اپلیکیشن های اسپلانک

Appها و Add-on ها عملکرد اجزا اسپلانک را گسترش می‌دهند. Appها و Add-onها به صورت بسته‌ای از تنظیمات بر روی اسپلانک نصب می‌شوند و شما می‌توانید از طریق Splunkbase یا فروشگاه اسپلانک، App و Add-on مربوطه را دانلود کنید. از طریق قابلیتی که اسپلانک در اختیار کاربران قرار داده است می‌توانیم  Appها و Add-on های شخصی ‌سازی شده (Customized) خودمان را بسازیم.

قابلیت Splunk Apps

در اسپلانک،  Appها عموما رابط ‌های کاربری را ارائه می‌دهند تا داده‌ها را مدیریت کنید.هزاران App بر روی اسپلانک قابل نصب میباشد که برای سرویس دهی به روش های مختلف و سازگاری با انوع تجهیزات و سرویس های شبکه توسعه داده شده اند.این اپ ها قابلیت توسعه با زبان های برنامه نویسی زیادی همچون پایتون را دارند.در انتهای این مقاله به بررسی برخی اپ های کاربردی اسپلانک میپردازیم.

قابلیت Splunk Add-on

در نرم افزار اسپلانک، Add-onها بر خلاف اپ ها دارای رابط کاربری نمیباشند و داده‌ ها را از منابع مختلف جمع‌آوری کرده، داده ‌ها را نرمال سازی کرده و به سمت اسپلانک ارسال می‌کند.

برخی App های کاربردی اسپلانک

در ادامه به معرفی برخی از مهم ترین ماژول های اسپلانک میپردازیم که امکانات مختلفی را در دسترس مدیران قرار خواهد داد:

SPLUNK PHANTOM

اپلیکیشن های اسپلانک

اسپلانک فانتوم با اتوماتیک سازی فرایند های تحلیل و تجزیه امنیتی بخشی از کار های تکراری SOC سازمان ها را کاسته و با ایجاد بستری جهت تحلیل و شناسایی حجم عظیم دیتا سبب شناسایی انواع تهدیدات و ترافیک های مشکوک میباشد. این ماژول نرم افزار امنیتی اسپلانک بر روی نرم افزار SPLUNK Enterprise نصب شده و با سرعت بالا در پردازش دیتا جهت یکپارچه سازی و خوکارسازی فرایند های امنیتی در انواع شبکه ها و سرویس ها با قابلیت اعمال پالیسی و اجرای اسکریپت های برنامه ریزی شده بر اساس نوع ، موقعیت IPها ،نرم افزار ها، URL های مشکوک سبب کاهش ریسک و نفوذ پذیری شده این نرم افزار با پشتیبانی  بستر های Cloud و تکنولوژی های پیشرفته جهت آنالیز داده های عظیم Big Data نرم افزاری هوشمند جهت خودکارسازی فرایند ها و اعمال پالیسی ها با توجه به نتایج به دست آمده از لاگ های تحلیل شده میباشد.

همچنین این نرم افزار امکان هماهنگی با انواع سرویس ها و تجهیزات شبکه همچون روتر،سرور و فایروال ها را دارا میباشد و با فناوری (SOAR )   Security, Orchestration, Automation and Response جهت برقراری امنیت ، همگام سازی ، خودکارسازی و پاسخ دهی سریع سبب کاهش هزینه ها و ریسک های سازمانی میشود. قابلیت سازگاری با Ansible و ساخت Playbook جهت اتوماتیک کردن کردن کارها و کانفیگ میباشد. در Playbook های اسپلانک امکان گروه بندی بر اساس نوع کارکرد و پیکربندی خاص هر گروه وجود دارد. همچنین با استفاده از Playbook میتوان به راحتی نرم افزار های MaxMind و PAN Firewall را اتوماسیون کرد. مدیران میبایست برای فعال سازی این قابلیت لایسنس Splunk Phantom را تهیه نمایند.

Splunk ITSI

Splunk ITSI یک راهکار مانیتورینگ و تحلیل داده‌ می باشد که با بهره‌گیری از امکانات هوش مصنوعی، عملیات بخش IT را تسهیل می‌کند. به واسطه این ابزار می‌توان از صحت عملکرد سرویس های IT، سرویس‌های حیاتی زیرساخت و سرویس‌های مرتبط با کسب و کار سازمان، اطمینان حاصل کرد. اسپلانک ITSI می‌تواند به منظور حل چالش های مرتبط با IT از جمله چالش های موجود در سرویس ها از طریق تحلیل رویدادها، متریک ها و لاگ ‌ها مورد استفاده قرار گیرد. جمع آوری انواع داده‌ها ، یکپارچه سازی رویدادها و اعلان ها به منظور آمادگی جهت تحلیل و بررسی یک واقعه در کوتاه ترین زمان از ویژگی های بارز این نرم افزار میباشد.

SPLUNK UBA

SPLUNK) UBA (Splunk User Behavior Analytics با تحلیل و بررسی رفتار کاربران جهت شناسایی و جلوگیری از آسیب پذیری ها و رخنه های امنیتی نرم افزاری سریع با هوش مصنوعی و قابلیت های Machine Learning ، مدل سازی رفتار ها و تحلیل الگو ها در Big Data قادر است تا با مهندسی اجتماعی و تشخیص رفتار های مشکوک کاربران از دزدی اطلاعات، فیشینگ و حملات سایبری جلوگیری کند. اسپلانک UBA با شناسایی انواع فعالیت های غیر نرمال در سطح شبکه شامل افزایش تلاش ها جهت دسترسی ، ترافیک ها و سرویس های غیر عادی سبب اطمینان خاطر مدیران از شبکه ای ایمن و بدون ریسک میشود.

Splunk PCI

Splunk PCI با تحلیل و شناسایی سرویس ها و دیتاهای تحت شبکه قادر به شناسایی انواع تهدیدات و ترافیک های مشکوک میباشد. این نرم افزار با سرعت بالا در پردازش دیتا جهت مدیریت و مانیتورینگ دقیق انواع داده ها در انواع شبکه ها و سرویس های Cloud بر اساس پالیسی های اعمال شده همچون نوع داده و حجم، موقعیت و… سبب کاهش ریسک و نفوذ پذیری شده و گزارش دقیقی از انواع مصرف دیتا و تهدیدات ارائه میدهد.

سایر اپ های جانبی اسپلانک بشرح زیر میباشد:

Splunk DB Connect 

این اپ با پشتیبانی اکثر پایگاه داده های های SQL و No SQl قادر است تا دیتای این پایگاه داده ها را جهت آنالیز به اسپلانک وارد کند و نتایج به دست آمده یا دیتاهای اسپلانک را در قالب فایل دیتابیس های دیگر Export بگیرد. قابلیت شاخص گذاری (Indexing)، نمایش بصری، ارسال و دریافت Query و جستجوهای پیشرفته بین داده های اسپلانک و پایگاه داده های دیگر از ویژگی های بارز این اپ میباسد. این اپ قابلیت هماهنگی به صورت Realtime با انواع پایگاه داده همچون , AWS Aurora,  Microsoft SQL Server, Oracle, PostgreSQL, AWS RedShift و … دارد.

Cisco Security Suite App

این اپ قادر است تا به صورت لحظه ای ترافیک های دستگاه های امنیتی سیسکو را نشان دهد و با امکانات امنیتی زیادی که دارد لاگ های امنیتی این دستگاه ها را تحلیل،بررسی و گزارشات جامعی ارائه دهد. این اپ توانایی یکپارچه سازی و هماهنگی با دستگاه ای امنیتی Cisco ISE , Cisco FirePower , Cisco ASA , Cisco FMC, Cisco WSA, Cisco ESA و سایر تجهیزات امنیتی سیسکو را فراهم میکند.

Cisco Networks App

این اپ توانایی مانیتورینگ و نمایش لحظه ای ترافیک روتر و سوییچ های سیسکو مانند Catalyst, Nexus, ISR , NCS, ASR و CSR  به صورت جامع و یکپارچه به ارمغان میاورد.

Microsoft Windows App

این اپ قابلیت هماهنگی و مانیتورینگ سرویس های مایکروسافتی از جمله اکتیو دایرکتوری و منابع مورد استفاده ویندوز و… را دارا میباشد.

Stream App

این اپ توانایی بررسی ترافیک و تحلیل پکت های شبکه را از طریق پروتکل هایی همچون SPAN فراهم میکند.

F5 Networks App

با استفاده از این اپ میتوان وضعیت و ترافیک های تجهیزات F5 را به دقت مانیتور کرد.

Web Analytics App

این اپ مناسب جهت هماهنگی با وب سرور ها بوده و با مانیتورینک وضعیت ترافیک سایت و نوع ریکوئست ها امکانات فراوانی جهت مانیتورینگ وب سایت ها به ارمغان می آورد.

Windows Security Operation Center App

این اپ جهت مانیتورینگ وضعیت امنیتی سرویس های مایکروسافتی همچون NTLM , Active Directory , IIS , DNS Server, DHCP Server و … استفاده میشود.