همیار آی‌تی
Search
Close this search box.
  • 4 دقیقه مطالعه

اسپلانک در امنیت سایبری چیست؟

فهرست مطالب

اسپلانک (Splunk) یک پلتفرم نرم افزاری است که داده‌ها را ذخیره و امکان جستجو و تجزیه تحلیل روی آن را فراهم می‌سازد. شرکت های امنیت سایبری به منظور کاهش هزینه‌ها، افزایش بهره وری و پیش بینی خطرات این نرم افزار را ارائه می‌دهند. اسپلانک داده‌های سازمان را جمع آوری کرده و قابلیت جستجو, آنالیز و Visualize کردن روی داده‌ها را فراهم می‌آورد.

از جمله ویژگی‌های اسپلانک می‌توان به موارد زیر اشاره کرد:

  • معماری پیاده‌سازی با محوریت تحلیل Big Data
  • تحلیل رخدادهای امنیتی با ماژول‌های مختلف
  • تحلیل داده‌ها بر اساس الگوی رفتاری اجزا و کاربران
  • پیگیری خودکار رفتارهای مشکوک به منظور کشف اقدامات بعدی
  • پیاده‌سازی طرح‌های مقابله با حوادث به صورت پیش‌فرض
  • هماهنگ سازی، خودکارسازی و پاسخگویی به رخدادهای امنیتی

معماری اسپلانک

بر اساس آنچه توسط شرکت اسپلانک منتشر شده است، معماری کلی پیاده سازی آن جهت استقرار (برای سازمان ها و شرکت های متوسط تا بزرگ) به شکل زیر است.

لایه‌ها یا مولفه‌های اسپلانک به 2 دسته تقسیم می‌شوند:

دسته اول: Processing Component ها هستند که وظیفه پردازش و مدیریت داده‌ها را دارند و شامل مولفه‌های زیر می‌باشند.

  • مولفه جستجو و نمایش (Search Head)

وظیفه اصلی این لایه، جستجو، تجزیه و تحلیل و نمایش لاگ‌ها و داده‌ها است که امکان نمایش آن‌ها را به صورت نمودارهای مختلف جهت استفاده کاربران نیز فراهم می‌آورد.

  • ذخیره سازی و نگهداری داده (Indexer)

این مولفه، داده‌ها جمع آوری شده توسط لایه Collection (Universal Forwarder, Heavy Forwarder) را ذخیره می‌کند. همچنین پاسخگوی درخواست‌های  Search Head به منظور نمایش لاگ‌ها است.

  • جمع آوری لاگ (Forwarder)

این ملقه وظیفه جمع‌آوری لاگ از تجهیزات و سیستم‌عامل‌ها و نرم افزارهای مختلف و ارسال به سمت لایه Indexing را بر عهده دارد که شامل دو مدل Heavy Forwarder و یا Universal Forwarder است.

  • Universal Forwarder

این مولفه در واقع عامل یا Agent ای است که بر روی سیتم عامل لینوکس، ویندوز و… نصب می‌شود و با انجام حداقل پردازش بر روی داده های ورودی  ، آن را به سمت ایندکسر جهت Parsing و Indexing ارسال می‌نماید.

  • Heavy Forwarder

این مولفه یک نسخه کامل Splunk Enterprise بوده و قابلیت  Parse داده‌ها، اعمال فیلتر ، Log Routing و…  را پیش از ارسال به لایه Indexing را دارا می‌باشد.

دسته دوم:Manager Component ها هستند کهفعالیت‌های Process Component ها را پشتیبانی و مدیریت می‌کنند.

  • License Master: لایسنس تمامی مولفه‌ها را می توان از طریق این مولفه مدیریت کرد. مولفه‌ها به عنوان Slave به License Master معرفی می‌شوند. منظور از مدریت License ها این است که از حجم لایسنس اضافه شده به اسپلانک، چه مقدار استفاده شده و تا چه مدت زمانی انقضا دارد.
  • Deployment Server: این مولفه مربوط به تمامی تنظیمات یا تغییرات UF ها می‌باشد.
  • Cluster Master: با استفاده از این مولفه می‌توان فعالیت Indexer ها را مدیریت کرد.
  • Deployer: این مولفه برای مدیریت Search Head ها کاربرد دارد، همچنین می‌توان یکسری تنظیمات اولیه و App ها را به Search Head کلاستر شده Push کرد.
  • Monitoring Console: نظارت بر منابع مصرفی مولفه‌ها که از یکسری داشبورد و گزارش ساخته شده است. همچنین می‌توان مقدار داده ارسالی به سمت ایندکسرها را نیر از طریق این مولفه مشاهده کرد.

لایسنس اسپلانک

زمانی که داده‌ها به اسپلانک ارسال می‌شوند و عمل Indexing انجام می‌شود، مقدار داده ای که می‌توان ایندکس کرد نیز مشخص شده و گزارش آن به مولفه License Master به منظور ردیابی حجم لایسنس ارسال می‌گردد. از این رو، هر اسپلانک نیاز به لایسنس دارد تا بتوان به آن دسترسی داشته و مقدار داده ای که می‌توان ایندکس کرد را مشخص کرد.

لایسنس اسپلانک بر اساس حجم داده‌ و مدت زمان تقسم بندی می‌شوند:

  • لایسنس ها از نظر حجم داده
  • لایسنس Enterprise که حجم‌هایی مانند (1، 10، 100 و …) گیگابایت داده در روز را جهت ذخیره سازی به کاربر ارائه می‌دهد.
  • لایسنس Trial  تمام قابلیت ‌های اسپلانک را در مدت زمان 6 روز برای کاربر فراهم می‌آورد. این نوع لایسنس برای استفاده در محیط‌های سازمانی مناسب نیست، زیرا حجم داده ای مصرفی در روز محدود به 500 مگابایت می‌باشد.
  • لایسنس Developer با حجم داده ای 10 گیکابایت در روز، امکان دسترسی به تمام قابلیت‌های اسپلانک را به مدت 6 ماه فراهم ساخته و پس از اتمام این مدت، باید تمدید شود.
  • لایسنس‌ها از نظر مدت اعتبار
  • لایسنس های سالانه که محدود به استفاده در بازه زمانه یک سال بوده و بعد از آن، نیاز به تمدید مجدد وجود دارد.
  • لایسنس های دائمی همانظور که از نامشان پیداست، نیاز به تمدید در بازه زمانه‌های مختلف ندارد.

برای دسترسی کامل به تمام امکانات نرم افزار اسپلانک می‌بایست از لایسنس Enterprise این نرم افزار استفاده کرد. این لایسنس توسط شرکت امنیت سایبری دانش بنیان سورین ارائه می‌شود.

نویسنده

این مقاله را دوست داشتید؟

مقالاتی که «نباید» از دست بدهید!

آشنایی با الفبا، مفاهیم پایه و اصطلاحات رایج در برنامه‌نویسی

تکنولوژی RAID چیست؟

به زبان ساده با تکنولوژی رِید (RAID) و سطوح مختلف آن آشنا شوید!

شخصیت برند چیست؟

شخصیت برند چیست و چطور به کسب‌و‌کارها هویت انسانی می‌دهد؟

سرور چیست؟ با انواع سرور آشنا شوید

سرور چیست؟ به زبان ساده با چند نمونه از انواع سرورها آشنا شوید

دیدگاه‌ها و پرسش‌و‌پاسخ

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *