گلستان | گرگان

tamasbama@sgnj.ir

شبکه گستر نسل جدید

پاسخگوی شـما هـستیم

32220356 17 98+

تجزیه و تحلیل داده (SIEM)

چرا به تجزیه و تحلیل داده احتیاج داریم؟

هر روزه مقیاس و تعداد حملات سایبری تحت شبکه در حال افزایش بوده و به همین خاطر استفاده از ابزارهای تجزیه و تحلیل داده (SEIM) در سازمان‌ها یک امر ضروری است. یکی از این نرم افزارها Splunk (اسپلانک) نام دارد که توسط یک شرکت چندملیتی به همین نام در کالیفرنیا آمریکا خلق شد. Splunk یک ابزار کاربردی برای داده‌کاوی است که در برنامه‌های تحلیل بیگ دیتا مورد استفاده قرار می‌گیرد. در حقیقت از Splunk در مراکز SOC (Security Operation Center) استفاده می‌شود.

Splunk به زبان ساده

Splunk یک فناوری پیشرفته و مقیاس‌ پذیر است که کلیه فایل‌های موجود در سیستم را فهرست بندی می‌کند و شما می‌توانید به راحتی در آن‌ها جستجو کنید. Splunk تمامی‌داده‌های موجود در شبکه و سیستم‌های شما را تجزیه و تحلیل می‌کند و سپس با استفاده از هوش ماشین، آن‌ها را مورد بررسی قرار می‌دهد. به صورت کلی از این نرم افزار برای جستجو، نظارت و بررسی بیگ دیتا توسط ماشین استفاده می‌شود و این کار از طریق رابط کاربری تحت وب انجام می‌شود. ثبت و بررسی داده‌ها در این نرم افزار در یک محیط قابل جستجو انجام خواهد شد و شما می‌توانید از داده‌های موجود نمودار، گزارش، هشدار و… بگیرید و یا برای خودتان یک داشبورد ایجاد کنید. به این ترتیب نرم افزار Splunk قادر به بررسی الگوهای داده، تولید معیارها، تشخیص مشکلات و… خواهد بود و می‌تواند با استفاده از هوش ماشین، آن‌ها را تحلیل نماید.

قابلیت‌های نرم افزار Splunk

اسپلانک در واقع به عنوان یک موتور جستجو برای فایل‌های لاگ موجود در شبکه عمل می‌کند. شما می‌توانید با استفاده از نرم افزار اسپلانک هر نوع لاگ متنی را با هر نوع فرمتی مورد بررسی قرار دهید. در واقع اسپلانک هیچگونه وابستگی به فرمت لاگ ندارد و فقط متنی بودن آن‌ها مهم است.
برای مثال شما با استفاده از اسپلانک می‌توانید داده‌های زیر را مورد بررسی قرار دهید:

  • لاگ‌هایی که توسط تجهیزات امنیتی مثل آنتی ویروس، فایروال و IPS ایجاد شده‌اند.
  • لاگ‌هایی که توسط تجهیزات زیرساخت شبکه مثل مودم، روتر و سوییچ تولید شده‌اند.
  • لاگ‌های مربوط به نرم افزارهای داخلی مثل نرم افزار انبار، حسابداری و …
  • لاگ‌هایی که توسط سیستم عامل ایجاد می‌شوند.
  • لاگ‌هایی که تجهیزات الکترونیکی ساختمان مثل سنسورها، آسانسور و پله برقی ایجاد می‌کنند.
  • لاگ‌های مرتبط با تجهیزات هوشمندی مثل موبایل و تبلت
  • لاگ‌هایی که توسط سیستم‌های داخلی مربوط به شبکه مانند DHCP ،Apache و … ایجاد خواهند شد

نرم افزار Splunk تمامی‌این لاگ‌ها را به صورت یکجا ذخیره و دسته بندی می‌کند و شما می‌توانید ارتباط بین تغییرات بخش‌های مختلف را به راحتی مشاهده و در صورت لزوم آن‌ها را اصلاح کنید. همچنین می‌توانید بدون استفاده از تجهیزاتی مثل SNMP، از Splunk به عنوان یک نرم افزار مانیتورینگ 360 (مانیتورینگ کامل) نیز استفاده کنید.