Splunk SIEM

Security Information and Event Management (SIEM) je centralna točka mnogih Security operations centra (SOC). SOC je centralizirana funkcija unutar organizacije koja koristi ljude, procese i tehnologiju za kontinuirani nadzor i poboljšanje sigurnosnog položaja organizacije dok sprječava, otkriva, analizira i reagira na incidente iz područja kibernetičke sigurnosti[1]. Kako bi SOC kontinuirano proaktivno mogao pratiti sustave koriste se različita SIEM rješenja. Ključ svakog SIEM sustava je pristup svim relevantnim sigurnosnim podatcima. Ti sigurnosni podatci uključuju sigurnosne zapise s poslužitelja, vatrozida itd., kao i zapisi proxyja, aplikacija, web poslužitelja, e-pošte i razgovora i mnoge druge ovisno o vrsti sustava koji se štiti poput podatci sa anti-malware sustava, otkrivanja upada i skenera ranjivosti[2].

Splunk je softverska platforma za pretraživanje, analizu i vizualizaciju strojno generiranih podataka prikupljenih s web stranica, aplikacija, senzora, uređaja itd. koji čine IT infrastrukturu[3]. Ako sustav kontinuirano generira logove koje je potrebno kategorizirati i analizirati u pravom vremenu to je moguće obaviti pomoću Splunka-a. Splunk-ova platforma za upravljanje zapisima koristi svoj vlastiti jezik za obradu pretraživanja za prelaženje velikih skupova strojnih podataka i izvršavanje kontekstualnih upita. Strojni podaci, najbrže rastuće područje velikih podataka u poduzeću, uključuju svaku korisničku transakciju, poruku sustava, sumnjivu aktivnost i interakciju stroj-stroj (M2M). Često nazivan “Google za log datoteke”[4], Splunk se također predstavlja kao tvrtka za upravljanje sigurnosnim informacijama i događajima (SIEM). Splunk nudi mnoga rješenja za kupce poput:

• Splunk Enterprise - nadzire i analizira strojne podatke iz bilo kojeg izvora za isporuku operativne inteligencije za optimizaciju IT-a, sigurnosti i poslovnih performansi[5]. Ponuda uključuje intuitivne analitičke značajke, strojno učenje, pakirane aplikacije i otvorene API-je, a može se skalirati od fokusiranih slučajeva upotrebe do analitičke okosnice cijele tvrtke. Iako je moguće uspostavit SIEM sustav sa Splunk Enterpise-om za to je potrebno iznimno znanje alta ne kontinuiranje praćenje i nadogradnja samog sustava te se zbog toga kao preporučuje korištenje Splunk Enterprise Security-a. “Slika 1: Prikaz mogućeg izgleda splunk nadzorne ploče” ispod prikazuje mogući izgled nadzorne ploče Splunk Enterprise-a.

• Splunk Cloud - koristi prednosti Splunk Enterprisea kao usluge u oblaku, skalira se na više terabajta dnevno i nudi vrlo sigurno okruženje.

• Splunk Light - dizajniran za ubrzavanje taktičkog rješavanja problema prikupljanjem podataka dnevnika u stvarnom vremenu iz distribuiranih aplikacija i infrastrukture na jednom mjestu kako bi se omogućila snažna pretraživanja, dinamičke nadzorne ploče i upozorenja i izvješćivanje za analizu u stvarnom vremenu. Splunk Light se može nadograditi na Splunk Enterprise.

• Splunk Enterprise Security - SIEM ponuda, pruža uvid u strojne podatke iz sigurnosnih tehnologija kao što su mreža, krajnja točka, kontrole pristupa, malware, ranjivost i informacije o identitetu.

• Splunk IT Service Intelligence - rješenje za praćenje i analitiku mrežnog prometa koje koristi strojno učenje i analizu događaja za pružanje uvida koji se mogu poduzeti.

• Splunk User Behavior Analytics - alat temeljen na strojnom učenju za pronalaženje nepoznatih prijetnji i nenormalnog ponašanja među korisnicima, krajnjim uređajima i aplikacijama.

Splunk ES pomaže u postizanju kontinuiranog nadzora, podršci SOC-u, implementaciji odgovora na incidente ili informiranju dionika o poslovnim rizicima. Rješenje je moguće pokrenuti u različitim okruženjima, kao što su javni i privatni oblaci, lokalna infrastruktura i hibridne implementacije[6].

Dodavanje widgeta na nadzorne ploče ili izrada vlastitih.

Moguć je pregled događaja po lokaciji, vrsti izvora, hostu, zemljopisu i grupama sredstava.

ES omogućuje pregled incidenata kao pojedinačnog događaja ili kao 'skup' povezanih događaja. Također pruža radni tijek upravljanja incidentima dizajniran za sigurnosne timove.

Splunk ES omogućuje provjeru incidenata, promjenu statusa i kritičnosti incidenata i prijenos incidenata između članova tima.

Splunk ES revidira i prati promjene statusa za metriku tima.

Splunk ES pruža izvješća, pretraživanja i biblioteku upozorenja za rijetke aktivnosti, zlonamjerni softver (malware) te iskorištenost i dostupnost resursa.

Splunk ES pomaže u određivanju prioriteta prijetnji i pregledu dugoročnih trendova.

Splunk ES može s spojiti s drugim sigurnosnim rješenjima krajnjih točaka, uključujući Symantec Endpoint Protection, McAfee Endpoint Protection i IBM Proventia Desktop.

Splunk Enterprise Security nudi mogućnosti koje vam pomažu u praćenju i otkrivanju događaja s različitih mrežnih i sigurnosnih uređaja. Značajne mogućnosti uključuju pretraživanja, korelacije, nadzorne ploče, izvješća i upozorenja o mrežnim događajima. Rješenje primjenjuje statističku analizu na proxy podacima kako bi pomoglo u razumijevanju odstupanja u ponašanju temeljenih na HTTP-u. Pomaže u otkrivanju anomalija u različitim komponentama, uključujući vatrozidove, DHCP, usmjerivače, balansere opterećenja, bežične pristupne točke, uređaje za sprječavanje gubitka podataka (DLP) i senzore za otkrivanje upada.

Splunk ES pomaže poboljšati istrage incidenata tako da se koristite feedovi prijetnji iz različitih izvora. Izvori se mogu rangirati prema relativnoj vrijednosti. Također može automatski prikupljati, agregirati i uklanjati duplikate izvora. Neki od uobičajenih izvora uključuju:

• Sažeci otvorenog koda—dostupni kao datoteke putem API usluge.
• Feedovi temeljeni na pretplati—dostupni putem TCP streaminga.
• Feedovi za provođenje zakona ili lokalne okoline—dostupni putem ručnog preuzimanja.
• Zajednički izvori prijetnji dostupni kao OpenIOC ili STIX dokumenti putem TAXII protokola.

Splunk Enterprise Security (ES) i IBM QRadar su oba alata za upravljanje sigurnošću i analizu događaja, ali imaju neke različite karakteristike koje je važno znati prije odluke nabave.

Splunk ES koristi Splunk platformu za prikupljanje, indeksiranje i analizu podataka. To omogućava snažne mogućnosti pretrage i vizualizacije podataka. QRadar ima centraliziranu arhitekturu koja koristi distribuirane senzore za prikupljanje podataka. Svi podaci se šalju centralnom serveru za analizu.

Splunk je poznat po svojoj moćnoj pretrazi i analizi podataka. Splunk ES pruža napredne mogućnosti pretrage događaja, uključujući i vizualizaciju podataka pomoću Splunk Dashboards. QRadar također ima snažne analitičke mogućnosti, koristeći set pravila za identifikaciju sigurnosnih prijetnji i generiranje upozorenja.

Splunk je poznat po svojoj otvorenosti i velikom broju dostupnih integracija. Splunk ES se može integrirati s različitim sigurnosnim alatima i izvorima podataka. IBM QRadar također podržava integraciju s raznim sigurnosnim alatima i tehnologijama putem podržanih protokola.

Splunk nudi visoku razinu prilagodljivosti i konfigurabilnosti. Korisnici mogu prilagoditi pretrage, izvještaje i vizualizacije prema svojim potrebama. QRadar je manje prilagodljiv u usporedbi s Splunkom, ali nudi solidne značajke konfiguriranja pravila i izvještaja.

Splunk se naplaćuje na temelju količine podataka unesenih na dnevnoj bazi ili broja potrošenih Splunk Virtual Compute (SVC) jedinica (cijena radnog opterećenja), što može biti skuplje od QRadara koji se naplaćuje na temelju događaja u sekundi[7].

Splunk ES nudi intuitivno korisničko sučelje s bogatim mogućnostima pretrage i vizualizacije podataka. Korisničko sučelje QRadara može biti manje intuitivno za početnike, ali nudi sveobuhvatne informacije o sigurnosnim događajima.

Splunk je poznat po svojoj skalabilnosti, a Splunk ES može rukovati s velikim količinama podataka uz odgovarajuću infrastrukturu. QRadar također pruža skalabilnost, a može se prilagoditi za rukovanje velikim sigurnosnim infrastrukturama.

Iako su Splunk i QRadar dobre sigurnosne platforme za korištenje, potrebno je opsežno istraživanje prije donošenja odluke o ulaganju u bilo koju od dvije platforme. Neke stvari koje treba uzeti u obzir uključuju jednostavnost korištenja i prilagodbu, gdje je Splunk lakši za korištenje, fleksibilniji i lakši za prilagodbu od QRadara. S druge strane, ako je kupac zainteresiraniji jeftinije rješenje ili za rješenje za SIEM koje se dobro integrira s IBM proizvodima, onda bi QRadar mogao biti bolji izbor, iako ga je teže konfigurirati i prilagoditi nego Splunk.

Splunk Enterprise Security (ES) predstavlja snažan alat za Security Information and Event Management (SIEM), integrirajući se s Splunk platformom kako bi pružio visoku razinu prilagodljivosti, analitičkih mogućnosti i vizualizacije podataka. Ovo rješenje je ključno za organizacije koje žele ostvariti kontinuirani nadzor, podršku Security Operations Centra (SOC) te učinkovito reagirati na sigurnosne incidente.

Usporedba s konkurentnim alatom poput IBM QRadar ističe različite karakteristike u arhitekturi, analitičkim sposobnostima, integracijama, prilagodljivosti, licenciranju, korisničkom sučelju i skalabilnosti. Splunk ES se izdvaja po otvorenosti, bogatim integracijama i intuitivnom korisničkom sučelju, dok njegova skalabilnost impresivno podržava velike količine podataka uz odgovarajuću infrastrukturu.

S obzirom na širok spektar značajki, od zaštite krajnjih točaka do upravljanja incidentima, Splunk ES pruža sveobuhvatno SIEM rješenje za organizacije koje teže unaprijediti svoju kibernetičku sigurnost.

[1] https://www.trellix.com/security-awareness/operations/what-is-soc/ [2] https://www.manageengine.com/log-management/siem/collecting-and-analysing-different-log-types.html [3] https://www.edureka.co/blog/what-is-splunk/ [4] https://www.webagesolutions.com/blog/5713-2 [5] https://www.splunk.com/en_us/products/cyber-security.html [6] https://www.bluevoyant.com/knowledge-center/splunk-enterprise-security-use-cases-features-and-process [7] https://kinneygroup.com/blog/splunk-vs-qradar/