استفاده از Splunk ES چه مزایایی دارد
Improve Security Operations
عملیات امنیت را بهبود میبخشد.
Customizable Dashboards
این ویژگی امکان ایجاد یک پورتال شخصی بر اساس نقش هر شخص در سازمان را میدهد.
Asset Investigator
یک نما از رویداد Correlate شده به ازای تمام آدرسهای IP ارائه میدهد و به آنالیز و تحلیل رابطه میان رویدادها در یک زمان مشخص کمک میکند.
Incident Review, Classification and Investigation
این ماژول با استفاده از یکسری داشبوردهای از پیش آماده میتواند به کارشناسان تیم امنیت را برای تشخیص آنومالیها در رویدادها و پروتکل ها کمک کند. همچنین با قابلیت بررسی رخدادهای بوجود امده، میتواند موارد زیر را پوشش دهد:
-بوسیله یک رابط گرافیکی میتواند دادههای خام یک رخداد و همچنین ارتباطات شبکهای آن را بدست آورده و همچنین میتوان بر روی بخشی از اطلاعات تمرکز کرده و به سرعت موارد مربوط به یک تهدید را در آن رخداد بررسی نمود. قابلیت دستهبندی رویدادها این امکان را فراهم میکند که وضعیت و اهمیت هر رویداد را مشخص نموده و بررسی و تحلیل میان خدادهای بوجود آمده را ساده تر میکند.
Incident Review Audit
این ماژول برای محافظت از دستکاری لاگها، میتواند یک گزارش برای فعالیت تمامی کابران و سیستمهای Splunk فراهم کند. این قابلیت بوسیله Sign کردن هر دیتا از Chain-of-Custody نگهداری میکند و هر تغییری در لاگ و دادههای رویدادها را تشخیص میدهد.
Detect Internal and Advanced Threats
Asset Center/Identity Center
شناخت داراییهای سازمان و محل قرارگیری، صاحبان داراییها (چه کسانی مجوز دسترسی دارند)، اهمیت هر دارایی را مشخص میکند و میتواند بعنوان یک فرآیند گزارشگیری از این بخش خروجی CSV دریافت کرد.
Advanced Threat Investigation
این ماژول با بررسیهای متنوع در بخش های مختلف شبکه مانند دامینهای جدید که در DNS تعریف میشوند، انالیز سایز ترافیک، بررسی طول URL و غیره به بررسی هوشمندانه تهدیدات میپردازد.
Visual Anomaly Detection
با استفاده از داشبوردهای مختلف این امکان را به کارشناس امنیت میدهد که سریعاً یک آنومالی را به ازای دارایی مورد نظر کشف کند. آنومالیهای مورد نظر میتواند شامل احراز هویت، تغییرات در سیستمهای انتهایی، هشدارهای IDS میباشد.
Integration with Splunk UBA
ماژول Splunk ES می تواند با ماژول Splunk UBA ادغام شده و با هم تعامل نمایند. تهدیدات شناسایی شده توسط UBA می تواند در ES بعنوان یک Alert نمایش داده شود. آنومالیهای تشخیص داده شده در UBA میتواند برای بررسی جزئیات بیشتر در ES مشاهده گردند.
شکارچیان تهدید و آنالیزورهای امنیتی میتوانند با تشخیص انومالیهای مشخص شده در UBA بعنوان یک Source Type در ES بعنوان یک نقطه شروع برای بررسیهای دقیق تر استفاده کنند.
Operationalize Threat Intelligence
Threat Intelligence Framework این قابلیت را به سازمانها میدهد که برای جمعآوری و تجمیع تهدیدات از منابع منتشر شده استفاده کنند و یک پایگاه داده ایجاد کنند. امتیازدهی به ریسکها میتواند در این بخش انجام شود تا به بررسی رخدادهای امنیتی و اهمیت آنها کمک کند.
Access Protection
این ماژول با کنترل و مانیتورینگ دسترسیها، آنالیز استثنا برای برنامه های کاربردی و سیستمعاملها این امکان را میدهد که در صورت وقوع هر دسترسی غیر مجاز تیم امنیت سریعا متوجه این موضوع شده و واکنش نشان دهد. همچنین با مانیتور کردن پیوسته فعالیتهای کابران با سطح دسترسی بالا، امکان هر گونه دسترسی غیرمجاز نفوذگران بوسیله کاربر سطح بالا را میگیرد.
Network Protection
مانیتور و تشخیص رویدادهای شبکه و تجهیزات امنیتی، کشف آنومالیهای فایروالها و روترها و سنسورهای IDS و DLP از وظایف بخش محافظت شبکه در این ماژول است. توانایی همبستهسازی، جستجو، گزارشگیری و داشبوردهای شبکه از ویژگیهای بخش محافظت از شبکه این ماژول است.