هر روزه مقیاس و تعداد حملات سایبری تحت شبکه در حال افزایش بوده و به همین خاطر استفاده از ابزارهای تجزیه و تحلیل داده (SEIM) در سازمانها یک امر ضروری است. یکی از این نرم افزارها اسپلانک (SPLUNK) نام دارد که توسط یک شرکت چندملیتی به همین نام در کالیفرنیا آمریکا خلق شد. اسپلانک یک ابزار کاربردی برای دادهکاوی است که در برنامههای تحلیل بیگ دیتا مورد استفاده قرار میگیرد.
در حقیقت از اسپلانک در مراکز SOC (Security Operation Center) استفاده میشود
اسپلانک میتواند دادههای موجود در شبکه را بدون ایجاد هیچگونه مشکلی به صورت موثر مدیریت نماید. در ادامه بیشتر با این نرم افزار و ویژگیهای آن آشنا خواهیم شد.
اسپلانک به زبان ساده
اسپلانک یک فناوری پیشرفته و مقیاس پذیر است که کلیه فایلهای موجود در سیستم را فهرست بندی میکند و شما میتوانید به راحتی در آنها جستجو کنید. اسپلانک تمامیدادههای موجود در شبکه و سیستمهای شما را تجزیه و تحلیل میکند و سپس با استفاده از هوش ماشین، آنها را مورد بررسی قرار میدهد. به صورت کلی از این نرم افزار برای جستجو، نظارت و بررسی بیگ دیتا توسط ماشین استفاده میشود و این کار از طریق رابط کاربری تحت وب انجام میشود. ثبت و بررسی دادهها در این نرم افزار در یک محیط قابل جستجو انجام خواهد شد و شما میتوانید از دادههای موجود نمودار، گزارش، هشدار و… بگیرید و یا برای خودتان یک داشبورد ایجاد کنید. به این ترتیب نرم افزار اسپلانک قادر به بررسی الگوهای داده، تولید معیارها، تشخیص مشکلات و… خواهد بود و میتواند با استفاده از هوش ماشین، آنها را تحلیل نماید.
قابلیتهای نرم افزار Splunk
اسپلانک در واقع به عنوان یک موتور جستجو برای فایلهای لاگ موجود در شبکه عمل میکند. شما میتوانید با استفاده از نرم افزار اسپلانک هر نوع لاگ متنی را با هر نوع فرمتی مورد بررسی قرار دهید. در واقع اسپلانک هیچگونه وابستگی به فرمت لاگ ندارد و فقط متنی بودن آنها مهم است.
برای مثال شما با استفاده از اسپلانک میتوانید دادههای زیر را مورد بررسی قرار دهید:
- لاگهایی که توسط تجهیزات امنیتی مثل آنتی ویروس، فایروال و IPS ایجاد شدهاند.
- لاگهایی که توسط تجهیزات زیرساخت شبکه مثل مودم، روتر و سوییچ تولید شدهاند.
- لاگهای مربوط به نرم افزارهای داخلی مثل نرم افزار انبار، حسابداری و…
- لاگهایی که توسط سیستم عامل ایجاد میشوند.
- لاگهایی که تجهیزات الکترونیکی ساختمان مثل سنسورها، آسانسور و پله برقی ایجاد میکنند.
- لاگهای مرتبط با تجهیزات هوشمندی مثل موبایل و تبلت
- لاگهایی که توسط سیستمهای داخلی مربوط به شبکه مانند DHCP، Apache و… ایجاد خواهند شد.
نرم افزار اسپلانک تمامیاین لاگها را به صورت یکجا ذخیره و دسته بندی میکند و شما میتوانید ارتباط بین تغییرات بخشهای مختلف را به راحتی مشاهده و در صورت لزوم آنها را اصلاح کنید. همچنین میتوانید بدون استفاده از تجهیزاتی مثل SNMP، از اسپلانک به عنوان یک نرم افزار مانیتورینگ 360 نیز استفاده کنید. (مانیتورینگ کامل)
چرا باید از اسپلانک استفاده کرد؟
بدون بررسی و تحلیل لاگهای ثبت شده شما هیچوقت نمیتوانید حملات احتمالی شبکه را پیشبینی کنید. این لاگها تنها روشی هستند که با استفاده از آن میتوانید مهاجمین شبکه را تشخیص دهید. حتی در صورتی که بتوانید حملات را تشخیص دهید، وقتی که به لاگهای ثبت شده دسترسی نداشته باشید، نمیتوانید متوجه جزئیات حمله شوید و با آن مقابله کنید. اما اسپلانک میتواند با دریافت، جمع آوری و ساختار دادن به تاریخچه وقایع مختلفی که در سطح سیستم رخ میدهد کمک زیادی به تحلیل سریع و برقراری ارتباط بین این وقایع نماید.
- جمع آوری و ایندکس کردن دادههای ماشینی: اسپلانک تمامی دادههای ماشینی را جمعآوری و آنها را فهرست بندی خواهد کرد. به این ترتیب بدون اینکه شما اطلاعاتی در اختیار این سرویس قرار دهید و یا آن را برنامهریزی کنید، میتواند تمامی دادههای موجود در ماشین را صرف نظر از نوع منبع، فرمت یا مکان آن، به صورت بلادرنگ فهرست بندی کند. این دادهها از منابع مختلفی مثل برنامههای سفارشی، App Serverها و وب سرورها، دیتابیسهای مختلف، دادههای مربوط به شبکه، تجهیزات مخابراتی، سیستم عامل دستگاهها، سنسورها و… جمع آوری خواهد شد. به بیانی ساده اسپلانک به عنوان یک رابط در میان دادههای شبکه و رابطهای کاربری وظیفه آماده سازی، ثبت و نمایش اطلاعات به منظور افزایش کارایی در زمان جستجو و پردازش اطلاعات را بر عهده دارد. همچنین این سیستم برای جمعآوری اطلاعات Real Time در حوزههای دواپس و اینترنت اشیاء نیز دارای بانک توسعه دهندههای مختلفی نظیر HTTP/JSON و SDKهای مختلف میباشد.
- جستجو و بررسی اطلاعات: در پروسه پردازش اطلاعات به منظور افزایش ایمنی شبکه و اطلاعات، “جستجو” نقطه آغازین فعالیت میباشد. نرم افزار اسپلانک نیز در این زمینه دارای یک زبان پردازش سرچ (SPL) یا Search Processing Language اختصاصی است. استفاده از این قابلیت برای افراد مبتدی خیلی ساده است و امکانات متعددی نیز برای افراد حرفهای دارد. این نرمافزار با بررسی اطلاعات مختلف مربوط به شبکه، حجم عظیمی از مجموعه دادهها و الگوها را تشخیص خواهد داد. همچنین یکی دیگر از قابلیتهای این برنامه تایملاین بصری آن است که میتوانید با استفاده از قابلیتهای Zoom In و Zoom Out رفتارهای آسیبزا را شناسایی کنید. این نرمافزار با بررسی دقیق دادهها و حذف اطلاعات غیرضروری میتواند تمامی رفتارهای مشکوک را به سادگی کشف کند و به محض وقوع رویدادهای مهم نیز آنها را شناسایی کند.
- افزودن اطلاعات: این نرم افزار به صورت خودکار اطلاعات و الگوهای آن را در زمان جستجو شناسایی میکند و شما قادر خواهید بود به صورت بلادرنگ (real-time) از آنها استفاده کنید. علاوه بر این، اسپلانک با شناسایی، نامگذاری و ضمیمه کردن فیلدهای مختلف امکان افزودن محتواهای مختلف را برای شما میسر خواهد ساخت. این نرمافزار با رابط کاربری پویایی که دارد، به شما اجازه میدهد بدون تسلط بر زبان جستجو بتوانید به سادگی روابط موجود در اطلاعات را تشخیص دهید و گزارشات قوی از آنها استخراج نمایید.
در این رابطه بخوانید:
قابلیتهای کاربردی اسپلانک
- سرعت بالا برای پردازش دادهها
- سازگاری بسیار بالا با دادههای مختلف
- امکان پیاده سازی روشهای جستجوی متنوع
- امکان نمایش نتایج جستجو به روشهای مختلف مثل نمودار، داشبورد، گزارش و…
- پایش و زمانبندی هشدارهای متنوع و مدیریت نمایش هشدارها
- پشتیبانی از گزارشهای متنوع و امکان نمایش گزارشها در داشبوردهای کاربری
- مقیاس پذیری بالا (این نرم افزار در سطح شرکتهای کوچک، متوسط و بزرگ به سادگی قابل استفاده است.)
- قیمت خرید پایینتر نسبت به سایر رقبا
- امکان انطباق سریع دادهها با تغییرات در زمان تهدید و رویارویی با مشکلات
- شناسایی سریع تهدیدات در کوتاهترین زمان ممکن
- تجزیه و تحلیل تهدیدات و پاسخ به آنها
