اسپلانک چیست؟

اسپلانک

هر روزه مقیاس و تعداد حملات سایبری تحت شبکه در حال افزایش بوده و به همین خاطر استفاده از ابزارهای تجزیه و تحلیل داده (SEIM) در سازمان‌ها یک امر ضروری است. یکی از این نرم افزارها اسپلانک (SPLUNK) نام دارد که توسط یک شرکت چندملیتی به همین نام در کالیفرنیا آمریکا خلق شد. اسپلانک یک ابزار کاربردی برای داده‌کاوی است که در برنامه‌های تحلیل بیگ دیتا مورد استفاده قرار می‌گیرد.

در حقیقت از اسپلانک در مراکز SOC (Security Operation Center) استفاده می‌شود

اسپلانک می‌تواند داده‌های موجود در شبکه را بدون ایجاد هیچگونه مشکلی به صورت موثر مدیریت نماید. در ادامه بیشتر با این نرم افزار و ویژگی‌های آن آشنا خواهیم شد.

اسپلانک به زبان ساده

اسپلانک یک فناوری پیشرفته و مقیاس‌ پذیر است که کلیه فایل‌های موجود در سیستم را فهرست بندی می‌کند و شما می‌توانید به راحتی در آن‌ها جستجو کنید. اسپلانک تمامی‌داده‌های موجود در شبکه و سیستم‌های شما را تجزیه و تحلیل می‌کند و سپس با استفاده از هوش ماشین، آن‌ها را مورد بررسی قرار می‌دهد. به صورت کلی از این نرم افزار برای جستجو، نظارت و بررسی بیگ دیتا توسط ماشین استفاده می‌شود و این کار از طریق رابط کاربری تحت وب انجام می‌شود. ثبت و بررسی داده‌ها در این نرم افزار در یک محیط قابل جستجو انجام خواهد شد و شما می‌توانید از داده‌های موجود نمودار، گزارش، هشدار و… بگیرید و یا برای خودتان یک داشبورد ایجاد کنید. به این ترتیب نرم افزار اسپلانک قادر به بررسی الگوهای داده، تولید معیارها، تشخیص مشکلات و… خواهد بود و می‌تواند با استفاده از هوش ماشین، آن‌ها را تحلیل نماید.

splunk

قابلیت‌های نرم افزار Splunk

اسپلانک در واقع به عنوان یک موتور جستجو برای فایل‌های لاگ موجود در شبکه عمل می‌کند. شما می‌توانید با استفاده از نرم افزار اسپلانک هر نوع لاگ متنی را با هر نوع فرمتی مورد بررسی قرار دهید. در واقع اسپلانک هیچگونه وابستگی به فرمت لاگ ندارد و فقط متنی بودن آن‌ها مهم است.

برای مثال شما با استفاده از اسپلانک می‌توانید داده‌های زیر را مورد بررسی قرار دهید:

  • لاگ‌هایی که توسط تجهیزات امنیتی مثل آنتی ویروس، فایروال و IPS ایجاد شده‌اند.
  • لاگ‌هایی که توسط تجهیزات زیرساخت شبکه مثل مودم، روتر و سوییچ تولید شده‌اند.
  • لاگ‌های مربوط به نرم افزارهای داخلی مثل نرم افزار انبار، حسابداری و…
  • لاگ‌هایی که توسط سیستم عامل ایجاد می‌شوند.
  • لاگ‌هایی که تجهیزات الکترونیکی ساختمان مثل سنسورها، آسانسور و پله برقی ایجاد می‌کنند.
  • لاگ‌های مرتبط با تجهیزات هوشمندی مثل موبایل و تبلت
  • لاگ‌هایی که توسط سیستم‌های داخلی مربوط به شبکه مانند DHCP، Apache و… ایجاد خواهند شد.

نرم افزار اسپلانک تمامی‌این لاگ‌ها را به صورت یکجا ذخیره و دسته بندی می‌کند و شما می‌توانید ارتباط بین تغییرات بخش‌های مختلف را به راحتی مشاهده و در صورت لزوم آن‌ها را اصلاح کنید. همچنین می‌توانید بدون استفاده از تجهیزاتی مثل SNMP، از اسپلانک به عنوان یک نرم افزار مانیتورینگ 360 نیز استفاده کنید. (مانیتورینگ کامل)

splunk

چرا باید از اسپلانک استفاده کرد؟

بدون بررسی و تحلیل لاگ‌های ثبت شده شما هیچوقت نمی‌توانید حملات احتمالی شبکه را پیش‌بینی کنید. این لاگ‌ها تنها روشی هستند که با استفاده از آن می‌توانید مهاجمین شبکه را تشخیص دهید. حتی در صورتی که بتوانید حملات را تشخیص دهید، وقتی که به لاگ‌های ثبت شده دسترسی نداشته باشید، نمی‌توانید متوجه جزئیات حمله شوید و با آن مقابله کنید. اما اسپلانک می‌تواند با دریافت، جمع آوری و ساختار دادن به تاریخچه وقایع مختلفی که در سطح سیستم رخ می‌دهد کمک زیادی به تحلیل سریع و برقراری ارتباط بین این وقایع نماید.

  • جمع آوری و ایندکس کردن داده‌های ماشینی: اسپلانک تمامی داده‌های ماشینی را جمع‌آوری و آن‌ها را فهرست بندی خواهد کرد. به این ترتیب بدون اینکه شما اطلاعاتی در اختیار این سرویس قرار دهید و یا آن را برنامه‌ریزی کنید، می‌تواند تمامی داده‌های موجود در ماشین را صرف نظر از نوع منبع، فرمت یا مکان آن، به صورت بلادرنگ فهرست بندی کند. این داده‌ها از منابع مختلفی مثل برنامه‌های سفارشی، App Serverها و وب سرورها، دیتابیس‌های مختلف، داده‌ها‌ی مربوط به شبکه، تجهیزات مخابراتی، سیستم عامل دستگاه‌ها، سنسورها و… جمع آوری خواهد شد. به بیانی ساده اسپلانک به عنوان یک رابط در میان داده‌های شبکه و رابط‌های کاربری وظیفه آماده سازی، ثبت و نمایش اطلاعات به منظور افزایش کارایی در زمان جستجو و پردازش اطلاعات را بر عهده دارد. همچنین این سیستم برای جمع‌آوری اطلاعات Real Time در حوزه‌های دواپس و اینترنت اشیاء نیز دارای بانک توسعه دهنده‌های مختلفی نظیر HTTP/JSON و SDKهای مختلف می‌باشد.

 

  • جستجو و بررسی اطلاعات: در پروسه پردازش اطلاعات به منظور افزایش ایمنی شبکه و اطلاعات، “جستجو” نقطه آغازین فعالیت می‌باشد. نرم افزار اسپلانک نیز در این زمینه دارای یک زبان پردازش سرچ (SPL) یا Search Processing Language اختصاصی است. استفاده از این قابلیت برای افراد مبتدی خیلی ساده است و امکانات متعددی نیز برای افراد حرفه‌ای دارد. این نرم‌افزار با بررسی اطلاعات مختلف مربوط به شبکه، حجم عظیمی از مجموعه داده‌ها و الگوها را تشخیص خواهد داد. همچنین یکی دیگر از قابلیت‌های این برنامه تایم‌لاین بصری آن است که می‌توانید با استفاده از قابلیت‌های Zoom In و Zoom Out رفتارهای آسیب‌زا را شناسایی کنید. این نرم‌افزار با بررسی دقیق داده‌ها و حذف اطلاعات غیرضروری می‌تواند تمامی رفتارهای مشکوک را به سادگی کشف کند و به محض وقوع رویدادهای مهم نیز آن‌ها را شناسایی کند.

 

  • افزودن اطلاعات: این نرم افزار به صورت خودکار اطلاعات و الگوهای آن را در زمان جستجو شناسایی می‌کند و شما قادر خواهید بود به صورت بلادرنگ (real-time) از آن‌ها استفاده کنید. علاوه بر این، اسپلانک با شناسایی، نامگذاری و ضمیمه کردن فیلدهای مختلف امکان افزودن محتواهای مختلف را برای شما میسر خواهد ساخت. این نرم‌افزار با رابط کاربری پویایی که دارد، به شما اجازه می‌دهد بدون تسلط بر زبان جستجو بتوانید به سادگی روابط موجود در اطلاعات را تشخیص دهید و گزارشات قوی از آن‌ها استخراج نمایید.

قابلیت‌های کاربردی اسپلانک

splunk capabilities
  • سرعت بالا برای پردازش داده‌ها
  • سازگاری بسیار بالا با داده‌های مختلف
  • امکان پیاده سازی روش‌های جستجوی متنوع
  • امکان نمایش نتایج جستجو به روش‌های مختلف مثل نمودار، داشبورد، گزارش و…
  • پایش و زمان‌بندی هشدارهای متنوع و مدیریت نمایش هشدارها
  • پشتیبانی از گزارش‌های متنوع و امکان نمایش گزارش‌ها در داشبوردهای کاربری
  • مقیاس پذیری بالا (این نرم افزار در سطح شرکت‌های کوچک، متوسط و بزرگ به سادگی قابل استفاده است.)
  • قیمت خرید پایین‌تر نسبت به سایر رقبا
  • امکان انطباق سریع داده‌ها با تغییرات در زمان تهدید و رویارویی با مشکلات
  • شناسایی سریع تهدیدات در کوتاه‌ترین زمان ممکن
  • تجزیه و تحلیل تهدیدات و پاسخ به آن‌ها

علاقمند به حوزه امنیت اطلاعات و آشنا به حوزه تست نفوذ
  • facebook
  • twitter
  • googleplus
  • linkedIn
  • flickr

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.