تلفن تماس : 79942 021 - 2222120 021
تلفن همراه : 09121442355

اسپلانک در امنیت سایبری چیست؟

انتشار توسط کارشناس سئوراز
گوناگون
اسپلانک در امنیت سایبری چیست؟

اسپلانک (Splunk) یک پلتفرم نرم افزاری است که داده‌ها را ذخیره و امکان جستجو و تجزیه تحلیل روی آن را فراهم می‌سازد. شرکت های امنیت سایبری به منظور کاهش هزینه‌ها، افزایش بهره وری و پیش بینی خطرات این نرم افزار را ارائه می‌دهند. اسپلانک داده‌های سازمان را جمع آوری کرده و قابلیت جستجو, آنالیز و Visualize کردن روی داده‌ها را فراهم می‌آورد.

از جمله ویژگی‌های اسپلانک می‌توان به موارد زیر اشاره کرد:

  • معماری پیاده‌سازی با محوریت تحلیل Big Data
  • تحلیل رخدادهای امنیتی با ماژول‌های مختلف
  • تحلیل داده‌ها بر اساس الگوی رفتاری اجزا و کاربران
  • پیگیری خودکار رفتارهای مشکوک به منظور کشف اقدامات بعدی
  • پیاده‌سازی طرح‌های مقابله با حوادث به صورت پیش‌فرض
  • هماهنگ سازی، خودکارسازی و پاسخگویی به رخدادهای امنیتی

معماری اسپلانک

بر اساس آنچه توسط شرکت اسپلانک منتشر شده است، معماری کلی پیاده سازی آن جهت استقرار (برای سازمان ها و شرکت های متوسط تا بزرگ) به شکل زیر است.

لایه‌ها یا مولفه‌های اسپلانک به 2 دسته تقسیم می‌شوند:

دسته اول: Processing Component ها هستند که وظیفه پردازش و مدیریت داده‌ها را دارند و شامل مولفه‌های زیر می‌باشند.

  • مولفه جستجو و نمایش (Search Head)

وظیفه اصلی این لایه، جستجو، تجزیه و تحلیل و نمایش لاگ‌ها و داده‌ها است که امکان نمایش آن‌ها را به صورت نمودارهای مختلف جهت استفاده کاربران نیز فراهم می‌آورد.

  • ذخیره سازی و نگهداری داده (Indexer)

این مولفه، داده‌ها جمع آوری شده توسط لایه Collection (Universal Forwarder, Heavy Forwarder) را ذخیره می‌کند. همچنین پاسخگوی درخواست‌های Search Head به منظور نمایش لاگ‌ها است.

  • جمع آوری لاگ (Forwarder)
بخوانید!  چگونه تصاویر مناسب وب سایتتان را انتخاب کنید؟

این ملقه وظیفه جمع‌آوری لاگ از تجهیزات و سیستم‌عامل‌ها و نرم افزارهای مختلف و ارسال به سمت لایه Indexing را بر عهده دارد که شامل دو مدل Heavy Forwarder و یا Universal Forwarder است.

  • Universal Forwarder

این مولفه در واقع عامل یا Agent ای است که بر روی سیتم عامل لینوکس، ویندوز و… نصب می‌شود و با انجام حداقل پردازش بر روی داده های ورودی ، آن را به سمت ایندکسر جهت Parsing و Indexing ارسال می‌نماید.

  • Heavy Forwarder

این مولفه یک نسخه کامل Splunk Enterprise بوده و قابلیت Parse داده‌ها، اعمال فیلتر ، Log Routing و… را پیش از ارسال به لایه Indexing را دارا می‌باشد.

اسپلانک در امنیت سایبری چیست؟

دسته دوم:Manager Component ها هستند کهفعالیت‌های Process Component ها را پشتیبانی و مدیریت می‌کنند.

  • License Master: لایسنس تمامی مولفه‌ها را می توان از طریق این مولفه مدیریت کرد. مولفه‌ها به عنوان Slave به License Master معرفی می‌شوند. منظور از مدریت License ها این است که از حجم لایسنس اضافه شده به اسپلانک، چه مقدار استفاده شده و تا چه مدت زمانی انقضا دارد.
  • Deployment Server: این مولفه مربوط به تمامی تنظیمات یا تغییرات UF ها می‌باشد.
  • Cluster Master: با استفاده از این مولفه می‌توان فعالیت Indexer ها را مدیریت کرد.
  • Deployer: این مولفه برای مدیریت Search Head ها کاربرد دارد، همچنین می‌توان یکسری تنظیمات اولیه و App ها را به Search Head کلاستر شده Push کرد.
  • Monitoring Console: نظارت بر منابع مصرفی مولفه‌ها که از یکسری داشبورد و گزارش ساخته شده است. همچنین می‌توان مقدار داده ارسالی به سمت ایندکسرها را نیر از طریق این مولفه مشاهده کرد.
بخوانید!  ثبت تصویری متفاوت از ۳ زن کابینه پزشکیان

لایسنس اسپلانک

زمانی که داده‌ها به اسپلانک ارسال می‌شوند و عمل Indexing انجام می‌شود، مقدار داده ای که می‌توان ایندکس کرد نیز مشخص شده و گزارش آن به مولفه License Master به منظور ردیابی حجم لایسنس ارسال می‌گردد. از این رو، هر اسپلانک نیاز به لایسنس دارد تا بتوان به آن دسترسی داشته و مقدار داده ای که می‌توان ایندکس کرد را مشخص کرد.

لایسنس اسپلانک بر اساس حجم داده‌ و مدت زمان تقسم بندی می‌شوند:

  • لایسنس ها از نظر حجم داده
  • لایسنس Enterprise که حجم‌هایی مانند (1، 10، 100 و …) گیگابایت داده در روز را جهت ذخیره سازی به کاربر ارائه می‌دهد.
  • لایسنس Trial تمام قابلیت ‌های اسپلانک را در مدت زمان 6 روز برای کاربر فراهم می‌آورد. این نوع لایسنس برای استفاده در محیط‌های سازمانی مناسب نیست، زیرا حجم داده ای مصرفی در روز محدود به 500 مگابایت می‌باشد.
  • لایسنس Developer با حجم داده ای 10 گیکابایت در روز، امکان دسترسی به تمام قابلیت‌های اسپلانک را به مدت 6 ماه فراهم ساخته و پس از اتمام این مدت، باید تمدید شود.
اسپلانک در امنیت سایبری چیست؟
  • لایسنس‌ها از نظر مدت اعتبار
  • لایسنس های سالانه که محدود به استفاده در بازه زمانه یک سال بوده و بعد از آن، نیاز به تمدید مجدد وجود دارد.
  • لایسنس های دائمی همانظور که از نامشان پیداست، نیاز به تمدید در بازه زمانه‌های مختلف ندارد.

برای دسترسی کامل به تمام امکانات نرم افزار اسپلانک می‌بایست از لایسنس Enterprise این نرم افزار استفاده کرد. این لایسنس توسط شرکت امنیت سایبری دانش بنیان سورین ارائه می‌شود.

اشتراک گذاری:
نوشته قبلی

با مهم‌ترین تجهیزات اداری آشنا شوید
نوشته بعدی

پیش نیازهای نصب سی پنل روی آلمالینوکس
سوالی دارید؟در خدمتیم.