Splunk

استفاده از Splunk ES چه مزایایی دارد

Improve Security Operations

عملیات امنیت را بهبود می‌بخشد.

Customizable Dashboards

این ویژگی امکان ایجاد یک پورتال شخصی بر اساس نقش هر شخص در سازمان را می‌دهد.

Asset Investigator

یک نما از رویداد Correlate شده به ازای تمام آدرس‌های IP ارائه می‌دهد و به آنالیز و تحلیل رابطه میان رویدادها در یک زمان مشخص کمک می‌کند.

Incident Review, Classification and Investigation

این ماژول با استفاده از یکسری داشبوردهای از پیش آماده می‌تواند به کارشناسان تیم امنیت را برای تشخیص آنومالی‌ها در رویدادها و پروتکل ها کمک کند. همچنین با قابلیت بررسی رخدادهای بوجود امده، می‌تواند موارد زیر را پوشش دهد:

-بوسیله یک رابط گرافیکی می‌تواند داده‌های خام یک رخداد و همچنین ارتباطات شبکه‌ای آن را بدست آورده و همچنین می‌توان بر روی بخشی از اطلاعات تمرکز کرده و به سرعت موارد مربوط به یک تهدید را در آن رخداد بررسی نمود. قابلیت دسته‌بندی رویدادها این امکان را فراهم می‌کند که وضعیت و اهمیت هر رویداد را مشخص نموده و بررسی و تحلیل میان خدادهای بوجود آمده را ساده تر می‌کند.

Incident Review Audit

این ماژول برای محافظت از دستکاری لاگ‌ها، می‌تواند یک گزارش برای فعالیت تمامی کابران و سیستم‌های Splunk فراهم کند. این قابلیت بوسیله Sign کردن هر دیتا از Chain-of-Custody نگهداری می‌کند و هر تغییری در لاگ و داده‌های رویدادها را تشخیص می‌دهد.

Detect Internal and Advanced Threats

Asset Center/Identity Center

شناخت دارایی‌های سازمان و محل قرارگیری، صاحبان دارایی‌ها (چه کسانی مجوز دسترسی دارند)، اهمیت هر دارایی را مشخص می‌کند و می‌تواند بعنوان یک فرآیند گزارش‌گیری از این بخش خروجی CSV دریافت کرد.

Advanced Threat Investigation

این ماژول با بررسی‌های متنوع در بخش های مختلف شبکه مانند دامین‌های جدید که در DNS تعریف می‌شوند، انالیز سایز ترافیک، بررسی طول URL و غیره به بررسی هوشمندانه تهدیدات می‌پردازد.

Visual Anomaly Detection

با استفاده از داشبوردهای مختلف این امکان را به کارشناس امنیت می‌دهد که سریعاً یک آنومالی را به ازای دارایی مورد نظر کشف کند. آنومالی‌های مورد نظر می‌تواند شامل احراز هویت، تغییرات در سیستم‌های انتهایی، هشدارهای IDS می‌باشد.

Integration with Splunk UBA

ماژول Splunk ES می تواند با ماژول Splunk UBA ادغام شده و با هم تعامل نمایند. تهدیدات شناسایی شده توسط UBA می تواند در ES بعنوان یک Alert نمایش داده شود. آنومالی‌های تشخیص داده شده در UBA می‌تواند برای بررسی جزئیات بیشتر در ES مشاهده گردند.

شکارچیان تهدید و آنالیزورهای امنیتی می‌توانند با تشخیص انومالی‌های مشخص شده در UBA بعنوان یک Source Type در ES بعنوان یک نقطه شروع برای بررسی‌های دقیق تر استفاده کنند.

Operationalize Threat Intelligence

Threat Intelligence Framework این قابلیت را به سازمان‌ها می‌دهد که برای جمع‌آوری و تجمیع تهدیدات از منابع منتشر شده استفاده کنند و یک پایگاه داده ایجاد کنند. امتیازدهی به ریسک‌ها می‌تواند در این بخش انجام شود تا به بررسی رخدادهای امنیتی و اهمیت آنها کمک کند.

Access Protection

این ماژول با کنترل و مانیتورینگ دسترسی‌ها، آنالیز استثنا برای برنامه های کاربردی و سیستم‌عامل‌ها این امکان را می‌دهد که در صورت وقوع هر دسترسی غیر مجاز تیم امنیت سریعا متوجه این موضوع شده و واکنش نشان دهد. همچنین با مانیتور کردن پیوسته فعالیت‌های کابران با سطح دسترسی بالا، امکان هر گونه دسترسی غیرمجاز نفوذگران بوسیله کاربر سطح بالا را می‌گیرد.

Network Protection

مانیتور و تشخیص رویدادهای شبکه و تجهیزات امنیتی، کشف آنومالی‌های فایروال‌ها و روترها و سنسورهای IDS و DLP از وظایف بخش محافظت شبکه در این ماژول است. توانایی همبسته‌سازی، جستجو، گزارش‌گیری و داشبوردهای شبکه از ویژگی‌های بخش محافظت از شبکه این ماژول است.