Sadržaj

Splunk SIEM

Što je SIEM?

Security Information and Event Management (SIEM) je centralna točka mnogih Security operations centra (SOC). SOC je centralizirana funkcija unutar organizacije koja koristi ljude, procese i tehnologiju za kontinuirani nadzor i poboljšanje sigurnosnog položaja organizacije dok sprječava, otkriva, analizira i reagira na incidente iz područja kibernetičke sigurnosti[1]. Kako bi SOC kontinuirano proaktivno mogao pratiti sustave koriste se različita SIEM rješenja. Ključ svakog SIEM sustava je pristup svim relevantnim sigurnosnim podatcima. Ti sigurnosni podatci uključuju sigurnosne zapise s poslužitelja, vatrozida itd., kao i zapisi proxyja, aplikacija, web poslužitelja, e-pošte i razgovora i mnoge druge ovisno o vrsti sustava koji se štiti poput podatci sa anti-malware sustava, otkrivanja upada i skenera ranjivosti[2].


Što je Splunk?

Splunk je softverska platforma za pretraživanje, analizu i vizualizaciju strojno generiranih podataka prikupljenih s web stranica, aplikacija, senzora, uređaja itd. koji čine IT infrastrukturu[3]. Ako sustav kontinuirano generira logove koje je potrebno kategorizirati i analizirati u pravom vremenu to je moguće obaviti pomoću Splunka-a. Splunk-ova platforma za upravljanje zapisima koristi svoj vlastiti jezik za obradu pretraživanja za prelaženje velikih skupova strojnih podataka i izvršavanje kontekstualnih upita. Strojni podaci, najbrže rastuće područje velikih podataka u poduzeću, uključuju svaku korisničku transakciju, poruku sustava, sumnjivu aktivnost i interakciju stroj-stroj (M2M). Često nazivan “Google za log datoteke”[4], Splunk se također predstavlja kao tvrtka za upravljanje sigurnosnim informacijama i događajima (SIEM). Splunk nudi mnoga rješenja za kupce poput:

Prikaz mogućeg izgleda splunk nadzorne ploče


Splunk Enterprise Security

Splunk ES pomaže u postizanju kontinuiranog nadzora, podršci SOC-u, implementaciji odgovora na incidente ili informiranju dionika o poslovnim rizicima. Rješenje je moguće pokrenuti u različitim okruženjima, kao što su javni i privatni oblaci, lokalna infrastruktura i hibridne implementacije[6].

Splunk ES značajke koje pomažu dobivanju uvida u sigurnosno stanje

Knjižnica widgeta za sigurnosno stanje

Dodavanje widgeta na nadzorne ploče ili izrada vlastitih.

Pregledavanje sigurnosnih događaja po kategorijama

Moguć je pregled događaja po lokaciji, vrsti izvora, hostu, zemljopisu i grupama sredstava.

Splunk ES značajke za pregled i klasifikaciju incidenta

Pregled skupa ili pojedinačnog događaja

ES omogućuje pregled incidenata kao pojedinačnog događaja ili kao 'skup' povezanih događaja. Također pruža radni tijek upravljanja incidentima dizajniran za sigurnosne timove.

Klasifikacija

Splunk ES omogućuje provjeru incidenata, promjenu statusa i kritičnosti incidenata i prijenos incidenata između članova tima.

Praćenje

Splunk ES revidira i prati promjene statusa za metriku tima.

Zaštita krajnje točke

Splunk ES pruža izvješća, pretraživanja i biblioteku upozorenja za rijetke aktivnosti, zlonamjerni softver (malware) te iskorištenost i dostupnost resursa.

Određivanje prioriteta prijetnji

Splunk ES pomaže u određivanju prioriteta prijetnji i pregledu dugoročnih trendova.

Integracija

Splunk ES može s spojiti s drugim sigurnosnim rješenjima krajnjih točaka, uključujući Symantec Endpoint Protection, McAfee Endpoint Protection i IBM Proventia Desktop.

Zaštita mreže

Splunk Enterprise Security nudi mogućnosti koje vam pomažu u praćenju i otkrivanju događaja s različitih mrežnih i sigurnosnih uređaja. Značajne mogućnosti uključuju pretraživanja, korelacije, nadzorne ploče, izvješća i upozorenja o mrežnim događajima. Rješenje primjenjuje statističku analizu na proxy podacima kako bi pomoglo u razumijevanju odstupanja u ponašanju temeljenih na HTTP-u. Pomaže u otkrivanju anomalija u različitim komponentama, uključujući vatrozidove, DHCP, usmjerivače, balansere opterećenja, bežične pristupne točke, uređaje za sprječavanje gubitka podataka (DLP) i senzore za otkrivanje upada.

Okvir obavještajnih podataka o prijetnjama

Splunk ES pomaže poboljšati istrage incidenata tako da se koristite feedovi prijetnji iz različitih izvora. Izvori se mogu rangirati prema relativnoj vrijednosti. Također može automatski prikupljati, agregirati i uklanjati duplikate izvora. Neki od uobičajenih izvora uključuju:


Usporedba sa QRadar-om

Splunk Enterprise Security (ES) i IBM QRadar su oba alata za upravljanje sigurnošću i analizu događaja, ali imaju neke različite karakteristike koje je važno znati prije odluke nabave.

Arhitektura

Splunk ES koristi Splunk platformu za prikupljanje, indeksiranje i analizu podataka. To omogućava snažne mogućnosti pretrage i vizualizacije podataka. QRadar ima centraliziranu arhitekturu koja koristi distribuirane senzore za prikupljanje podataka. Svi podaci se šalju centralnom serveru za analizu.

Analiza događaja

Splunk je poznat po svojoj moćnoj pretrazi i analizi podataka. Splunk ES pruža napredne mogućnosti pretrage događaja, uključujući i vizualizaciju podataka pomoću Splunk Dashboards. QRadar također ima snažne analitičke mogućnosti, koristeći set pravila za identifikaciju sigurnosnih prijetnji i generiranje upozorenja.

Integracija s drugim alatima

Splunk je poznat po svojoj otvorenosti i velikom broju dostupnih integracija. Splunk ES se može integrirati s različitim sigurnosnim alatima i izvorima podataka. IBM QRadar također podržava integraciju s raznim sigurnosnim alatima i tehnologijama putem podržanih protokola.

Prilagodljivost i konfigurabilnost:

Splunk nudi visoku razinu prilagodljivosti i konfigurabilnosti. Korisnici mogu prilagoditi pretrage, izvještaje i vizualizacije prema svojim potrebama. QRadar je manje prilagodljiv u usporedbi s Splunkom, ali nudi solidne značajke konfiguriranja pravila i izvještaja.

Cijena

Splunk se naplaćuje na temelju količine podataka unesenih na dnevnoj bazi ili broja potrošenih Splunk Virtual Compute (SVC) jedinica (cijena radnog opterećenja), što može biti skuplje od QRadara koji se naplaćuje na temelju događaja u sekundi[7].

Korisničko sučelje

Splunk ES nudi intuitivno korisničko sučelje s bogatim mogućnostima pretrage i vizualizacije podataka. Korisničko sučelje QRadara može biti manje intuitivno za početnike, ali nudi sveobuhvatne informacije o sigurnosnim događajima.

Skalabilnost

Splunk je poznat po svojoj skalabilnosti, a Splunk ES može rukovati s velikim količinama podataka uz odgovarajuću infrastrukturu. QRadar također pruža skalabilnost, a može se prilagoditi za rukovanje velikim sigurnosnim infrastrukturama.

Iako su Splunk i QRadar dobre sigurnosne platforme za korištenje, potrebno je opsežno istraživanje prije donošenja odluke o ulaganju u bilo koju od dvije platforme. Neke stvari koje treba uzeti u obzir uključuju jednostavnost korištenja i prilagodbu, gdje je Splunk lakši za korištenje, fleksibilniji i lakši za prilagodbu od QRadara. S druge strane, ako je kupac zainteresiraniji jeftinije rješenje ili za rješenje za SIEM koje se dobro integrira s IBM proizvodima, onda bi QRadar mogao biti bolji izbor, iako ga je teže konfigurirati i prilagoditi nego Splunk.


Zaključak

Splunk Enterprise Security (ES) predstavlja snažan alat za Security Information and Event Management (SIEM), integrirajući se s Splunk platformom kako bi pružio visoku razinu prilagodljivosti, analitičkih mogućnosti i vizualizacije podataka. Ovo rješenje je ključno za organizacije koje žele ostvariti kontinuirani nadzor, podršku Security Operations Centra (SOC) te učinkovito reagirati na sigurnosne incidente.

Usporedba s konkurentnim alatom poput IBM QRadar ističe različite karakteristike u arhitekturi, analitičkim sposobnostima, integracijama, prilagodljivosti, licenciranju, korisničkom sučelju i skalabilnosti. Splunk ES se izdvaja po otvorenosti, bogatim integracijama i intuitivnom korisničkom sučelju, dok njegova skalabilnost impresivno podržava velike količine podataka uz odgovarajuću infrastrukturu.

S obzirom na širok spektar značajki, od zaštite krajnjih točaka do upravljanja incidentima, Splunk ES pruža sveobuhvatno SIEM rješenje za organizacije koje teže unaprijediti svoju kibernetičku sigurnost.

Literatura

[1] https://www.trellix.com/security-awareness/operations/what-is-soc/ [2] https://www.manageengine.com/log-management/siem/collecting-and-analysing-different-log-types.html [3] https://www.edureka.co/blog/what-is-splunk/ [4] https://www.webagesolutions.com/blog/5713-2 [5] https://www.splunk.com/en_us/products/cyber-security.html [6] https://www.bluevoyant.com/knowledge-center/splunk-enterprise-security-use-cases-features-and-process [7] https://kinneygroup.com/blog/splunk-vs-qradar/