لایسنس Splunk Phantom

شرکت اسپلانک با به‌دست آوردن مالکیت شرکت Phantom نرم‌افزار کامل Splunk Phantom را تکامل بخشیده است و ادغام این دو شرکت مزایای بیشتری برای کاربران، مشتریان و شرکای شرکت فراهم نموده است.

شرکت Phantom از این امتیاز برخوردار بود که امنیت بزرگ‌ترین سازمان‌ها و شرکت‌های تولیدی، بهداشتی، فناوری و مالی و همچنین بزرگ‌ترین ادارات دولتی بر عهده داشته باشد. اسپلانک با این اقدام، این امکان را فراهم ساخت تا آن را نه تنها در حوزه‌ی امنیت، بلکه در بازار گسترده‌تری از IT افزایش دهد. از آنجاییکه امروزه سازمان‌ها نیاز شدیدی به خودکارسازی و هماهنگ‌سازی دارند تا بتوانند واکنش سریع‌تری به تهدیدات داشته باشند این محصول اطمینان خاطر آنها را بطور کامل برآورده خواهد کرد.

لایسنس اسپلانک در جذب، ذخیره و تحلیل داده‌های ماشینی، پیشرو شده است، Phantom نیز به عاملی مهم در انجام عملیات بر روی آن داده‌ها بدل شده است. بدین دلیل است که ادغام اسپلانک و فانتوم بسیار مناسب و خوب است. ترکیب فناوری‌های آنها این امکان را به مشتریان می‌دهد که به حملات پیچیده‌ی و رو به افزایش، سریع‌تر پاسخ بدهند و بدین طریق به آن‌ها کمک می‌کند که چند قدم از تهدیدات جلوتر باشند.

افرادی که در تیم‌های امنیتی کار می‌کنند، با زیرساخت امنیتی پیچیده‌ای شامل گستره‌ای از تکنولوژی‌ها از چندین منبع و علاوه بر آن منابع محدودی برای دفاع از سازمان خود سروکار دارند.

نرم‌افزار Splunk Phantom که یکی از بهترین راهکارهای Security, Orchestration, Automation and Response یا SOAR است، با یکپارچه ‌سازی تیم، فرایند‌ها و ابزارِ سازمان‌ها، به نجاتشان می‌آید، تا بتوانند بهترین دفاع ممکن را در کمترین زمان ارائه نمایند. در ادامه به معرفی ویژگی‌های Splunk Phantom خواهیم پرداخت.

اجزای نرم‌افزار Splunk Phantom

این محصول از قسمت های گوناگون تشکیل شده است. نرم‌افزار فانتوم بصورت یک App برروی اسپلانک راه اندازی شده و یک سیستم برای تبیین امنیت (Security Orchestrator) ، اتوماسیون و پاسخ (SOAR) است. همچنین این محصول ترکیبی از برنامه‌ریزی زیرساخت‌های امنیتی، اتوماسیون Playbook و قابلیت مدیریت پرونده برای ادغام تیم، فرآیندها و ابزارهای شما است که به شما کمک می‌کند تا گردش کارهای امنیتی را تنظیم کنید، کارهای امنیتی تکراری را به صورت خودکار انجام دهید و به سرعت به تهدیدات پاسخ دهید.

قابلیت App در نرم‌افزار اسپلانک، امکان اتصال به فناوری‌های امنیتی Third-party را اضافه به نرم‌افزار فانتوم اسپلانک می‌کند و به Splunk Phantom اجازه دسترسی و اجرای اقداماتی را می‌دهد که توسط این فناوری‌ها ارائه شده است. برخی از برنامه‌ها همچنین یک مولفه بصری مانند ابزارهایی دارند که می‌توانند برای ارائه داده‌های تولید شده توسط برنامه استفاده شوند و نمودار سه برنامه زیر را در یک محیط Splunk Phantom نشان دهند:

• برنامه MaxMind عملی برای یافتن موقعیت جغرافیایی آدرس IP را ارائه می‌دهد.
• برنامه PhishTank اقدامی را برای یافتن اعتبار یک URL انجام می‌دهد.
• برنامه Firewall Palo Alto Networks (PAN) اقدامات مختلفی از جمله مسدود کردن و رفع انسداد دسترسی به آدرس‌های IP ، برنامه ها و URL ها را فراهم می‌کند.

Playbook در اسپلانک، مجموعه‌ای از وظایف اتوماسیون را تعریف می‌کند که بر اساس داده‌های جدید وارد لایسنس Splunk Phantom عمل می‌کنند. به عنوان مثال ، می توانید یپیکربندی را با اقدامات مربوط به همه کانتینرهای جدید با برچسب خاص را اجرا کند. هر زمان که مورد جدیدی در Splunk Phantom ایجاد می‌شود. Playbook 1 عملکردهای MaxMind و PAN Firewall نسخه 2.7 را اجرا می‌کند.

همچنین در اسپلانک مولفه های دیگری از قبیل Container، Case، Artifact (اطلاعاتی مانند هش فایل ، آدرس IP یا عنوان ایمیل)، IOC (Indicator of Compromise) و Workbook (الگویی که لیستی از وظایف استاندارد را در اختیار شما قرار می‌دهد و تحلیلگران می‌توانند هنگام ارزیابی موارد از آن پیروی کنند. (هم موجود می‌باشد که به مدیران در بررسی دقیق‌‌تر شبکه کمک می‌کند.)