اسپلانک Splunk چیست؟

اگر شما جز متخصصین شبکه و امنیت باشید مطمئنا اسم اسپلانک به گوش شما خورده است اما اسپلانک واقعا چیست و چه تمایزی با محصولات رقیب دارد؟
شرکت اسپلانک در سال 2003 میلادی شروع به کار کرده و اولین تفاوت آن با سایر رقبا را میتوان تمرکز این شرکت صرفا روی تولید محصولات تخصصی Big Data و SIEMدانست که در هیچ زمینه دیگری فعالیتی ندارد. این شرکت دارای بیش از 2000 کارمند می باشد که تمامی آنها فقط در زمینه های یاد شده فعالیت میکنند و به همین سبب اسپلانک دارای بیشترین سهم از تعداد مشتریان در این بازار میباشد. ( بیش از 10 هزار مشتری در بیش از یکصد کشور دنیا ).

First

از زمان تاسیس تا کنون، اسپلانک شرکت های کوچک و استارآپهای بسیاری را خریداری و به مجموعه خود الحاق کرده است که این امر روز به روز اسپلانک را جامعتر و قدرتمند ساخته است. محصول اصلی تولیدی این شرکت با نام Splunk Enterprise   شناخته میشود که تمامی محصولات دیگر این شرکت را میتوان مکمل زیر مجموعه Splunk Enterprise  دانست. این محصول هسته هوشمند و قدرتمند شرکت اسپلانک برای Big Data  و SIEM  است که با نصب و افزودن چند صد افزونه رایگان و  مختلف موجود، میتوان آنرا بسیار کارآمدتر و کاربردی تر ساخت.

Splunk Enterprise چیست؟

این نرم افزار را میتوان مشابه موتور جستجوی Google برای LogFile های تولیدی در یک شبکه از تجهیزات رایانه ای و الکترونیکی دانست که هیچگونه وابستگی به نوع و فرمت این Log  ها وجود ندارد و صرف متنی بودن آنها کفایت میکند تا بتوان آنها را به Splunk Enterprise  وارد کرد. مثالهای مختلفی از منابع تولید این لاگ ها میتوان نام برد از جمله:

لاگهای ایجاد شده توسط تجهیزات امنیتی از قبیل IPS, Firewall, Anti-Virus

لاگهای ایجاد شده توسط تجیزات زیرساخت از قبیل Switch, Router, Modem

لاگهای ایجاد شده توسط نرم افزارهای داخلی از قبیل بانکداری، اتوماسیون ، مالی ، انبار

لاگهای ایجاد شده توسط سرویسهای داخلی ار قبیل AD, DNS, IIS, Apache, DHCP

لاگهای ایجاد شده توسط سیستم عاملهای مختلف از قبیل Windows, Linux, MacOS

لاگهای ایجاد شده توسط تجهیزات هوشمند و همراه از قبیل گوشی و تبلت

لاگها ایجاد شده توسط تجهیزات الکترونیکی از قبیل دربهای برقی ، آسانسور ، حسگرها ، کنترل تردد

Splunk Enterprise  تمام لاگهای تولید شده توسط موارد نام برده را یکجا دخیره و دسته بندی میکند و به ما این امکان را میدهد که بتوانیم ارتباط بین تغییرات و رخدادهای گوناگون در بخشهای مختلف را پیدا و برای اصلاح یا رفع آن اقدام نماییم.

1

 

علاوه بر این میتوان با نصب و استفاده از افزونه های مختلف  روی Splunk Enterprise که شرکت اسپلانک اکثر آنها را به صورت رایگان ارائه میدهد از  Splunk Enterprise  به عنوان یک نرم افزار مانیتورینگ 360  استفاده کرد بدون نیاز به افزودن SNMP یا موارد دیگری که سایر محصولات مشابه نیاز دارند.در ادامه به معرفی برخی از پرکاربردترین این افزونه ها می پردازیم:

افزونه های رایگان

Cisco Security Suite App

افزونه بسیار کاربردی  و مفید برای مانیتوریگ تمامی محصولات امنیتی سیسکو از قبیل ASA, IPS, FirePower, FWSM, ASAM, ISE, ACS, WSA, ESA به صورت یکپارچه و و آنلاین.

Cisco Security App

Cisco Networks App

یکی ار محبوبترین افزونه های موجود که میتوان از آن برای مانیتوریگ تمامی تجهیزات زیرساختی سیسکو از Catalyst, Nexus, ISR , ISR G2, ASR , CSR  به صورت یکپارچه و و آنلاین استفاده کرد.

Cisco Network App

Microsoft Windows App

افزونه ای برای مانیتورینگ وضعیت و صحت عملکرد تمامی سیستم عاملهای مایکروسافتی.

Windows App

Stream App

افرونه ای بسیار کاربردی برای Capture  و تحلیل لحظه ای ترافیک عبوری از یک لینک یا پورت مورد نظر

F5 Networks App

افزونه ای جهت مانیتورینگ تمامی تجهیزات ونرم افزارهای شرکت f5

Web Analytics App

افرونه ای کامل و کاربردی برای مانیتوریگ وضعیتها وبسایت

Windows Security Operation Center App

افزونه ای برای بررسی و تحلیل رخدادهای امنیتی در شبکه های ماکروسافتی و سرویسهای وابسته از قبیل AD, NTLM, DNS, DHCP

Windiws SOC

در مجموع میتوان گفت حدود هزار افزونه مختلف و رایگان مشابه مواردی که نامبرده شد توسط شرکت اسپلانک ارائه شده که تقریبا تمامی برندهای معروف از قبیل Juniper, Fortinet, Citrix, Redhat  و … را در بر میگیرد.همچنین شرکت اسپلانک تعداد محدودی افرونه غیر رایگان نیر ارائه میدهد که مشتریان بنا به نیاز خود با پرداخت مبالغ مشخص میتوانند این افرونه ها را به صورت مدت دار یا نامحدود استفاده نمایند ، در ادامه به معرفی برخی از این افزونه ها میپردازیم.

افزونه Enterprise Security

اصلی ترین افزونه اسپلانک که با استفاده از آن میتوان Splunk Enterprise  را به یکی از قدرتمندترین SIEM  های دنیا تبدیل کرد.این افزونه لاگهای ایجاد شده از تمامی تجهیزات و نرم افزارهای امنیتی موجود از لبه بیرونی شبکه گرفته تا سیستم کاربران را به صورت یکجا جمع آوری ، تحلیل و گزارش می دهد. این افزونه تیم های امنیتی را قادر میسازد تا به سرعت تمامی حملات شناخته شده و حتی شناخته نشده داخلی و خارجی را تشخیص و اقدامات لازم را انجام دهند.لازم به ذکر است هیچگونه محدودیتی در زمینه برند و مدل تجهیزات امنیتی مورد استفاده وجود ندارد و این افزونه قابلیت همخوانی با تمامی تجهیزات امنیتی را داراست.

ES

برخی از امکانات ارائه شده توسط این افزونه به شرح ذیل است:

مانیتورینگ لحظه ای و دوره ای وضعیت امنیتی شبکه و رخدادهای امنیتی بر اساس الویتهای دلخواه و سفارشی سازی شده

اولیت بندی رخداد ها و تعریف عکس العملهای متناسب با هر رخداد

تعریف Search  های مختلف و دلخواه روی لاگهای موجود به منظور یافتن رفتارهای غیر عادی در شبکه

تعریف آنالیزهای پویا و به روز به منظور یافتن فعالیتهای مخرب در شبکه به صورت خودکار

افزونه IT Service Intelligent

نسل جدید مانیتورینگ و آنالیز شبکه به منظور دریافت اطلاعات دقیق و کابردی از وضعیت عملکرد و کارایی شبکه.برخی از قابلیتهای این افزونه به شرح ذیل است:

ارائه مانیتورینگ مرکزی ، یکپارچه و هوشمند از تمامی اجزای مختلف شبکه

همسان سازی سرویسهای مختلف با رویدادهای مختلف از طریق فناوری قدرتمند KPI

آنالیز رفتار شبکه و دیتای موجود به منظور  یافتن رفتارهای غیر استاندارد و پیدا کردن علت این رفتار

قابلیت بررسی دقیق و جزئی دیتا مورد نظر به منظور یافتن علت رخدادهای مختلف

ITSI

افزونه User Behavior Analytics

User Behavior Analytics

با استفاده از این افزونه و با کمک حجم عظیمی از اطلاعات و گزارشهای کاربردی  تیم های امنیتی قادر خواهند بود تهدیدات و حملات داخلی را به راحتی شناسایی و ردیابی کنند.برخی از قابلیتهای این افوزنه به شرح ذیل است

شناسایی آلودگی های ویروسی و تهدیدات داحلی بدون استفاده از Signiture, Rule, Policy  و آنالیزهای انسانی

بهبود فرآیند شناسایی تهدید و عکس العمل به کمک سنسورهای پیشرفته و کارآمد

ارائه گزارهاش مفید و کاربردی به صورت خلاصه یا زنجیره ای به منظور افزایش کارایی بخش SOC

قابلیت یکپارچه سازی با Enterprise Security  و IT Service Intelligent  به منظور دستیابی به بهترین و کاملترین حالت عملکرد

UBA

لایسنس و فعال سازی اسپلانک (Splunk License)

یکی از قابلیتهای ممتاز اسپلانک را میتوان وجود نسخه تریال رایگان دانست که کاربران به راحتی و مستقیما میتوانند این نسخه تریال دو ماهه را از وبسایت شرکت اسپلانک دانلود و نصب نمایند. این در حالیست که هیچ یک از محصولات رغیب از جمله HP ArcSight  و IBM Qradar  دارای چنین امکانی نبوده و برای دریافت نسخه تریال می بایستی فرآیند پیچیده ای طی شود. نحوه عملکرد لایسنس اسپلانک نیز کاملا متفاوت از سایر محصولات است. بر خلاف لایسنس سایر محصولات که معمولا بر اساس تعداد لاگ تولید شده درثانیه(EPS)  عمل میکنند  لایسنس اسپلانک میزان حجم لاگهای ورودی در 24 ساعت را مد نظر قرار می دهد. این قابلیت باعث می شود تیمهای امنیتی محدودیتی در زمینه تعداد تجهیزاتی که لاگهای خود را به سرویس SIEM  ارسال می کنند نداشته باشند.

لازم به ذکر است برای استفاده از افزونه های غیر رایگان علاوه بر تهیه لایسنس حجمی نرم افزار اصلی اسپلانک میبایستی برای آن افزونه مورد نظر نیز لایسنس حجمی جداگانه تهیه کرد.در زمینه کاربری SIEM  میتوان گفت که حتی تهیه هر دو لایسنس مورد نیاز  ( لایسنس  Splunk Enterprise و لایسنس افزونه Enterprise Security  ) به مراتب هزینه ای پایین تر  از محصولات رغیب خواهد داشت.

اسپلانک در Gartner

نرم افزار Splunk Enterprise  در رتبه بندی موسسه Gartner برای سال 2015  برای چندمین سال متوالی به عنوان Leader  شناخته شده است و با پیشی گرفتن از رغیب دیرینه خود یعنی HP ArcSight  در رتبه دوم قرار گرفته است.

Gartner

Big Data چیست؟

اصل و بنیاد تعریف بیگ دیتا (Big Data) ، تعریفی اقتصادی است. بیگ دیتا از نظر لغوی به‌معنای «داده بزرگ» است و با تجزیه و تحلیل آن می‌توان، «الگوهای پنهان»، «همبستگی‌های ناشناخته» و سایر اطلاعات مفید را استخراج کرد. در علم اقتصاد، داشتن چنین تحلیلی می‌تواند منجر به «مزیت نسبی» و جلب سود اقتصادی شود و بازاریابی موثرتر، از جمله برون‌دادهای این فرآیند تلقی می‌شود.در بیگ دیتا عموما با داده‌هایی سر و کار داریم که حجم آنها بیشتر از ظرفیت نرم‌افزارهای عادی است  بنابراین در این پروسه، حجم عظیمی از اطلاعات تفکیک نشده و ساختار نیافته در اختیار قرار می‌گیرد که ساختاربندی و کشف الگوها از دل آنها کاری دشوار محسوب می‌شود.

کاربردهای Big Data

Big Data اصطلاحی رایج است که رشد و در دسترس بودن داده، چه ساختارمند و چه غیرساختارمند، را توصیف می ­کند.     Big Data  ممکن است به اندازه اینترنت برای کسب ­و­کار – و جامعه – مهم باشد. چرا؟ داده ­های بیشتر به تحلیل ­های دقیق تر می ­انجامد. تحلیل ­های دقیق ­تر منجر به تصمیم­ گیری­های مطمئن تری شده و تصمیمات بهتر، می ­تواند به معنای کارایی بیشتر عملیات، کاهش هزینه ­ها و کاهش ریسک­ ها باشد. مسئله واقعی این نیست که مقدار زیادی داده به دست آورید؛ این است که با آن چه می­ کنید. دیدگاه امیدوارانه این است که سازمان­ ها قادر به تحصیل داده از هر منبعی بوده، داده­ های مرتبط را تهیه کرده و آن را تحلیل کنند تا پاسخ سؤالاتی را بیابند که 1) کاهش هزینه­ ها، 2) کاهش زمان، 3) توسعه محصولات جدید و پیشنهادات جدید، و 4) تصمیم ­گیری هوشمندانه ­تر کسب ­وکار را مقدور می ­سازند. برای مثال، با ترکیب Big Data و تحلیل­ های قوی، این امکان وجود دارد تا:

علت های اصلی شکست ها، مسائل و نقوص را در لحظه تعیین کرد تا سالانه تا میلیاردها دلار صرفه­ جویی کرد.

مسیر وسیله ­های حمل بسته­ های تحویلی را زمانی که هنوز در جاده هستند، بهینه کرد.

در چند دقیقه تمام سبد ریسک را دوباره حساب کرد.

سریعاً مشتریانی که بیشترین اهمیت را دارند، شناسایی کرد.

Big Data واژه ­ای است برای مجموعه­ای از ست داده ­های بسیار بزرگ و پیچیده، که استفاده از ابزارهای مدیریت پایگاه داده در دست و یا برنامه ­های کاربردی سنتی پردازش داده، برای پردازش آن­ها دشوار خواهد بود. چالش­ ها شامل استخراج، Curation، ذخیره ­سازی، جستجو، اشتراک، انتقال، آنالیز و بصری ­سازی است. کار با Big Data با استفاده از سیستم ­های مدیریت دیتابیس ­های رابطه ­ای و بسته ­های بصری ­سازی و تحلیل ­های دسکتاپ، دشوار بوده و نیازمند نرم ­افزار بسیار موازی در حال کار بر روی ده­ ها، صدها و یا حتی هزاران سرور هستند. آنچه که Big Data شناخته می ­شود، بنا بر قابلیت ­های سازمان مدیریت کننده آن، و قابلیت­ های برنامه ­های کاربردی که به طور سنتی در آن زمینه داده پردازش و تحلیل می­ کنند، متفاوت است. برای برخی سازمان­ ها، رویارویی با صدها گیگابایت داده برای اولین بار ممکن است نیاز به بازبینی آپشن ­های مدیریت داده را ایجاد کند. برای برخی دیگر، ممکن است تا ده ­ها و صدها ترابایت طول بکشد که سایز داده به موضوعی قابل توجه تبدیل شود.

تصور شما از حجم انبوهی از داده‌ها چیست؟ یک هزار‌گیگابایت، ده‌ها هزار گیگابایت یا صدها هزار ترابایت! برای سال 2015 می‌توان نام‌های مختلفی یافت: سال شبکه‌های اجتماعی، سال محاسبات ابری، سال تبلت‌ها و تلفن‌های همراه هوشمند، سال سرویس‌های رنگارنگ اینترنتی و بسیاری موارد ریز و درشت دیگر. اما تنها با لحظه‌ای تأمل درخواهیم یافت که استفاده از هر یک از این ابزارهای نرم‌افزاری و سخت‌افزاری، یک نتیجه واحد در بر‌خواهد داشت: تولید داده و اطلاعات در ابعادی باورنکردنی و غیر قابل تصور…

آمار و ارقام‌ها حاکی از آن است که در حال حاضر، روزانه 2,5 اگزابایت (1,048,576 ترابایت داده و اطلاعات توسط اشخاص و سازمان‌ها تولید می‌شود و این در حالی است که نود درصد از مجموع داده‌های موجود در جهان تنها در طول دو سال گذشته ایجاد شده‌اند. پر واضح است که این روند با گسترش روزافزون تعداد کاربران سیستم‌های ارتباطی، بدون وقفه و با شیبی مهار‌ناشدنی ادامه‌یافته و آنچه بیش از هر زمان دیگری اهمیت خواهد داشت، یافتن روش‌ها، ابزارها و مکانیزم‌هایی برای ذخیره‌، بازیابی و تحلیل این حجم از داده به‌شکلی مؤثر و با کارایی بالا است. رشد فوق‌العاده سریع حجم داده‌ها، اگرچه به‌خودی خود فرآیند ذخیره‌سازی، بازیابی و تحلیل اطلاعات را دشوار و مواجهه با آن را نیازمند ایجاد ابزارهایی جدید می‌کند، اما آنچه بحث داده و مکانیزم‌های مدیریتی آن را در پایان سال 2015 به‌چالش‌کشیده و به‌نوعی رویکرد اصلی‌سال آینده میلادی را در حوزه پایگاه‌های داده مشخص می‌سازد، آگاهی از این حقیقت است که نزدیک به نود درصد از کل داده‌های ذخیره‌شده در جهان دیجیتال، به نوعي غیر ساخت‌یافته (Unstructured Data) هستند و این موضوع ما را با مفهومی به‌نام «داده بزرگ» یا Big Data روبه‌رومی‌سازد.

در یک تعریف ساده و به‌دور از پیچیدگی‌های فنی، «داده بزرگ»، به مجموعه‌هایی از داده (datasets) گفته می‌شود که نرخ رشد آن‌ها بسیار بالا بوده و در مدت زمان کوتاهی، شامل چنان حجمی از اطلاعات می‌شوند که دریافت، ذخیره‌سازی، جست‌وجو، تحلیل، بازیابی و همچنین تصویرسازی آن‌ها با ابزارهای مدیریت داده موجود غیر قابل انجام خواهد بود. آنچه حائز اهمیت است، اين است که برخلاف گذشته، مفهوم داده بزرگ تنها مختص به حوزه آکادمیک و حل مسائل علمی مانند شبیه‌سازی‌های پیچیده فیزیکی، تحقیقات زیست محیطی، هواشناسی و مانند آن نبوده و بسیاری از سازمان‌ها و شرکت‌هاي بزرگ در سال‌های آینده با مشکلات مربوط به داده‌های انبوه غیرساخت‌یافته يا همان Big Data مواجه خواهند بود.

شواهد فراوانی در اثبات این ادعا وجود دارند که از آن میان می‌توان به چهل میلیارد تصویر بارگذاری شده در تنها یکی از شبکه‌های اجتماعی، ثبت تراکنش‌های یک میلیون مشتری در هر ساعت در فروشگاه‌های زنجیره‌ای والمارت به‌منظور تحلیل علایق و عادت‌های خرید ایشان با حجمی بالغ بر 2,5 پتابایت (هر پتابايت برابر يك هزار ترابايت) و در یک کلام تولید 75 درصد از کل «داده بزرگ» توسط افراد و کاربران معمولی به میزان 1,35 زتابایت (هر زتابايت برابر یک هزار اگزابایت) اشاره کرد. این در حالی است که بر‌اساس تحقیقات به‌عمل آمده، حجم داده‌های موجود در جهان در سال 2015، چهل درصد افزایش یافته و به عددی بالغ بر 2,52 زتابایت خواهد رسید!

پرواضح است که چنین حجمی از داده نیازمندی‌های خاص خود را داشته و ابزارهای مختص به‌خود را می‌طلبد. ابزارهایی مانند هادوپ (Hadoop) که بدون تردید جزء موفق‌ترین نمونه‌های پیاده‌سازی شده از تفکر NoSQL حسوب می‌شود. جنبش No SQL که در ابتدا با هدف جایگزینی پایگاه‌های رابطه‌ای و با شعار پایان رابطه‌ای‌ها (No SQL) خود را معرفی‌کرد، با مقاومت بزرگان و پشتیبانان مکانیزم‌های رابطه‌ای مواجه شد. مقاومتی که باعث شد تا این جنبش نوپا به‌درستی دست از سماجت برداشته و خود را به‌عنوان راه حلی مناسب برای مسائلی که پایگاه‌های داده رابطه‌ای در حل آن با دشواری مواجه هستند، مطرح کند و شعار «نه فقط رابطه‌ای» (Not only SQL) را برای خود برگزیند.

این تغییر رویکرد، شرایط لازم را فراهم آورد تا تمامی فعالان این عرصه از موافق و مخالف بر مزایا و منافع این رویکرد تمرکز‌کرده و با مشارکت شرکت‌های‌قابل احترامی مانند یاهو و بنیاد آپاچی پروژه‌هایی مانند Hadoop، MangoDB، Cassandra، CouchDB و بسیاری از پروژه‌هاي دیگر، در جهت حل مسائل مرتبط با «داده بزرگ» پا به عرصه حیات بگذارند. رویکردی که بدون کمترین تردیدی در سال 2015 و سال‌های بعد از آن، در مرکز توجه بسیاری از شرکت‌های تولید‌کننده‌پایگاه‌های داده مانند آی‌بی‌ام، اوراکل، مایکروسافت و دیگران خواهد بود.

کلام پایانی آن‌که، سال 2015 را در بحث پایگاه‌های داده، می‌توان به‌نوعی سال پردازش داده‌های انبوه و غیر ساخت‌یافته و در یک کلام «داده‌های بزرگ» دانست. رویکردی که به‌جز ابزار و روش، به سخت‌افزارها و پلتفرم‌های پر قدرت و قابل اعتماد نیاز داشته و این در شرایطی است که بسیاری از سازمان‌ها و شرکت‌ها، حتی در صورتی که توان مالی خرید چنین تجهیزاتی را در اختیار داشته باشند، از حیث مدیریت، نگه‌داری و به‌روزرسانی و بسیاری مسائل و مشکلات مرتبط با آن، رغبت چندانی به آن نخواهند داشت.این المان‌های تصمیم‌گیری به‌ ظاهر متناقض، در عمل ما را به یاد سرویس‌های قابل ارائه در قالب محاسبات ابری (Cloud Computing) انداخته و این نکته را به‌ ذهن متبادر می‌سازد که نیاز به حجم انبوهی از ماشین‌های سرویس‌دهنده و توان پردازشی فوق‌العاده بالا در کنار عدم درگیر شدن با مسائل فنی مرتبط با زیرساخت‌های مذکور، سال آتی را به مکانی برای قدرت‌نمایی انواع سرویس‌های ابری تبديل كرده و بسیاری از شرکت‌ها به سمت استفاده از آن سوق خواهند یافت.

SIEM چیست؟

SIEM که در لغت به معنای امنیت اطلاعات و مدیریت رویداد نگاری می باشد از مباحث مهم در طراحی یک مرکز عملیات امنیت SOC می باشد. یکی از قسمت های اساسی در هرSOC مبحث SIEM  می باشد.

SIEM برگرفته از دو راه حل متفاوت است که شامل:

Security Information Managemen – SIM

Security Event Management – SEM

سیستم SIEM تجزیه تحلیل های Real-Time از هشدارهای امنیتی دستگاه ­ها و نرم افزارهای شبکه را فراهم می آورد .راه حل های SIEM مشتمل بر نرم افزار ،سخت افزار و سرویس ها ،به منظور وقایع نگاری امنیتی و ارائه گزارش های امنیتی می باشد .کلمات اختصاری SIEM,SEM,SIM را می توان در مواردی به جای یکدیگر به کار برد هر چند که اصولاً معانی متفاوتی دارند.در مباحثی نظیر مدیریت امنیت که با Real-time Monitoring ،وقایع نگاری، هشدارها و مسائلی از این دست سر و کار دارد معمولاً با کلمه SEM همراه می شود.مبحث دیگر که شامل تحلیل و آنالیز Log ها و گزارش دهی می گردد معمولاً به عنوان SIM همراه می شود .

کاربردهای SIEM

موارد عمده استفاده از ابزارهای SIEM را می توان در سه حوزه زیر بیان کرد:

Security detective و investigative: این حوزه گاهی لقب threat management را نیز به خود اختصاص می دهد از آنجاییکه بر روی شناسایی و واکنش و در واقع پاسخ به حملات، نفوذ بدافزار ها، دسترسی غیر مجاز به داده ها و اطلاعات  و سایر مسائل امنیتی تمرکز دارد.

Compliance regulatory و policy : تمرکز این قسمت بر روی  قوانین و سیاست های مورد نیاز و همچنین  احکام تعیین شده در سازمان ها می باشد.

Operational, system and network troubleshooting و normal operation: که اغلب بر روی مدیریت log ها تمرکز دارد و با بررسی و یافتن مشکلات سیستم، بمنظور امکان دسترس پذیری سیستم ها و برنامه های کاربردی در صدد رفع این مشکلات بر می آید.

البته برای بکارگیری سامانه SIEM می توان به چند سناریوی کاربردی در سازمان ها نیز اشاره کرد:

اولین سناریو، SOC و در واقع مرکز عملیات امنیت می باشد که در  آن از ویژگی های  تکنولوژی SIEM  نظیر  بررسی و correlation بصورت آنی و لحظه ای استفاده می شود. سازمان با استقرار و توسعه SIEM می تواند تحلیل های آنلاینی بصورت 24*7 داشته باشد و می تواند از هشدارهای امنیتی استفاده کند.

کاربرد دیگر استفاده، در سناریو mini-SOC است. در این موارد پرسنل امنیتی بمنظور  چک کردن  مسائل امنیتی از  بررسی هایی که بصورت آنی و لحظه ای (non real-time) نمی باشد بهره  می برند. تحلیلگران فقط در ساعات محدودی از روز بصورت آنلاین هستند و تنها مسئولیت بررسی مجدد  هشدارها و  گزارش های مورد نیاز را بر عهده دارند.

سناریو بعدی  یک automated SOC می باشد که در این صورت سازمان ها SIEM را بصورت  alert based مبتنی بر rule ها پیکربندی و تنظیم می کنند و در واقع می توان گفت زمانی به آن توجه میکنند که هشداری از جانب SIEM برای آن ها ارسال شود. در این صورت تحلیلگران  در صورت نیاز  به بررسی هشدارها و بازبینی مجدد گزارش ها به سراغ آن میروند که این کار میتواند بصورت هفتگی و یا حتی ماهیانه صورت پذیرد. این عملکردی است که بسیاری از سازمان های کوچک خواهان آن هستند  و در واقع برای تولید کنندگان ابزار SIEM  در مقیاسی کوچک و محدود مطلوب می باشد چرا که امکان سفارشی سازی بطور گسترده برای آن ها وجود ندارد.

تکنولوژی log management دارای نقشی در سناریو های دیگری است که در واقع خارج از حیطه امنیتی می باشند. مدیریت سیستم ها و شناسایی و رفع خطاهای برنامه های کاربردی دو دلیل استفاده  از سیستم های مدیریت log ها هستند. با توسعه و پیکربندی برنامه های کاربردی، سیستم مدیریت log ها بمنظور  بررسی log های حاصل از آن ها  و بررسی خطاها مورد استفاده قرار میگیرد. همچنین این ابزار می تواند بمنظور  بررسی رفتار نرمال برنامه های کاربردی و اطمینان از صحت و کارکرد درست  آن ها استفاده شوند.

سناریو دیگر برای تکنولوژی log management، گزارش دهی وضعیت انطباق است. (Compliance status reporting) .  در این صورت تحلیلگران  و یا مدیران امنیتی  گزارش ها را  با توجه به مسئله compliance مورد بازبینی و بررسی قرار می دهند. این بررسی ها بصورت هفتگی و یا ماهیانه و یا در صورت اعمال قانون و مقررات خاصی صورت می پذیرند. باید توجه کرد که در این شرایط لزوما یک دیدگاه و تمرکز امنیتی و عملکردی (اجرایی) وجود ندارد. این موارد کاربرد عموما بصورت یک فاز گذرا و انتقالی هستند و با احتمال زیادی بسمت سناریو ها و در واقع کاربردهای گسترده تر و بالغ تری حرکت خواهند کرد. در این موارد عموما ابزارهای log management می توانند بسیار مفید واقع شده و استفاده از ابزراهای SIEM چندان رایج نمی باشد. ( برای compliance)

نگهداری log ها بمنظور compliance از اهمیت بالایی برخوردار است اما نگهداری log ها برای طولانی مدت خود بعنوان چالش بزرگی مطرح می شود.
استانداردهای PCI DDS – Payment Card Industry Data Security ، FISMA – Federal Information Security Management Act و HIPAA – Health Insurance Portability and Accountability Act نمونه هایی از این استانداردها بمنظور اعمال Compliance می باشند.

در پایان ذکر این نکته ضروری است که هر سازمان باید با توجه به نیاز خود به تهیه ابزارهای کاربردی اقدام نماید. اما آنچه مهم است این نکته است که امروزه سامانه های SIEM به قدری توانمند شده اند که علاوه بر اینکه بخش Log Management را بصورت یک ماژول مستقل در دل خود دارند بلکه فارغ از اندازه سازمان قابلیت بکارگیری دارند. همینطور نیاز ایجاد و بکارگیری مراکز عملیات امنیت (SOC) بکارگیری سامانه های SIEM را کاملا توجیه پذیر می نماید.شرکتهای مختلفی محصولاتی را در زمینه SIEM  ارئه داده اند که از اصلی ترین و کاربرترین آنها میتوان به IBM Qradar, HP ArcSight و Splunk Enterprise  اشاره کرد.تمرکز ما بر روی اقتصادی ترین و کاملترین این محصولات یعنی Splunk Enterprise  می باشد.