اسپلانک چیست؟

اسپلانک (Splunk) یک پلتفرم نرم افزاری قدرتمند برای جمع‌آوری لاگ‌ها ، جستجو ، نظارت ، آنالیز و تحلیل اطلاعات می باشد. نرم افزار اسپلانک با پردازش حجم انبوه لاگ‌های تولید شده توسط نرم‌افزارها ، تجهیزات امنیتی و …، اطلاعات ارزشمندی را کشف می‌کند که با نظارت ساده قابل رویت نیستند.

به‌ بیان دیگر اسپلانک داده‌های خام را گردآوری و فهرست بندی کرده ، سپس بر اساس قواعد ساختارمندی ارتباط معناداری بین داده‌ها ایجاد می‌کند. همچنین با استفاده از نرم افزار splunk ، به‌راحتی می‌توانید بر روی تمام داده‌ها با هر نوع تنوع و فیلتری ، عملیات جستجو را انجام دهید و نتایج به دست آمده را به‌ روش های مختلفی از جمله نمودارهای گرافیکی مشاهده کنید. در واقع ، توسط نرم‌افزار Splunk، جستجوی یک داده خاص در دسته‌ای از داده‌های پیچیده  ، راحت انجام می‌شود.

عملکرد اسپلانک شبیه عملکرد گوگل برای داده‌های موجود در بستر اینترنت است. گوگل داده‌های ورودی کاربران را جمع‌آوری و دسته‌بندی می‌کند. سپس  برای کاربران دیگر این قابلیت را فراهم می‌کند که با جستجوی عبارت مورد نظر خود بتوانند به نتیجه درست برسند.دسته‌بندی‌های اسپلانک مطابق الگوهای خاصی انجام می‌شود و قوانینی برای این موتور جستجو در نظر گرفته‌شده که کاربران بتوانند نتیجه درست و دقیق جستجوی خود را در کمترین زمان و با هر دستگاهی از جمله لپ‌تاپ، ای پد ، موبایل و… به دست بیاورند.

پلتفرم اسپلانک

نرم‌افزار Splunk، ارزش پنهان داده‌ها را نمایان می کند. با قابلیت وارد نمودن اطلاعات از سایر ابزارها، می‌توان علاوه بر ارزش یک زیرمجموعه، ارزش طیف کامل داده‌ها را بدست آورد. از دیگر مزایای استفاده از اسپلانک این است که می توان تمام داده‌ها را یکجا گردآوری، نمایه گذاری(Index) ، جستجو، تحلیل و بصری سازی (visualize) نمود.

فرض کنید دستگاهی دارید که به طور مداوم داده تولید می کند، بررسی و تجزیه و تحلیل داده های این ماشین در زمان واقعی (real time) ، مطمئناً بدون کمک گرفتن از اسپلانک (Splunk)، کار بسیار سختی می باشد. شما در زمان واقعی می توانید داده ها را از منابع داده مختلف در اسپلانک (Splunk) جمع آوری کنید و مورد تجزیه و تحلیل و گزارش گیری قرار دهید.

به عبارتی دیگر Splunk روشی یکپارچه، جهت سازماندهی و استخراج اطلاعات Real-Time از مقادیر انبوه داده‌های ماشینیِ (تقریباً) از تمامی منابع می باشد.

 مزایای استفاده از اسپلانک

  • داده های ورودی می توانند در هر قالبی باشند، این داده ها می توانند در فرمت csv یا json یا هر فرمت دیگری باشند .
  • تنظیمات اسپلانک می تواند در هنگام تغییر وضعیت ماشین ها هشداری بدهد یا اینکه رویدادی را فعال کند .
  •  به کمک اسپلانک، knowledge objects را برای هوش عملیاتی (Operational Intelligence) ایجاد کنید .
  • از اسپلانک هم برای مانیتورینگ و هم برای تجزیه و تحلیل داده می توان استفاده کرد .
  • قابلیت مانیتورینگ مستمر در شرایط خاص
  • منابع مورد نیاز برای گسترش زیر ساخت ها را با اسپلانک به دقت می توان پیش بینی نمود .
  • امکان استفاده اسپلانک در شرکت‌های کوچک و متوسط تا سازمان‌های بزرگ از قابلیت‌های دیگر این پلتفرم است.
  • تکنولوژی تجزیه‌وتحلیل رفتار کاربران اسپلانک (UBA)، برای کشف تهدیدهای پنهان محیط از مدل‌سازی رفتاری کاربران، تجزیه‌ و تحلیل گروه‌های مشابه و یادگیری ماشین استفاده می‌کند .
  •  Splunk Enterprise Security یک راه حل برای تامین امنیت اطلاعات و مدیریت رویدادها (SIEM) است که تیم‌های امنیتی را قادر می‌سازد تا به‌سرعت حملات داخلی و خارجی را شناسایی کرده و به آن‌ها پاسخ دهند.
 : knowledge object   

یک کمیت تعریف شده توسط کاربر که داده های موجود در Splunk Enterprise را غنی می کند. شما می توانید از اشیاء دانش برای به دست آوردن اطلاعات خاص در مورد داده های خود استفاده کنید. هنگامی که یک شی دانش ایجاد می کنید، می توانید آن را خصوصی نگه دارید یا می توانید آن را با سایر کاربران به اشتراک بگذارید.

Splunk SPL چیست؟

Search Processing Language یا SPL ، زبان پردازش جستجوی اسپلانک و همینطور ابزار تحلیل و تصویرسازی (Visualization)  قدرتمندی است که امکان فعالیت بر روی داده‌ها را میسر می سازد . این تکنولوژی از چهار نوع همبستگی و ارتباط مختلف (شامل زمان، تراکنش، Sub-Search و Join) و همچنین بیش از 140 دستور آنالیز و تصویر‌سازی (Visualization) پشتیبانی می‌نماید.

راه اندازی SOC با پیاده سازی نرم‌افزار اسپلانک

اسپلانک از متداول‌ترین ابزارهای مورد نیاز مرکز عملیات امنیت ( SOC ) می باشد .راه اندازی SOC با پیاده سازی نرم‌افزار اسپلانک وضعیت امنیت شبکه یک سازمان را به مراتب بهبود می‌بخشد.نرم‌افزار Splunk می‌تواند مکمل SIEM موجود در SOC باشد .

سازمان‌ها می‌توانند راه‌حل‌های اسپلانک را به عنوان جایگزین یا مکملی برای یک SIEM در مرکز عملیات امنیت استفاده کنند. راه‌حل‌های اسپلانک را می‌توان به شکل مستقل از یک SIEM استفاده کرد یا زیرمجموعه‌ای از داده‌های آن‌را به شکل مستقیم برای یک SIEM ارسال کرد. در هر دو حالت، SIEM در حال استفاده برای هم‌پوشانی، هشداردهی و گردش کار مرتب با یک حادثه استفاده می‌شود، در حالی که اسپلانک برای جرم‌شناسی عمیق حادثه و تجزیه و تحلیل پیشرفته استفاده می‌شود.

البته سناریو سومی نیز وجود دارد که در آن SIEM داده‌ها را برای زیرساخت اسپلانک ارسال می‌کند و زیرساخت تمامی حالت‌های ممکن را بررسی می‌کند. سناریو فوق زمانی استفاده می‌شود که مولفه Collector متعلق به SIEM از قبل روی میزبان‌ها مستقر شده باشد و حذف یا جایگزین کردن این مولفه مشکل‌ساز باشد.

چرا باید SIEM سنتی را با Splunk جایگزین کنید؟

محدودیت های SIEM سنتی:

انواع داده های امنیتی محدود
ناتوانی در دریافت موثر داده ها
سیستم بررسی کند
عدم ارائه مقیاس پذیری و سیستم ناپایدار
نقشه راه بسیار کند و نامشخص.
اکوسیستم بسته
محدود به استقرار در محل.
موارد استفاده قابل اقدام نیستند.

مزایای Splunk:

رابط کاربری گرافیکی پیشرفته با داشبورد
عیب یابی سریع تر با نتایج فوری
برای تجزیه و تحلیل علت ریشه ای مناسب است
بررسی و جستجو برای نتایج خاص
معیارهای کسب و کار را برای تصمیم گیری آگاهانه نظارت کنید
هوش مصنوعی اسپلانک با SIEM سنتی به عنوان یک سرویس همراه است.
مدیریت لاگ بهتر از منابع متعدد
داده ها را در قالب های مختلف می پذیرد
می تواند یک مخزن مرکزی برای داده های Splunk جمع آوری شده از چندین منبع ایجاد کند

محصولات Splunk:

Splunk Enterprise Security:
یک سیستم SIEM است که از داده های تولید شده توسط ماشین برای دریافت بینش عملیاتی در مورد تهدیدها، آسیب پذیری ها، فناوری های امنیتی و اطلاعات هویتی استفاده می کند.

Splunk Enterprise:
سیستمی است که کلان داده‌های تولید شده توسط سیستم‌ها، زیرساخت‌های فناوری و برنامه‌ها را جمع‌آوری و تجزیه و تحلیل می‌کند تا دید کاملی در پشته امنیتی کسب‌وکار شما داشته باشد.

پاسخ تطبیقی( Splunk ( Splunk Adaptive Response:

چارچوبی برای عملیات تطبیقی است و در این زمینه، بهترین تولیدکنندگان محصولات امنیتی برای بهبود عملیات امنیت و استراتژی‌های دفاع سایبری با یکدیگر همکاری می‌کنند.