اصول اولیه Splunk Enterprise Security

Splunk یک ابزار جمع‌آوری و تجزیه و تحلیل گزارش است که با نصب برنامه Splunk Enterprise Security می‌تواند به عنوان یک راهکار اطلاعات امنیتی و مدیریت رویداد (SEIM) ایفای نقش کند. برنامه امنیتی Splunk Enterprise محتوای از پیش ساخته شده از جمله جستجوهای همبستگی را برای کمک به تحلیلگران امنیتی برای ساده کردن تحقیقات در محیط‌های فناوری اطلاعات خود ارائه می‌دهد. در این مقاله، ویژگی‌هایی را مورد بحث قرار می‌دهیم که Splunk Enterprise Security را به ابزار قدرتمند SIEM تبدیل کرده است.

Splunk Enterprise Security

اولین چیزی که در مورد Splunk Enterprise Security باید بدانید این است که روی Splunk Enterprise یا Splunk Core اجرا می‌شود. قبل از اینکه بتوانید از مزایای کامل Enterprise Security بهره‌مند شوید، باید یک محیط Splunk بالغ و کارآمد داشته باشید. برخلاف برخی از نقش‌های دیگر سرور Splunk، برنامه ES به سر جستجوی (Search Head) اختصاصی خود نیاز دارد.

حداقل مشخصات سخت افزاری مورد نیاز برای اجرای کارآمد ES پردازنده‌ ۱۶ هسته‌ای و ۳۲ گیگابایت رم است. همچنین باید با ورودی/خروجی دیسک کافی و فضای ذخیره‌سازی در لایه نمایه سازی جفت شود (حداقل ۸۰۰ IOP جستجوی تصادفی). در بطن کار، ES مشغول Data Model Acceleration و جستجوهای همبستگی است که نیازمند منابع بسیار زیادی هستند، به ویژه در بخش پردازنده. بنابراین استفاده از این راهکار نیاز به سخت‌افزار قدرتمند دارد.

راه‌اندازی و اجرایSplunk Enterprise Security

فرض می‌کنیم شما Splunk Enterprise Security را خریداری کرده‌اید و سخت افزار مناسب اجرای آن را هم در اختیار دارید. مهم‌ترین بخش کارکرد Splunk ES و روشن کردن داشبوردهای از پیش ساخته شده و سایر محتوای آن این است که اطمینان حاصل کنید که تمام داده‌های شما مطابق با Splunk CIM  (مدل اطلاعات مشترک) است. مدل اطلاعات مشترک، روش Splunk برای نرمال‌سازی داده‌ها است. فقط رویدادهایی که مطابق با CIM نرمالایز شده‌اند در مدل‌های داده‌ای که شتاب می‌گیرند گنجانده می‌شوند. همه جستجوها، داشبوردها و گزارش‌ها از مدل‌های داده برای برگرداندن نتایج و رویدادها به کاربران استفاده می‌کنند.

چه کاری باید انجام شود تا داده‌های شما با CIM سازگار باشد؟

مهندسان خدمات حرفه‌ای Aditum تخمین می‌زنند که تقریبا ۵۰ درصد از برنامه‌ها و افزونه‌های فناوری (TAها) در Splunkbase از قبل با CIM سازگار هستند. برای نیمه‌ای که اینطور نیست، مدیر Splunk یک سازمان باید دست به کار شود (یا می‌توان از خدمات حرفه‌ای Aditum استفاده کرد). ممکن است تغییر گزارش‌ها برای سازگاری با CIM از ۳۰ دقیقه تا یک روز کامل به ازای هر منبع داده طول بکشد.

کارشناسان این تخمین‌ها را با این شرط که «اگر شخص بداند چه کار می‌کند» حساب می‌کنند و همچنین خاطرنشان می‌کنند که Aditum یک کتابخانه از برنامه‌ها و TA برای منابع داده رایج (Palo Alto، Juniper، Checkpoint، Windows و غیره) کاملا مطابق با CIM ساخته است. در اکثر مواقع، این مستلزم کار با Splunk Apps و TAهای موجود و ایجاد تغییرات به جای نوشتن برنامه‌های سفارشی است.

تغییرات شامل مواردی مانند تغییر نام فیلدها، افزودن برچسب‌هایی که در دسترس نیستند، تثبیت برچسب‌ها (برچسب‌ها log-speak را برای کسانی که با گزارش‌ها آشنا نیستند، به عنوان مثال، تحلیلگران NOC یا SOC به انگلیسی ساده ترجمه می‌کنند)، تغییر داده‌هایی که ممکن است در زمینه‌های اشتباه قرار گرفته باشند و سایر تغییرات است. در حالی که انطباق با CIM برای استفاده از Splunk Enterprise Security مهم است، باید بگوییم که این نرمال‌سازی داده‌ها، یا آنچه که «بهداشت داده» می‌نامیم، توسط مهندسان خدمات حرفه‌ای Aditum’s Splunk در خارج از Splunk ES توصیه می‌شود، زیرا تضمین می‌کند که همه فیلدهای وارد شده به Splunk سازگار هستند و در نتیجه همه کاربران از داده‌ها استفاده مشابهی می‌کنند.

یکی دیگر از ملاحظات مربوط به داده‌هایی که برای آماده سازی برای استفاده از Splunk Enterprise Security به Splunk ارسال می‌کنید، انواع مختلف منابع داده است. Splunk ES سعی می‌کند با انجام جستجوهای همبستگی در انواع مختلف داده، دیدی جامع از زیرساخت امنیتی شما ایجاد کند. برای دستیابی به بیشترین ارزش از Splunk Enterprise Security، باید ترکیب خوبی از انواع داده‌ها از جمله وب، ترافیک شبکه، آسیب‌پذیری، احراز هویت و غیره داشته باشید. برای مثال، اگر فقط داده‌های ترافیک شبکه را دارید که وارد Splunk می‌شوند، بیشتر داده‌های از پیش ساخته شده داشبوردها در ES پر نمی‌شوند. در این حالت مدل‌های داده‌ای که جستجوهای خود را از آن‌ها انجام می‌دهند به دلیل کمبود انواع داده ساخته نمی‌شوند. Splunk برای ارائه بینش به داده‌های کامل نیاز دارد. اگر داده‌ها در دسترس نباشد، ES نمی تواند کارش را به درستی به انجام برساند.

Splunk Enterprise Security و جستجوهای همبستگی

همانطور که گفته شد، جستجوهای همبستگی بخش بزرگ دیگری از نحوه عملکرد Splunk Enterprise Security است. اینها جستجوهای از پیش بسته‌بندی شده‌ای هستند که (پس از فعال شدن) در پس زمینه برای شناسایی تهدیدات، حملات و برخی آسیب پذیری‌های شناخته شده اجرا می‌شوند. هر جستجو برای یافتن رویدادهایی در داده‌های شما نوشته شده است که ممکن است نشان دهنده یک حمله احتمالی باشد. برای مثال، جستجوی همبستگی Brute Force به دنبال چندین تلاش برای ورود ناموفق از یک کاربر در مدت زمان کوتاهی است.

Splunk Enterprise Security با ۵۹ جستجوی دیگر مانند این ارائه می‌شود که به شناسایی حملات و آسیب پذیری‌های احتمالی در محیط شما کمک می‌کند. همانطور که قبلا گفته شد، در مجموع اینها جستجوهایی هستند که نیاز زیادی به منابع محاسباتی دارند، بنابراین شما باید فقط جستجوهایی را فعال کنید که با داده‌های موجود در محیط شما مطابقت دارند. این جستجوها همچنین می‌توانند ویرایش و گسترش داده شوند تا با نیازهای منحصر به‌فرد محیط شما مطابقت داشته باشند.

هنگامی که جستجوهای همبستگی را که می‌خواهید استفاده کنید پیدا کردید، مهم است که آن‌ها را طوری تنظیم کنید که به‌جای اجرا در هر لحظه، بر اساس یک زمان‌بندی اجرا شوند، تا پردازنده‌ شما را دائما درگیر نکنند. Splunk Enterprise Security همچنین چارچوبی را برای شما فراهم می‌کند تا جستجوهای همبستگی خود را بسازید و آن‌ها را در داشبوردهای وضعیت امنیتی خود نمایش دهید.

رویدادهای قابل توجه

هنگامی که یک جستجوی همبستگی نتایج را پیدا می‌کند، یک رویداد قابل توجه (Notable Event) ایجاد می‌کند. سپس آن رویدادها بر اساس نوع رویداد و برچسب‌ها گروه‌بندی می‌شوند و در فهرست «قابل توجه» قرار می‌گیرند. این رویدادها برای پر کردن دو داشبورد اصلی در ES، داشبورد وضعیت امنیتی امنیتی و داشبورد بازبینی حادثه استفاده می‌شوند.

داشبورد وضعیت امنیتی تمام اطلاعات مربوط به رویدادهای قابل توجهی را که ES پیدا کرده است فهرست می‌کند. این شامل مقدار در طول زمان، فوریت رویدادها، منابعی که از آن‌ها می‌آیند و رویدادهایی که بیشتر در محیط‌های شما رخ می‌دهند، می‌شود. مانند هر داشبورد دیگری در Splunk، این پنل‌ها را می‌توان به گونه‌ای تغییر داد که با بازه‌های زمانی یا اطلاعاتی که می‌خواهید ببینید، مطابقت داشته باشد.

داشبورد بررسی رویداد جایی است که رویدادهای مهم را بررسی می‌کنید. ES رویدادهای قابل توجه را به صورت جداگانه در یک دوره زمانی که شما تعیین می‌کنید فهرست می‌کند. هنگامی که روی یکی از رویدادهای قابل توجه کلیک می‌کنید، جستجوی همبستگی که رویداد را ایجاد کرده و سایر اطلاعاتی که به شما در بررسی آن رویداد کمک می‌کند، به شما نمایش داده می‌شود. یک برگه Notable Event Action وجود دارد که به شما امکان می‌دهد مسئول آن را مشخص کنید، یک پاسخ تطبیقی اضافه کنید یا وضعیت یک رویداد را تغییر دهید. این داشبورد باید روزانه بررسی شود تا وضعیت امنیتی محیط کاری شما بهتر درک شود.

درک و مدیریت رویدادهای فوری

هم در داشبورد وضعیت امنیتی و هم در داشبورد بررسی حادثه، «فوریت» را بیش از یک بار مشاهده خواهید کرد. این مقدار از ترکیب شدت رویداد که در جستجوی همبستگی تعیین شده است و مشخصات اولویت دارایی/هویت که در لیستی که شما پر می‌کنید، به دست می‌آید.

فهرست دارایی و هویت در ES مهم است زیرا به تعیین نقاط پایانی و کاربران با اولویت بالا کمک می‌کند. جستجوها و پاسخ‌هایی که حول این نقاط پایانی یا کاربران متمرکز می‌شوند باید متفاوت از اشیاء با اولویت پایین رفتار شوند. اکثر شرکت‌ها هیچ کدام از این لیست‌ها را به‌روز یا در حال حاضر در دسترس ندارند. می‌توانید از ترکیبی از ابزارها و Splunk Enterprise Security برای جمع‌آوری خودکار این فهرست و تنظیم فرآیندی برای نگهداری آن استفاده کنید. به‌روز نگه داشتن دارایی‌ها و هویت شما می‌تواند یک چالش واقعی باشد، اما این یک زمینه عالی برای ES فراهم می‌کند. اولین باری که این فرآیند را طی می‌کنید سخت‌ترین فرایند خواهد بود. پس از آن، این فرایند ساده‌تر شده و شبیه نگهداری یک فایل اکسل خواهد شد.

زمانی که از Splunk Enterprise Security به درستی استفاده شود، قوی ترین ابزار SIEM در بازار است که توسط گارتنر تأیید شده است. با این حال، مانند هر چیز دیگری، بهتر است قبل از ورود به جزئیات با کلیات مسئله آشنا شده باشید. در این مقاله، ما اصول اولیه از مشخصات سخت افزاری گرفته تا اهمیت نرمال سازی داده‌ها تا تخصیص سطوح مختلف فوریت یا اولویت به دارایی‌های مختلف در محیط شما را پوشش داده‌ایم. هنگامی که این اصول را درک کردید، ویژگی‌های اضافی که Splunk Enterprise Security ارائه می‌دهد، مانند فیدهای Threat Intelligence، Glass Tables و پاسخ تطبیقی برای درک و استفاده آسان‌تر خواهند شد.

منبع

فیسبوک توییتر گوگل + لینکداین تلگرام واتس اپ کلوب

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *