Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:seminari2023:splunk_siem_sustav [2024/01/21 15:08]
tdujmovic [Što je SPLUNK?] 		racfor_wiki:seminari2023:splunk_siem_sustav [2024/12/05 12:24] (trenutno)
Redak 1: Redak 1:
-====== SPLUNK SIEM ======+====== Splunk SIEM ======
  
  
 ====Što je SIEM?==== ====Što je SIEM?====
  
-Security Information and Event Management (SIEM) je centralna točka mnogih Security operations centra (SOC).  SOC je centralizirana funkcija unutar organizacije koja koristi ljude, procese i tehnologiju za kontinuirani nadzor i poboljšanje sigurnosnog položaja organizacije dok sprječava, otkriva, analizira i reagira na incidente iz područja kibernetičke sigurnosti. Kako bi SOC kontinuirano proaktivno mogao pratiti sustave koriste se različita SIEM rješenja.  +Security Information and Event Management (SIEM) je centralna točka mnogih Security operations centra (SOC).  SOC je centralizirana funkcija unutar organizacije koja koristi ljude, procese i tehnologiju za kontinuirani nadzor i poboljšanje sigurnosnog položaja organizacije dok sprječava, otkriva, analizira i reagira na incidente iz područja kibernetičke sigurnosti[1]. Kako bi SOC kontinuirano proaktivno mogao pratiti sustave koriste se različita SIEM rješenja.  
-Ključ svakog SIEM sustava je pristup svim relevantnim sigurnosnim podatcima. Ti sigurnosni podatci uključuju sigurnosne zapise s poslužitelja, vatrozida itd., kao i zapisi proxyja, zapisi aplikacija, zapisi web poslužitelja, zapisi e-pošte i zapisi chata i mnoge druge ovisno o vrsti sustava koji se štiti poput podatci sa sustava za anti-malware, otkrivanja upada i skenera ranjivosti.+Ključ svakog SIEM sustava je pristup svim relevantnim sigurnosnim podatcima. Ti sigurnosni podatci uključuju sigurnosne zapise s poslužitelja, vatrozida itd., kao i zapisi proxyja, aplikacija, web poslužitelja, e-pošte i razgovora i mnoge druge ovisno o vrsti sustava koji se štiti poput podatci sa anti-malware sustava, otkrivanja upada i skenera ranjivosti[2].
  
 ---- ----
  
-====Što je SPLUNK?====+====Što je Splunk?====
  
-Splunk je softverska platforma za pretraživanje, analizu i vizualizaciju strojno generiranih podataka prikupljenih s web stranica, aplikacija, senzora, uređaja itd. koji čine vašu IT infrastrukturu i poslovanje+Splunk je softverska platforma za pretraživanje, analizu i vizualizaciju strojno generiranih podataka prikupljenih s web stranica, aplikacija, senzora, uređaja itd. koji čine IT infrastrukturu[3]
-Ako sustav kontinuirano generira logove koje je potrebno kategorizirati i analizirati u pravom vremenu to je moguće obaviti pomoću SPLUNK-a. +Ako sustav kontinuirano generira logove koje je potrebno kategorizirati i analizirati u pravom vremenu to je moguće obaviti pomoću Splunka-a. 
-Splunk-ova platforma za upravljanje zapisima koristi svoj vlastiti jezik za obradu pretraživanja za prelaženje velikih skupova strojnih podataka i izvršavanje kontekstualnih upita. Strojni podaci, najbrže rastuće područje velikih podataka u poduzeću, uključuju svaku korisničku transakciju, poruku sustava, sumnjivu aktivnost i interakciju stroj-stroj (M2M). Često nazivan "Google za log datoteke", Splunk se također predstavlja kao tvrtka za upravljanje sigurnosnim informacijama i događajima (SIEM). +Splunk-ova platforma za upravljanje zapisima koristi svoj vlastiti jezik za obradu pretraživanja za prelaženje velikih skupova strojnih podataka i izvršavanje kontekstualnih upita. Strojni podaci, najbrže rastuće područje velikih podataka u poduzeću, uključuju svaku korisničku transakciju, poruku sustava, sumnjivu aktivnost i interakciju stroj-stroj (M2M). Često nazivan "Google za log datoteke"[4], Splunk se također predstavlja kao tvrtka za upravljanje sigurnosnim informacijama i događajima (SIEM). 
-Splunk nudi mnoga riješenja za kupce poput:+Splunk nudi mnoga rješenja za kupce poput:
  
-  *  Splunk Enterprise - nadzire i analizira strojne podatke iz bilo kojeg izvora za isporuku operativne inteligencije za optimizaciju IT-a, sigurnosti i poslovnih performansi. Ponuda uključuje intuitivne analitičke značajke, strojno učenje, pakirane aplikacije i otvorene API-je, a može se skalirati od fokusiranih slučajeva upotrebe do analitičke okosnice cijele tvrtke.Iako je moguće uspostavit SIEM sustav sa Splunk Enterpise-om za to je potrebno iznimno znanje alta ne kontinuiranje praćenje i nadogradnja samog sustava te se zbog toga kao preporučuje korištenje Splunk Enterprise Security-a. Slika ispod prikazuje mogući izgled Splunk Enterprise dashboard-a +  *  Splunk Enterprise - nadzire i analizira strojne podatke iz bilo kojeg izvora za isporuku operativne inteligencije za optimizaciju IT-a, sigurnosti i poslovnih performansi[5]. Ponuda uključuje intuitivne analitičke značajke, strojno učenje, pakirane aplikacije i otvorene API-je, a može se skalirati od fokusiranih slučajeva upotrebe do analitičke okosnice cijele tvrtke. Iako je moguće uspostavit SIEM sustav sa Splunk Enterpise-om za to je potrebno iznimno znanje alta ne kontinuiranje praćenje i nadogradnja samog sustava te se zbog toga kao preporučuje korištenje Splunk Enterprise Security-a. "Slika 1: Prikaz mogućeg izgleda splunk nadzorne ploče" ispod prikazuje mogući izgled nadzorne ploče Splunk Enterprise-a
  
   *  Splunk Cloud - koristi prednosti Splunk Enterprisea kao usluge u oblaku, skalira se na više terabajta dnevno i nudi vrlo sigurno okruženje.   *  Splunk Cloud - koristi prednosti Splunk Enterprisea kao usluge u oblaku, skalira se na više terabajta dnevno i nudi vrlo sigurno okruženje.
Redak 22: Redak 22:
   *  Splunk Light - dizajniran za ubrzavanje taktičkog rješavanja problema prikupljanjem podataka dnevnika u stvarnom vremenu iz distribuiranih aplikacija i infrastrukture na jednom mjestu kako bi se omogućila snažna pretraživanja, dinamičke nadzorne ploče i upozorenja i izvješćivanje za analizu u stvarnom vremenu. Splunk Light se može nadograditi na Splunk Enterprise.   *  Splunk Light - dizajniran za ubrzavanje taktičkog rješavanja problema prikupljanjem podataka dnevnika u stvarnom vremenu iz distribuiranih aplikacija i infrastrukture na jednom mjestu kako bi se omogućila snažna pretraživanja, dinamičke nadzorne ploče i upozorenja i izvješćivanje za analizu u stvarnom vremenu. Splunk Light se može nadograditi na Splunk Enterprise.
  
-  *  Splunk Enterprise Security - SIEM ponuda, pruža uvid u strojne podatke iz sigurnosnih tehnologija kao što su mreža, krajnja točka, pristup, malware, ranjivost i informacije o identitetu.+  *  Splunk Enterprise Security - SIEM ponuda, pruža uvid u strojne podatke iz sigurnosnih tehnologija kao što su mreža, krajnja točka, kontrole pristupa, malware, ranjivost i informacije o identitetu.
  
   * Splunk IT Service Intelligence - rješenje za praćenje i analitiku mrežnog prometa koje koristi strojno učenje i analizu događaja za pružanje uvida koji se mogu poduzeti.   * Splunk IT Service Intelligence - rješenje za praćenje i analitiku mrežnog prometa koje koristi strojno učenje i analizu događaja za pružanje uvida koji se mogu poduzeti.
Redak 29: Redak 29:
  
  
-{{  racfor_wiki:seminari2023:splunk-dashboard3.png  |Prikaz splunk dashboarda}}+{{  racfor_wiki:seminari2023:splunk-dashboard3.png  |Prikaz mogućeg izgleda splunk nadzorne ploče}}
 ---- ----
  
 ====Splunk Enterprise Security==== ====Splunk Enterprise Security====
  
-Splunk ES pomaže u postizanju kontinuiranog nadzora, podršci SOC-u, implementaciji odgovora na incidente ili informiranju dionika o poslovnim rizicima. Rješenje je moguće pokrenuti u različitim okruženjima, kao što su javni i privatni oblaci, lokalna infrastruktura i hibridne implementacije.+Splunk ES pomaže u postizanju kontinuiranog nadzora, podršci SOC-u, implementaciji odgovora na incidente ili informiranju dionika o poslovnim rizicima. Rješenje je moguće pokrenuti u različitim okruženjima, kao što su javni i privatni oblaci, lokalna infrastruktura i hibridne implementacije[6].
  
-Splunk Enterprise Security nudi sljedeće značajke koje pomažu dobivanja uvida u sigurnosno stanje+===Splunk ES značajke koje pomažu dobivanju uvida u sigurnosno stanje===
-Knjižnica widgeta za sigurnosno stanje — dodavajne widgeta na nadzorne ploče ili izrada vlastitih. +
-Pregledavanje sigurnosnih događaja po kategorijama - pregled događaja po lokaciji, vrsti izvora, hostu, zemljopisu i grupama sredstava.+
  
-Splunk Enterprise Security nudi sljedeće značajke za pregled i klasifikaciju incidenta+==Knjižnica widgeta za sigurnosno stanje==  
-===Pregled Splunk=== +Dodavanje widgeta na nadzorne pločili izrada vlastitih. 
 + 
 +==Pregledavanje sigurnosnih događaja po kategorijama== 
 +Moguć je pregled događaja po lokaciji, vrsti izvora, hostu, zemljopisu i grupama sredstava. 
 + 
 +===Splunk ES značajke za pregled i klasifikaciju incidenta=== 
 +==Pregled skupa ili pojedinačnog događaja==
 ES omogućuje pregled incidenata kao pojedinačnog događaja ili kao 'skup' povezanih događaja. Također pruža radni tijek upravljanja incidentima dizajniran za sigurnosne timove. ES omogućuje pregled incidenata kao pojedinačnog događaja ili kao 'skup' povezanih događaja. Također pruža radni tijek upravljanja incidentima dizajniran za sigurnosne timove.
-===Klasifikacija==Splunk ES omogućuje provjeru incidenata, promjenu statusa i kritičnosti incidenata i prijenos incidenata između članova tima. + 
-===Praćenje===+==Klasifikacija==  
 +Splunk ES omogućuje provjeru incidenata, promjenu statusa i kritičnosti incidenata i prijenos incidenata između članova tima. 
 + 
 +==Praćenje==
 Splunk ES revidira i prati promjene statusa za metriku tima. Splunk ES revidira i prati promjene statusa za metriku tima.
  
-===Zaštita krajnje točke=== +==Zaštita krajnje točke== 
-Splunk Enterprise Security nudi sljedeće značajke zaštite krajnjih točaka: +Splunk ES pruža izvješća, pretraživanja i biblioteku upozorenja za rijetke aktivnosti, zlonamjerni softver (malware) te iskorištenost i dostupnost resursa. 
- Zaštita krajnje točke—Splunk ES pruža izvješća, pretraživanja i biblioteku upozorenja za rijetke aktivnosti, zlonamjerni softver (malware) te iskorištenost i dostupnost resursa. +==Određivanje prioriteta prijetnji== 
-Određivanje prioriteta prijetnjiSplunk ES pomaže u određivanju prioriteta prijetnji i pregledu dugoročnih trendova. +Splunk ES pomaže u određivanju prioriteta prijetnji i pregledu dugoročnih trendova. 
-Integracijamožete spojiti ES s drugim sigurnosnim rješenjima krajnjih točaka, uključujući Symantec Endpoint Protection, McAfee Endpoint Protection i IBM Proventia Desktop.+==Integracija== 
 +Splunk ES može s spojiti s drugim sigurnosnim rješenjima krajnjih točaka, uključujući Symantec Endpoint Protection, McAfee Endpoint Protection i IBM Proventia Desktop.
  
-===Zaštita mreže===+==Zaštita mreže==
 Splunk Enterprise Security nudi mogućnosti koje vam pomažu u praćenju i otkrivanju događaja s različitih mrežnih i sigurnosnih uređaja. Značajne mogućnosti uključuju pretraživanja, korelacije, nadzorne ploče, izvješća i upozorenja o mrežnim događajima. Rješenje primjenjuje statističku analizu na proxy podacima kako bi pomoglo u razumijevanju odstupanja u ponašanju temeljenih na HTTP-u. Pomaže u otkrivanju anomalija u različitim komponentama, uključujući vatrozidove, DHCP, usmjerivače, balansere opterećenja, bežične pristupne točke, uređaje za sprječavanje gubitka podataka (DLP) i senzore za otkrivanje upada. Splunk Enterprise Security nudi mogućnosti koje vam pomažu u praćenju i otkrivanju događaja s različitih mrežnih i sigurnosnih uređaja. Značajne mogućnosti uključuju pretraživanja, korelacije, nadzorne ploče, izvješća i upozorenja o mrežnim događajima. Rješenje primjenjuje statističku analizu na proxy podacima kako bi pomoglo u razumijevanju odstupanja u ponašanju temeljenih na HTTP-u. Pomaže u otkrivanju anomalija u različitim komponentama, uključujući vatrozidove, DHCP, usmjerivače, balansere opterećenja, bežične pristupne točke, uređaje za sprječavanje gubitka podataka (DLP) i senzore za otkrivanje upada.
  
-===Okvir obavještajnih podataka o prijetnjama=== +==Okvir obavještajnih podataka o prijetnjama== 
-Splunk ES pomaže poboljšati istrage incidenata tako da se koristite izvori prijetnji iz različitih izvora. Feedovi se mogu rangirati prema relativnoj vrijednosti. Također može automatski prikupljati, agregirati i uklanjati duplikate feedova. Neki od uobičajenih feedova uključuju: +Splunk ES pomaže poboljšati istrage incidenata tako da se koristite feedovi prijetnji iz različitih izvora. Izvori se mogu rangirati prema relativnoj vrijednosti. Također može automatski prikupljati, agregirati i uklanjati duplikate izvora. Neki od uobičajenih izvora uključuju: 
-Sažeci otvorenog koda—dostupni kao datoteke putem API usluge. +  Sažeci otvorenog koda—dostupni kao datoteke putem API usluge. 
-Feedovi temeljeni na pretplati—dostupni putem TCP streaminga. +  Feedovi temeljeni na pretplati—dostupni putem TCP streaminga. 
-Feedovi za provođenje zakona ili lokalne okoline—dostupni putem ručnog preuzimanja. +  Feedovi za provođenje zakona ili lokalne okoline—dostupni putem ručnog preuzimanja. 
-Zajednički izvori prijetnji dostupni kao OpenIOC ili STIX dokumenti putem TAXII protokola.+  Zajednički izvori prijetnji dostupni kao OpenIOC ili STIX dokumenti putem TAXII protokola.
  
 ---- ----
  
 ====Usporedba sa QRadar-om==== ====Usporedba sa QRadar-om====
-Splunk Enterprise Security (ES) i IBM QRadar su oba alata za upravljanje sigurnošću i analizu događaja, ali imaju neke različite karakteristike, poput: +Splunk Enterprise Security (ES) i IBM QRadar su oba alata za upravljanje sigurnošću i analizu događaja, ali imaju neke različite karakteristike koje je važno znati prije odluke nabave. 
 ===Arhitektura=== ===Arhitektura===
 Splunk ES koristi Splunk platformu za prikupljanje, indeksiranje i analizu podataka. To omogućava snažne mogućnosti pretrage i vizualizacije podataka. Splunk ES koristi Splunk platformu za prikupljanje, indeksiranje i analizu podataka. To omogućava snažne mogućnosti pretrage i vizualizacije podataka.
Redak 80: Redak 88:
 QRadar je manje prilagodljiv u usporedbi s Splunkom, ali nudi solidne značajke konfiguriranja pravila i izvještaja. QRadar je manje prilagodljiv u usporedbi s Splunkom, ali nudi solidne značajke konfiguriranja pravila i izvještaja.
 ===Cijena=== ===Cijena===
-Splunk se naplaćuje na temelju količine podataka unesenih na dnevnoj bazi ili broja potrošenih Splunk Virtual Compute (SVC) jedinica (cijena radnog opterećenja), što može biti skuplje od QRadara koji se naplaćuje na temelju događaja u sekundi.+Splunk se naplaćuje na temelju količine podataka unesenih na dnevnoj bazi ili broja potrošenih Splunk Virtual Compute (SVC) jedinica (cijena radnog opterećenja), što može biti skuplje od QRadara koji se naplaćuje na temelju događaja u sekundi[7].
 ===Korisničko sučelje=== ===Korisničko sučelje===
 Splunk ES nudi intuitivno korisničko sučelje s bogatim mogućnostima pretrage i vizualizacije podataka. Splunk ES nudi intuitivno korisničko sučelje s bogatim mogućnostima pretrage i vizualizacije podataka.
Redak 88: Redak 96:
 QRadar također pruža skalabilnost, a može se prilagoditi za rukovanje velikim sigurnosnim infrastrukturama. QRadar također pruža skalabilnost, a može se prilagoditi za rukovanje velikim sigurnosnim infrastrukturama.
  
-Iako su Splunk i QRadar dobre sigurnosne platforme za korištenje, potrebno je opsežno istraživanje prije donošenja odluke o ulaganju u bilo koju od dvije platforme. Neke stvari koje treba uzeti u obzir uključuju jednostavnost korištenja i prilagodbu, gdje je Splunk lakši za korištenje, fleksibilniji i lakši za prilagodbu od QRadara. S druge strane, ako je kupac zainteresiraniji jeftinije rješenje ili za rješenje za sigurnosnu inteligenciju koje se dobro integrira s IBM proizvodima, onda bi QRadar mogao biti bolji izbor, iako ga je teže konfigurirati i prilagoditi nego Splunk.+Iako su Splunk i QRadar dobre sigurnosne platforme za korištenje, potrebno je opsežno istraživanje prije donošenja odluke o ulaganju u bilo koju od dvije platforme. Neke stvari koje treba uzeti u obzir uključuju jednostavnost korištenja i prilagodbu, gdje je Splunk lakši za korištenje, fleksibilniji i lakši za prilagodbu od QRadara. S druge strane, ako je kupac zainteresiraniji jeftinije rješenje ili za rješenje za SIEM koje se dobro integrira s IBM proizvodima, onda bi QRadar mogao biti bolji izbor, iako ga je teže konfigurirati i prilagoditi nego Splunk.
 ---- ----
 ====Zaključak==== ====Zaključak====
Redak 97: Redak 105:
 S obzirom na širok spektar značajki, od zaštite krajnjih točaka do upravljanja incidentima, Splunk ES pruža sveobuhvatno SIEM rješenje za organizacije koje teže unaprijediti svoju kibernetičku sigurnost. S obzirom na širok spektar značajki, od zaštite krajnjih točaka do upravljanja incidentima, Splunk ES pruža sveobuhvatno SIEM rješenje za organizacije koje teže unaprijediti svoju kibernetičku sigurnost.
  
 +====Literatura====
 +
 +[1] https://www.trellix.com/security-awareness/operations/what-is-soc/
 +[2] https://www.manageengine.com/log-management/siem/collecting-and-analysing-different-log-types.html
 +[3] https://www.edureka.co/blog/what-is-splunk/
 +[4] https://www.webagesolutions.com/blog/5713-2
 +[5] https://www.splunk.com/en_us/products/cyber-security.html
 +[6] https://www.bluevoyant.com/knowledge-center/splunk-enterprise-security-use-cases-features-and-process
 +[7] https://kinneygroup.com/blog/splunk-vs-qradar/
racfor_wiki/seminari2023/splunk_siem_sustav.1705849714.txt.gz · Zadnja izmjena: 2024/12/05 12:23 (vanjsko uređivanje)
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0