Razlike

Slijede razlike između dviju inačica stranice.

--- racfor_wiki:seminari2023:splunk_siem_sustav [2024/01/21 16:38]
tdujmovic [Splunk Enterprise Security]
+++ racfor_wiki:seminari2023:splunk_siem_sustav [2024/12/05 12:24] (trenutno)
@@ Redak 1: / Redak 1: @@
-====== SPLUNK SIEM ======
+====== Splunk SIEM ======
 ====Što je SIEM?====
-Security Information and Event Management (SIEM) je centralna točka mnogih Security operations centra (SOC).  SOC je centralizirana funkcija unutar organizacije koja koristi ljude, procese i tehnologiju za kontinuirani nadzor i poboljšanje sigurnosnog položaja organizacije dok sprječava, otkriva, analizira i reagira na incidente iz područja kibernetičke sigurnosti. Kako bi SOC kontinuirano proaktivno mogao pratiti sustave koriste se različita SIEM rješenja.
+Security Information and Event Management (SIEM) je centralna točka mnogih Security operations centra (SOC).  SOC je centralizirana funkcija unutar organizacije koja koristi ljude, procese i tehnologiju za kontinuirani nadzor i poboljšanje sigurnosnog položaja organizacije dok sprječava, otkriva, analizira i reagira na incidente iz područja kibernetičke sigurnosti[1]. Kako bi SOC kontinuirano proaktivno mogao pratiti sustave koriste se različita SIEM rješenja.
-Ključ svakog SIEM sustava je pristup svim relevantnim sigurnosnim podatcima. Ti sigurnosni podatci uključuju sigurnosne zapise s poslužitelja, vatrozida itd., kao i zapisi proxyja, aplikacija, web poslužitelja, e-pošte i razgovora i mnoge druge ovisno o vrsti sustava koji se štiti poput podatci sa anti-malware sustava, otkrivanja upada i skenera ranjivosti.
+Ključ svakog SIEM sustava je pristup svim relevantnim sigurnosnim podatcima. Ti sigurnosni podatci uključuju sigurnosne zapise s poslužitelja, vatrozida itd., kao i zapisi proxyja, aplikacija, web poslužitelja, e-pošte i razgovora i mnoge druge ovisno o vrsti sustava koji se štiti poput podatci sa anti-malware sustava, otkrivanja upada i skenera ranjivosti[2].
 ----
-====Što je SPLUNK?====
+====Što je Splunk?====
-Splunk je softverska platforma za pretraživanje, analizu i vizualizaciju strojno generiranih podataka prikupljenih s web stranica, aplikacija, senzora, uređaja itd. koji čine IT infrastrukturu.
+Splunk je softverska platforma za pretraživanje, analizu i vizualizaciju strojno generiranih podataka prikupljenih s web stranica, aplikacija, senzora, uređaja itd. koji čine IT infrastrukturu[3].
-Ako sustav kontinuirano generira logove koje je potrebno kategorizirati i analizirati u pravom vremenu to je moguće obaviti pomoću SPLUNK-a.
+Ako sustav kontinuirano generira logove koje je potrebno kategorizirati i analizirati u pravom vremenu to je moguće obaviti pomoću Splunka-a.
-Splunk-ova platforma za upravljanje zapisima koristi svoj vlastiti jezik za obradu pretraživanja za prelaženje velikih skupova strojnih podataka i izvršavanje kontekstualnih upita. Strojni podaci, najbrže rastuće područje velikih podataka u poduzeću, uključuju svaku korisničku transakciju, poruku sustava, sumnjivu aktivnost i interakciju stroj-stroj (M2M). Često nazivan "Google za log datoteke", Splunk se također predstavlja kao tvrtka za upravljanje sigurnosnim informacijama i događajima (SIEM).
+Splunk-ova platforma za upravljanje zapisima koristi svoj vlastiti jezik za obradu pretraživanja za prelaženje velikih skupova strojnih podataka i izvršavanje kontekstualnih upita. Strojni podaci, najbrže rastuće područje velikih podataka u poduzeću, uključuju svaku korisničku transakciju, poruku sustava, sumnjivu aktivnost i interakciju stroj-stroj (M2M). Često nazivan "Google za log datoteke"[4], Splunk se također predstavlja kao tvrtka za upravljanje sigurnosnim informacijama i događajima (SIEM).
-Splunk nudi mnoga riješenja za kupce poput:
+Splunk nudi mnoga rješenja za kupce poput:
-  *  Splunk Enterprise - nadzire i analizira strojne podatke iz bilo kojeg izvora za isporuku operativne inteligencije za optimizaciju IT-a, sigurnosti i poslovnih performansi. Ponuda uključuje intuitivne analitičke značajke, strojno učenje, pakirane aplikacije i otvorene API-je, a može se skalirati od fokusiranih slučajeva upotrebe do analitičke okosnice cijele tvrtke.Iako je moguće uspostavit SIEM sustav sa Splunk Enterpise-om za to je potrebno iznimno znanje alta ne kontinuiranje praćenje i nadogradnja samog sustava te se zbog toga kao preporučuje korištenje Splunk Enterprise Security-a. "Slika 1: Prikaz mogućeg izgleda splunk nadzorne ploče" ispod prikazuje mogući izgled nadzorne ploče Splunk Enterprise-a.
+  *  Splunk Enterprise - nadzire i analizira strojne podatke iz bilo kojeg izvora za isporuku operativne inteligencije za optimizaciju IT-a, sigurnosti i poslovnih performansi[5]. Ponuda uključuje intuitivne analitičke značajke, strojno učenje, pakirane aplikacije i otvorene API-je, a može se skalirati od fokusiranih slučajeva upotrebe do analitičke okosnice cijele tvrtke. Iako je moguće uspostavit SIEM sustav sa Splunk Enterpise-om za to je potrebno iznimno znanje alta ne kontinuiranje praćenje i nadogradnja samog sustava te se zbog toga kao preporučuje korištenje Splunk Enterprise Security-a. "Slika 1: Prikaz mogućeg izgleda splunk nadzorne ploče" ispod prikazuje mogući izgled nadzorne ploče Splunk Enterprise-a.
   *  Splunk Cloud - koristi prednosti Splunk Enterprisea kao usluge u oblaku, skalira se na više terabajta dnevno i nudi vrlo sigurno okruženje.
@@ Redak 34: / Redak 34: @@
 ====Splunk Enterprise Security====
-Splunk ES pomaže u postizanju kontinuiranog nadzora, podršci SOC-u, implementaciji odgovora na incidente ili informiranju dionika o poslovnim rizicima. Rješenje je moguće pokrenuti u različitim okruženjima, kao što su javni i privatni oblaci, lokalna infrastruktura i hibridne implementacije.
+Splunk ES pomaže u postizanju kontinuiranog nadzora, podršci SOC-u, implementaciji odgovora na incidente ili informiranju dionika o poslovnim rizicima. Rješenje je moguće pokrenuti u različitim okruženjima, kao što su javni i privatni oblaci, lokalna infrastruktura i hibridne implementacije[6].
 ===Splunk ES značajke koje pomažu dobivanju uvida u sigurnosno stanje===
 ==Knjižnica widgeta za sigurnosno stanje==
-Dodavajne widgeta na nadzorne ploče ili izrada vlastitih.
+Dodavanje widgeta na nadzorne ploče ili izrada vlastitih.
 ==Pregledavanje sigurnosnih događaja po kategorijama==
@@ Redak 88: / Redak 88: @@
 QRadar je manje prilagodljiv u usporedbi s Splunkom, ali nudi solidne značajke konfiguriranja pravila i izvještaja.
 ===Cijena===
-Splunk se naplaćuje na temelju količine podataka unesenih na dnevnoj bazi ili broja potrošenih Splunk Virtual Compute (SVC) jedinica (cijena radnog opterećenja), što može biti skuplje od QRadara koji se naplaćuje na temelju događaja u sekundi.
+Splunk se naplaćuje na temelju količine podataka unesenih na dnevnoj bazi ili broja potrošenih Splunk Virtual Compute (SVC) jedinica (cijena radnog opterećenja), što može biti skuplje od QRadara koji se naplaćuje na temelju događaja u sekundi[7].
 ===Korisničko sučelje===
 Splunk ES nudi intuitivno korisničko sučelje s bogatim mogućnostima pretrage i vizualizacije podataka.
@@ Redak 105: / Redak 105: @@
 S obzirom na širok spektar značajki, od zaštite krajnjih točaka do upravljanja incidentima, Splunk ES pruža sveobuhvatno SIEM rješenje za organizacije koje teže unaprijediti svoju kibernetičku sigurnost.
+====Literatura====
+[1] https://www.trellix.com/security-awareness/operations/what-is-soc/
+[2] https://www.manageengine.com/log-management/siem/collecting-and-analysing-different-log-types.html
+[3] https://www.edureka.co/blog/what-is-splunk/
+[4] https://www.webagesolutions.com/blog/5713-2
+[5] https://www.splunk.com/en_us/products/cyber-security.html
+[6] https://www.bluevoyant.com/knowledge-center/splunk-enterprise-security-use-cases-features-and-process
+[7] https://kinneygroup.com/blog/splunk-vs-qradar/

racfor_wiki/seminari2023/splunk_siem_sustav.1705855128.txt.gz · Zadnja izmjena: 2024/12/05 12:23 (vanjsko uređivanje)