Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:seminari2023:splunk_siem_sustav [2024/01/21 15:23]
tdujmovic [Splunk Enterprise Security] 		racfor_wiki:seminari2023:splunk_siem_sustav [2024/12/05 12:24] (trenutno)
Redak 1: Redak 1:
-====== SPLUNK SIEM ======+====== Splunk SIEM ======
  
  
 ====Što je SIEM?==== ====Što je SIEM?====
  
-Security Information and Event Management (SIEM) je centralna točka mnogih Security operations centra (SOC).  SOC je centralizirana funkcija unutar organizacije koja koristi ljude, procese i tehnologiju za kontinuirani nadzor i poboljšanje sigurnosnog položaja organizacije dok sprječava, otkriva, analizira i reagira na incidente iz područja kibernetičke sigurnosti. Kako bi SOC kontinuirano proaktivno mogao pratiti sustave koriste se različita SIEM rješenja.  +Security Information and Event Management (SIEM) je centralna točka mnogih Security operations centra (SOC).  SOC je centralizirana funkcija unutar organizacije koja koristi ljude, procese i tehnologiju za kontinuirani nadzor i poboljšanje sigurnosnog položaja organizacije dok sprječava, otkriva, analizira i reagira na incidente iz područja kibernetičke sigurnosti[1]. Kako bi SOC kontinuirano proaktivno mogao pratiti sustave koriste se različita SIEM rješenja.  
-Ključ svakog SIEM sustava je pristup svim relevantnim sigurnosnim podatcima. Ti sigurnosni podatci uključuju sigurnosne zapise s poslužitelja, vatrozida itd., kao i zapisi proxyja, aplikacija, web poslužitelja, e-pošte i razgovora i mnoge druge ovisno o vrsti sustava koji se štiti poput podatci sa anti-malware sustava, otkrivanja upada i skenera ranjivosti.+Ključ svakog SIEM sustava je pristup svim relevantnim sigurnosnim podatcima. Ti sigurnosni podatci uključuju sigurnosne zapise s poslužitelja, vatrozida itd., kao i zapisi proxyja, aplikacija, web poslužitelja, e-pošte i razgovora i mnoge druge ovisno o vrsti sustava koji se štiti poput podatci sa anti-malware sustava, otkrivanja upada i skenera ranjivosti[2].
  
 ---- ----
  
-====Što je SPLUNK?====+====Što je Splunk?====
  
-Splunk je softverska platforma za pretraživanje, analizu i vizualizaciju strojno generiranih podataka prikupljenih s web stranica, aplikacija, senzora, uređaja itd. koji čine IT infrastrukturu. +Splunk je softverska platforma za pretraživanje, analizu i vizualizaciju strojno generiranih podataka prikupljenih s web stranica, aplikacija, senzora, uređaja itd. koji čine IT infrastrukturu[3]
-Ako sustav kontinuirano generira logove koje je potrebno kategorizirati i analizirati u pravom vremenu to je moguće obaviti pomoću SPLUNK-a. +Ako sustav kontinuirano generira logove koje je potrebno kategorizirati i analizirati u pravom vremenu to je moguće obaviti pomoću Splunka-a. 
-Splunk-ova platforma za upravljanje zapisima koristi svoj vlastiti jezik za obradu pretraživanja za prelaženje velikih skupova strojnih podataka i izvršavanje kontekstualnih upita. Strojni podaci, najbrže rastuće područje velikih podataka u poduzeću, uključuju svaku korisničku transakciju, poruku sustava, sumnjivu aktivnost i interakciju stroj-stroj (M2M). Često nazivan "Google za log datoteke", Splunk se također predstavlja kao tvrtka za upravljanje sigurnosnim informacijama i događajima (SIEM). +Splunk-ova platforma za upravljanje zapisima koristi svoj vlastiti jezik za obradu pretraživanja za prelaženje velikih skupova strojnih podataka i izvršavanje kontekstualnih upita. Strojni podaci, najbrže rastuće područje velikih podataka u poduzeću, uključuju svaku korisničku transakciju, poruku sustava, sumnjivu aktivnost i interakciju stroj-stroj (M2M). Često nazivan "Google za log datoteke"[4], Splunk se također predstavlja kao tvrtka za upravljanje sigurnosnim informacijama i događajima (SIEM). 
-Splunk nudi mnoga riješenja za kupce poput:+Splunk nudi mnoga rješenja za kupce poput:
  
-  *  Splunk Enterprise - nadzire i analizira strojne podatke iz bilo kojeg izvora za isporuku operativne inteligencije za optimizaciju IT-a, sigurnosti i poslovnih performansi. Ponuda uključuje intuitivne analitičke značajke, strojno učenje, pakirane aplikacije i otvorene API-je, a može se skalirati od fokusiranih slučajeva upotrebe do analitičke okosnice cijele tvrtke.Iako je moguće uspostavit SIEM sustav sa Splunk Enterpise-om za to je potrebno iznimno znanje alta ne kontinuiranje praćenje i nadogradnja samog sustava te se zbog toga kao preporučuje korištenje Splunk Enterprise Security-a. "Slika 1: Prikaz mogućeg izgleda splunk nadzorne ploče" ispod prikazuje mogući izgled nadzorne ploče Splunk Enterprise-a. +  *  Splunk Enterprise - nadzire i analizira strojne podatke iz bilo kojeg izvora za isporuku operativne inteligencije za optimizaciju IT-a, sigurnosti i poslovnih performansi[5]. Ponuda uključuje intuitivne analitičke značajke, strojno učenje, pakirane aplikacije i otvorene API-je, a može se skalirati od fokusiranih slučajeva upotrebe do analitičke okosnice cijele tvrtke. Iako je moguće uspostavit SIEM sustav sa Splunk Enterpise-om za to je potrebno iznimno znanje alta ne kontinuiranje praćenje i nadogradnja samog sustava te se zbog toga kao preporučuje korištenje Splunk Enterprise Security-a. "Slika 1: Prikaz mogućeg izgleda splunk nadzorne ploče" ispod prikazuje mogući izgled nadzorne ploče Splunk Enterprise-a. 
  
   *  Splunk Cloud - koristi prednosti Splunk Enterprisea kao usluge u oblaku, skalira se na više terabajta dnevno i nudi vrlo sigurno okruženje.   *  Splunk Cloud - koristi prednosti Splunk Enterprisea kao usluge u oblaku, skalira se na više terabajta dnevno i nudi vrlo sigurno okruženje.
Redak 34: Redak 34:
 ====Splunk Enterprise Security==== ====Splunk Enterprise Security====
  
-Splunk ES pomaže u postizanju kontinuiranog nadzora, podršci SOC-u, implementaciji odgovora na incidente ili informiranju dionika o poslovnim rizicima. Rješenje je moguće pokrenuti u različitim okruženjima, kao što su javni i privatni oblaci, lokalna infrastruktura i hibridne implementacije.+Splunk ES pomaže u postizanju kontinuiranog nadzora, podršci SOC-u, implementaciji odgovora na incidente ili informiranju dionika o poslovnim rizicima. Rješenje je moguće pokrenuti u različitim okruženjima, kao što su javni i privatni oblaci, lokalna infrastruktura i hibridne implementacije[6].
  
-===Splunk ES značajke koje pomažu dobivanja uvida u sigurnosno stanje:===+===Splunk ES značajke koje pomažu dobivanju uvida u sigurnosno stanje===
  
 ==Knjižnica widgeta za sigurnosno stanje==  ==Knjižnica widgeta za sigurnosno stanje== 
-Dodavajne widgeta na nadzorne ploče ili izrada vlastitih.+Dodavanje widgeta na nadzorne ploče ili izrada vlastitih. 
 ==Pregledavanje sigurnosnih događaja po kategorijama== ==Pregledavanje sigurnosnih događaja po kategorijama==
 Moguć je pregled događaja po lokaciji, vrsti izvora, hostu, zemljopisu i grupama sredstava. Moguć je pregled događaja po lokaciji, vrsti izvora, hostu, zemljopisu i grupama sredstava.
  
-===Splunk ES značajke za pregled i klasifikaciju incidenta:===+===Splunk ES značajke za pregled i klasifikaciju incidenta===
 ==Pregled skupa ili pojedinačnog događaja== ==Pregled skupa ili pojedinačnog događaja==
 ES omogućuje pregled incidenata kao pojedinačnog događaja ili kao 'skup' povezanih događaja. Također pruža radni tijek upravljanja incidentima dizajniran za sigurnosne timove. ES omogućuje pregled incidenata kao pojedinačnog događaja ili kao 'skup' povezanih događaja. Također pruža radni tijek upravljanja incidentima dizajniran za sigurnosne timove.
-==Klasifikacija== Splunk ES omogućuje provjeru incidenata, promjenu statusa i kritičnosti incidenata i prijenos incidenata između članova tima.+ 
 +==Klasifikacija==  
 +Splunk ES omogućuje provjeru incidenata, promjenu statusa i kritičnosti incidenata i prijenos incidenata između članova tima. 
 ==Praćenje== ==Praćenje==
 Splunk ES revidira i prati promjene statusa za metriku tima. Splunk ES revidira i prati promjene statusa za metriku tima.
  
 ==Zaštita krajnje točke== ==Zaštita krajnje točke==
-Splunk Enterprise Security nudi sljedeće značajke zaštite krajnjih točaka: +Splunk ES pruža izvješća, pretraživanja i biblioteku upozorenja za rijetke aktivnosti, zlonamjerni softver (malware) te iskorištenost i dostupnost resursa. 
- Zaštita krajnje točke—Splunk ES pruža izvješća, pretraživanja i biblioteku upozorenja za rijetke aktivnosti, zlonamjerni softver (malware) te iskorištenost i dostupnost resursa. +==Određivanje prioriteta prijetnji== 
-Određivanje prioriteta prijetnjiSplunk ES pomaže u određivanju prioriteta prijetnji i pregledu dugoročnih trendova. +Splunk ES pomaže u određivanju prioriteta prijetnji i pregledu dugoročnih trendova. 
-Integracijamožete spojiti ES s drugim sigurnosnim rješenjima krajnjih točaka, uključujući Symantec Endpoint Protection, McAfee Endpoint Protection i IBM Proventia Desktop.+==Integracija== 
 +Splunk ES može s spojiti s drugim sigurnosnim rješenjima krajnjih točaka, uključujući Symantec Endpoint Protection, McAfee Endpoint Protection i IBM Proventia Desktop.
  
 ==Zaštita mreže== ==Zaštita mreže==
Redak 60: Redak 65:
  
 ==Okvir obavještajnih podataka o prijetnjama== ==Okvir obavještajnih podataka o prijetnjama==
-Splunk ES pomaže poboljšati istrage incidenata tako da se koristite izvori prijetnji iz različitih izvora. Feedovi se mogu rangirati prema relativnoj vrijednosti. Također može automatski prikupljati, agregirati i uklanjati duplikate feedova. Neki od uobičajenih feedova uključuju: +Splunk ES pomaže poboljšati istrage incidenata tako da se koristite feedovi prijetnji iz različitih izvora. Izvori se mogu rangirati prema relativnoj vrijednosti. Također može automatski prikupljati, agregirati i uklanjati duplikate izvora. Neki od uobičajenih izvora uključuju: 
-Sažeci otvorenog koda—dostupni kao datoteke putem API usluge. +  Sažeci otvorenog koda—dostupni kao datoteke putem API usluge. 
-Feedovi temeljeni na pretplati—dostupni putem TCP streaminga. +  Feedovi temeljeni na pretplati—dostupni putem TCP streaminga. 
-Feedovi za provođenje zakona ili lokalne okoline—dostupni putem ručnog preuzimanja. +  Feedovi za provođenje zakona ili lokalne okoline—dostupni putem ručnog preuzimanja. 
-Zajednički izvori prijetnji dostupni kao OpenIOC ili STIX dokumenti putem TAXII protokola.+  Zajednički izvori prijetnji dostupni kao OpenIOC ili STIX dokumenti putem TAXII protokola.
  
 ---- ----
  
 ====Usporedba sa QRadar-om==== ====Usporedba sa QRadar-om====
-Splunk Enterprise Security (ES) i IBM QRadar su oba alata za upravljanje sigurnošću i analizu događaja, ali imaju neke različite karakteristike, poput: +Splunk Enterprise Security (ES) i IBM QRadar su oba alata za upravljanje sigurnošću i analizu događaja, ali imaju neke različite karakteristike koje je važno znati prije odluke nabave. 
 ===Arhitektura=== ===Arhitektura===
 Splunk ES koristi Splunk platformu za prikupljanje, indeksiranje i analizu podataka. To omogućava snažne mogućnosti pretrage i vizualizacije podataka. Splunk ES koristi Splunk platformu za prikupljanje, indeksiranje i analizu podataka. To omogućava snažne mogućnosti pretrage i vizualizacije podataka.
Redak 83: Redak 88:
 QRadar je manje prilagodljiv u usporedbi s Splunkom, ali nudi solidne značajke konfiguriranja pravila i izvještaja. QRadar je manje prilagodljiv u usporedbi s Splunkom, ali nudi solidne značajke konfiguriranja pravila i izvještaja.
 ===Cijena=== ===Cijena===
-Splunk se naplaćuje na temelju količine podataka unesenih na dnevnoj bazi ili broja potrošenih Splunk Virtual Compute (SVC) jedinica (cijena radnog opterećenja), što može biti skuplje od QRadara koji se naplaćuje na temelju događaja u sekundi.+Splunk se naplaćuje na temelju količine podataka unesenih na dnevnoj bazi ili broja potrošenih Splunk Virtual Compute (SVC) jedinica (cijena radnog opterećenja), što može biti skuplje od QRadara koji se naplaćuje na temelju događaja u sekundi[7].
 ===Korisničko sučelje=== ===Korisničko sučelje===
 Splunk ES nudi intuitivno korisničko sučelje s bogatim mogućnostima pretrage i vizualizacije podataka. Splunk ES nudi intuitivno korisničko sučelje s bogatim mogućnostima pretrage i vizualizacije podataka.
Redak 91: Redak 96:
 QRadar također pruža skalabilnost, a može se prilagoditi za rukovanje velikim sigurnosnim infrastrukturama. QRadar također pruža skalabilnost, a može se prilagoditi za rukovanje velikim sigurnosnim infrastrukturama.
  
-Iako su Splunk i QRadar dobre sigurnosne platforme za korištenje, potrebno je opsežno istraživanje prije donošenja odluke o ulaganju u bilo koju od dvije platforme. Neke stvari koje treba uzeti u obzir uključuju jednostavnost korištenja i prilagodbu, gdje je Splunk lakši za korištenje, fleksibilniji i lakši za prilagodbu od QRadara. S druge strane, ako je kupac zainteresiraniji jeftinije rješenje ili za rješenje za sigurnosnu inteligenciju koje se dobro integrira s IBM proizvodima, onda bi QRadar mogao biti bolji izbor, iako ga je teže konfigurirati i prilagoditi nego Splunk.+Iako su Splunk i QRadar dobre sigurnosne platforme za korištenje, potrebno je opsežno istraživanje prije donošenja odluke o ulaganju u bilo koju od dvije platforme. Neke stvari koje treba uzeti u obzir uključuju jednostavnost korištenja i prilagodbu, gdje je Splunk lakši za korištenje, fleksibilniji i lakši za prilagodbu od QRadara. S druge strane, ako je kupac zainteresiraniji jeftinije rješenje ili za rješenje za SIEM koje se dobro integrira s IBM proizvodima, onda bi QRadar mogao biti bolji izbor, iako ga je teže konfigurirati i prilagoditi nego Splunk.
 ---- ----
 ====Zaključak==== ====Zaključak====
Redak 100: Redak 105:
 S obzirom na širok spektar značajki, od zaštite krajnjih točaka do upravljanja incidentima, Splunk ES pruža sveobuhvatno SIEM rješenje za organizacije koje teže unaprijediti svoju kibernetičku sigurnost. S obzirom na širok spektar značajki, od zaštite krajnjih točaka do upravljanja incidentima, Splunk ES pruža sveobuhvatno SIEM rješenje za organizacije koje teže unaprijediti svoju kibernetičku sigurnost.
  
 +====Literatura====
 +
 +[1] https://www.trellix.com/security-awareness/operations/what-is-soc/
 +[2] https://www.manageengine.com/log-management/siem/collecting-and-analysing-different-log-types.html
 +[3] https://www.edureka.co/blog/what-is-splunk/
 +[4] https://www.webagesolutions.com/blog/5713-2
 +[5] https://www.splunk.com/en_us/products/cyber-security.html
 +[6] https://www.bluevoyant.com/knowledge-center/splunk-enterprise-security-use-cases-features-and-process
 +[7] https://kinneygroup.com/blog/splunk-vs-qradar/
racfor_wiki/seminari2023/splunk_siem_sustav.1705850591.txt.gz · Zadnja izmjena: 2024/12/05 12:23 (vanjsko uređivanje)
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0