سیستم SIEM است که بر پایه Splunk Enterprise ساخته شده است. این محصول با افزودن یک لایه از ویژگی‌ها، ابزارها و محتوای خاص امنیتی به Splunk Enterprise ساخته شده و می‌تواند هم بر روی Splunk Enterprise و هم بر روی Splunk Cloud پیاده‌سازی شود و قابلیت‌های پیشرفته‌تری برای استفاده از SIEM را فراهم کند. Splunk ES به تیم‌های امنیتی ابزارهای لازم برای نظارت بر رویدادها، تحلیل تهدیدات و مدیریت حوادث را ارائه می‌دهد و به آن‌ها کمک می‌کند تا در زمان واقعی به تهدیدات پاسخ دهند.

برای امکانات پایه ای SIEM از هر دو محصول Splunk Enterprise و Splunk Cloud می توان استفاده کرد. اما اگر ویژگی ها و امکانات پیشرفته تری از SIEM را بخواهید، باید محصول Splunk Enterprise Security را انتخاب کنید.

Splunk Enterprise به عنوان سیستم SIEM

این محصول همان طور که گفته شد، قابلیت های پایه‌ای برای جمع‌آوری داده، ایندکس‌گذاری و جستجو در منابع داده ای مختلف را فراهم می‌کند. هرچند می‌تواند برای طیف وسیعی از موارد استفاده فراتر از امنیت، از جمله عملیات IT، مدیریت برنامه‌ها و تحلیل‌های تجاری نیز استفاده شود. در کنار این قابلیت ها همچنین، می‌تواند برای عملکردهای پایه SIEM، مانند جمع‌آوری لاگ ها، جستجوهای موردی برای شناسایی نقص ها و تحلیل لاگ‌های امنیتی، مورد استفاده قرار گیرد.

Splunk Enterprise Security (ES) به عنوان سیستم SIEM

تمرکز محصول Splunk ES کاملا بر روی امنیت سازمان است. به عبارت دیگر، این محصول که به عنوان لایه ای امنیتی روی Splunk Enterprise ساخته شده، به‌طور خاص برای تیم‌های امنیتی و موارد استفاده امنیتی طراحی شده است و شامل ویژگی‌هایی مانند جستجوهای همبستگی، ایجاد رویدادهای قابل توجه، بررسی حوادث، هشداردهی مبتنی بر ریسک و قابلیت‌های تحقیقاتی است. داشبوردها، جستجوها و ابزارهایی برای نظارت بر حوادث امنیتی، اقدام بر اساس اطلاعات امنیتی و مدیریت وضعیت امنیتی فراهم می‌کند و به تیم‌های امنیتی کمک می‌کند تا تهدیدات امنیتی را در زیرساخت IT سازمان شناسایی، بررسی و به آن‌ها پاسخ دهند. همچنین قابلیت‌هایی برای خودکارسازی پاسخ‌ها به حوادث امنیتی ارائه می‌دهد، مانند بستن پورت‌های فایروال هنگام شناسایی حمله DDoS. البته باید توجه داشت که Splunk ES یک محصول پریمیوم است و هزینه بالاتری نسبت به استفاده از Splunk Enterprise دارد و همان طور که گفته شد می‌تواند هم بر روی Splunk Enterprise (به صورت محلی) و هم بر روی Splunk Cloud پیاده‌سازی شود.

به‌طور خلاصه، Splunk Enterprise مواد اولیه (داده‌ها و قابلیت‌های جستجو) را فراهم می‌کند، در حالی که Splunk ES امکاناتی فراهم می کند تا آن داده‌ها به بینش‌های امنیتی قابل اقدام تبدیل شود.

ویژگی های امنیتی Splunk Enterprise Security (ES)

همان طور که بیان شد Splunk ES راه‌حلی پیشرفته برای پیاده سازی یک سیستم SIEM است. اما چه چیزی باعث شده تا این محصول بتواند به چنین قابلیتی دست یابد و به عنوان یک سیستم SIEM پیشرفته قابل استفاده باشد. اولین نکته این است که Splunk ES از تمام قابلیت های Splunk Enterprise مانند جمع آوری و ایندکس گذاری انواع داده، مقیاس پذیری، داشبوردهای منعطف و جستجوهای موردی بهره می برد. اما یک سری ویژگی های اختصاصی نیز دارد که به طور خلاصه شامل موارد زیر است:

• داشبوردها، جستجو و قابلیت‌های گزارش‌گیری ویژه: داشبورد Splunk ES قابلیت های گزارش گیری ویژه ای دارد که به‌طور خاص برای موارد استفاده امنیتی طراحی شده‌اند در حالی که در Splunk Enterprise این قابلیت ها بیشتر برای استفاده عمومی و تجاری هستند.

• چارچوب‌های امنیتی عمومی، قوانین و هشدارهای از پیش ساخته شده: در Splunk ED، چارچوب‌ها از انطباق، امنیت برنامه، مدیریت حوادث، شناسایی تهدیدات پیشرفته و نظارت بلادرنگ پشتیبانی می‌کنند. همچنین در Splunk ES امکاناتی فراهم شده که در هنگام وقوع رخدادهای امنیتی به طور خودکار هشدارهایی صادر شده و در صورت امکان به‌سرعت به تهدیدات پاسخ داده شود.
• بررسی حوادث و مدیریت گردش کار امنیتی: این ویژگی به تیم‌های امنیتی کمک می‌کند تا حوادث را به‌طور مؤثر مدیریت کنند.
• تحلیل‌های امنیتی مبتنی بر داده: این ویژگی شامل یادگیری ماشین، شناسایی ناهنجاری‌ها و همبستگی مبتنی بر استانداردها است.
• همبستگی بصری رویدادها در طول زمان: این امکان به تیم‌های امنیتی کمک می‌کند تا جزئیات یک حمله چند مرحله‌ای را به‌سرعت مشاهده کنند.

علاوه بر موارد مذکور، صدها اپلیکیشن در Splunkbase موجود است که شامل جستجو، گزارش‌گیری و بصری سازی های از پیش ساخته شده است. در کنار این برنامه‌ها، ابزارها و پلاگین ها می‌توانید از پشتیبانی تیم تحقیق امنیتی Splunk بهره‌مند شوید که به شناسایی و مدیریت تهدیدات جدید و پیشرفته در بستر Splunk کمک می کند.

سایر راه‌حل‌های Splunk

در کنار محصول Splunk ES چندین راه‌حل دیگر نیز توسط اسپلانک ارائه می‌شود که می‌تواند به شما در راه‌اندازی یک SIEM مؤثر کمک کند. برخی از این موارد را به همراه توضیح مخصتری درباره آن ها در ادامه آورده ایم.

1. Splunk Mission Control: این راه‌حل قابلیت‌های Splunk ES را تقویت و بهبود می‌بخشد. Splunk Mission Control به شما این امکان را می‌دهد که تهدیدات و مسائل امنیتی با اولویت بالا را در طول چرخه حوادث شناسایی، مدیریت، بررسی، پیگیری، محدود و اصلاح کنید. ترکیب Splunk ES با Splunk Mission Control مدیریت بهتر SOC، تحقیقات کارآمد و فرآیندهای ساده‌شده را امکان‌پذیر می‌سازد.

. Splunk User Behavior Analytics (UBA): این ابزار قابلیت‌های پیشرفته تحلیل رفتار کاربر (UBA) را ارائه می‌دهد تا رفتار موجودیت‌ها در شبکه را تحلیل کند، ناهنجاری‌ها را شناسایی کند و در صورت بروز ناهنجاری‌های مشکوک، به تیم‌های امنیتی هشدار دهد.

3. Splunk SOAR: این راه‌حل که قبلاً به‌عنوان Splunk Phantom شناخته می‌شد، به‌طور خودکار حوادث را شناسایی کرده و کتابچه‌های امنیتی را برای محدود کردن و کاهش تهدید اجرا می‌کند. Splunk SOAR می‌تواند با هماهنگی با ابزارهای امنیتی موجود ادغام شده و به تهدیدات پاسخ‌ دهد.

Splunk ES: نقاط قوت و چالش‌ها

محصول Splunk ES یکی از راه حل های موجود برای پیاده سازی سیستم های SIEM است که مانند هر محصول دیگری نقاط قوت و ضعف خودش را دارد. این محصول برای سازمان‌هایی که به یک پلتفرم اصلی نیاز دارند که با UEBA، SOAR و سایر راه‌حل‌های موجود ادغام شود، بسیار مناسب است. همچنین با داشتن اپلیکیشن های متنوع در Splunkbase امکان ادغام و پشتیبانی از ابزارهای شخص ثالث را می دهد. البته همه راه‌حل‌های امنیتی Splunk در یک مدل ابری ارائه نمی‌شوند. به‌عنوان مثال، Splunk UBA و Splunk SOAR در حال حاضر تنها در یک مدل میزبانی در مناطق منتخب ارائه می‌شوند. با این حال، Mission Control می‌تواند یک رابط کاربری واحد برای هر سه راه‌حل فراهم کند، چه در محل و چه در ابر.

اسپلانک مدل‌های قیمت‌گذاری متنوعی دارد و سعی کرده مدل لایسنس دهی خود را گسترش داده تا گزینه‌هایی فراتر از قیمت‌گذاری مبتنی بر حجم داده‌ها به خریداران ارائه دهد. گزینه‌های جدید شامل قیمت‌گذاری مبتنی بر بار کاری (با استفاده از vCPUهای محلی و واحدهای محاسبات مجازی Splunk Cloud) و مدل قیمت‌گذاری چند سطحی برای خریداران بخش خصوصی است. هرچند انعطاف پذیری مدل های قیمت گذاری آن هنوز نسبت به اکثر رقبای آن در بازار محصولات SIEM کمتر است.

به طور کلی اسپلانک دارای جامعه کاربری گسترده ای است که و پایگاه بزرگی در میان سازمان‌های بزرگ در آمریکای شمالی و اروپا دارد و در حال رشد در سایر مناطق نیز می‌باشد هرچند، Splunk Cloud در حال حاضر در آمریکای شمالی، اروپا و منطقه آسیا و اقیانوسیه ارائه می‌شود و سازمان‌هایی که در سایر مناطق فعالیت می‌کنند، باید مسائل مربوط به اقامت داده و تأخیر را در نظر بگیرند. نقطه ضعف اصلی Splunk ES اما مانند تمام محصولات دیگر موجود در بازار حال حاضر سیستم های SIEM عدم توانایی در خنثی سازی حملات پیش از وقوع آن هاست و پیشرفت در این زمینه قطعا تبدیل به نقطه عطفی در سیستم های SIEM خواهد بود. این نقاط قوت و چالش‌ها به سازمان‌ها کمک می‌کند تا تصمیمات بهتری در مورد استفاده از Splunk به‌عنوان یک راه‌حل SIEM بگیرند.