نرم افزار Splunk Phantom

معرفی نرم افزار Splunk Phantom

نرم افزار Splunk Phantom

شرکت اسپلانک با به‌دست آوردن مالکیت phantom کامل‌تر شده و ادغام این دو شرکت مزایای بیشتری برای کاربران، مشتریان و شرکای شرکت فراهم نموده است. در نشستی که با الیور فردریش، بنیان‌گذار و مدیرعامل پیشین Phantom، برگزار شد، در مورد اقداماتی که در راستای هدفی مشترک برای عملیات امنیتی قابل ارائه خواهد بود، صحبت شد.

 

هایان: الیور، حالا که رسما با یکدیگر همکاری می‌کنیم، چه چیزی بیش از همه تو را به وجد می‌آورد؟

الیور: بیش از همه، از بابت ارائه‌ی Phantom به عموم هیجان‌زده هستم. در Phantom ما از این امتیاز برخوردار بودیم که امنیت بزرگ‌ترین سازمان‌ها و شرکت‌های تولیدی، بهداشتی، فناوری و مالی و همچنین بزرگ‌ترین ادارات دولتی بر عهده‌ی ما بوده است. ما حدود ده‌هزار کاربر و بیش از دویست برنامه‌ی کاربردی داشتیم و بالغ بر هزار API را پشتیبانی می‌کردیم. اسپلانک این امکان را به ما خواهد داد که آن را نه تنها در حوزه‌ی امنیت، بلکه در بازار گسترده‌تری از IT افزایش دهیم. سازمان‌ها نیاز شدیدی به خودکارسازی و هماهنگ‌سازی دارند تا بتوانند واکنش سریع‌تری به تهدیدات داشته باشند. در طی سال گذشته شنیده می‌شد که فعالیت‌های ما محدود به تقاضا نیست، بلکه محدود به ظرفیت هستیم. اسپلانک، با بیش از سه‌هزار کارمند، این توانایی را به ما می‌دهد تا به آن‌هایی که بیش از همه نیاز دارند، خدمت‌رسانی کرده و پلتفرم خود را به آن‌ها ارائه کنیم. این شرکت پیام ما را رساتر کرده و جمعیت گسترده‌تری از بازار را از قابلیت‌های شرکت ما آگاه می‌سازد.

اسپلانک در جذب، ذخیره و تحلیل داده‌های ماشینی، پیشرو شده است، Phantom نیز به عاملی مهم در انجام عملیات بر روی آن داده‌ها بدل شده است. بدین دلیل است که ادغام اسپلانک و فانتوم بسیار مناسب و خوب است.

همچنین مشتاق هستم که انجام عملیات برای هدفی را که برای عملیات امنیتی‌ای که در سال 2014 آغاز کردیم، سرعت بخشیم. ترکیب فناوری‌های ما این امکان را به مشتریان می‌دهد که به حملات پیچیده‌ی رو به افزایش سریع‌تر پاسخ بدهند و بدین طریق به آن‌ها کمک می‌کند که چند قدم از تهدیدات جلوتر باشند.افرادی که در تیم‌های امنیتی کار می‌کنند، با زیرساخت امنیتی پیچیده‌ای شامل گستره‌ای از تکنولوژی‌ها از چندین منبع و علاوه بر آن منابع محدودی برای دفاع از سازمان خود سروکار دارند. نرم افزار Splunk Phantom که یکی از بهترین راهکارهای Security, Orchestration, Automation and Response یا SOAR است، با یکپارچه‌سازی تیم، فرایند‌ها و ابزارِ سازمان‌ها، به نجاتشان می‌آید، تا بتوانند بهترین دفاع ممکن را در کمترین زمان ارائه نمایند. 

 نرم افزار Splunk Phantom

Component Description
App Splunk Phantom یک سیستم امنیت ارکستراسیون ، اتوماسیون و پاسخ (SOAR) است. پلتفرم Splunk Phantom ترکیبی از برنامه ریزی زیرساخت های امنیتی ، اتوماسیون playbook و قابلیت مدیریت پرونده برای ادغام تیم ، فرآیندها و ابزارهای شما است که به شما کمک می کند تا گردش کارهای امنیتی را تنظیم کنید ، کارهای امنیتی تکراری را به صورت خودکار انجام دهید و به سرعت به تهدیدات پاسخ دهید. این نمودار جریان اتوماسیون امنیتی از انتها به انتها را در Splunk Phantom نشان می دهد..

 

Asset اتصال به فناوری های امنیتی شخص ثالث را اضافه می کند. این اتصالات به Splunk Phantom اجازه دسترسی و اجرای اقداماتی را می دهد که توسط فن آوری های شخص ثالث ارائه شده است. برخی از برنامه ها همچنین یک م visualلفه بصری مانند ابزارک هایی دارند که می توانند برای ارائه داده های تولید شده توسط برنامه استفاده شوند. نمودار سه برنامه را در یک محیط Splunk Phantom نشان می دهد:

• برنامه MaxMind عملی برای یافتن موقعیت جغرافیایی آدرس IP را ارائه می دهد.

• برنامه PhishTank اقدامی را برای یافتن اعتبار یک URL انجام می دهد. برنامه Firewall Palo Alto Networks (PAN) اقدامات مختلفی از جمله مسدود کردن و رفع انسداد دسترسی به آدرس های IP ، برنامه ها و URL ها را فراهم می کند.

 

Container یک رویداد امنیتی که در نرم افزار Splunk Phantom بلعیده می شود. کانتینرها دارای برچسب پیش فرض Events هستند. از برچسب ها برای دسته بندی ظروف مربوط به هم استفاده می شود. به عنوان مثال ، ظروف یک دارایی همه می توانند دارای برچسب یکسانی باشند. سپس می توانید یک کتاب بازی را علیه همه ظروف با همان برچسب اجرا کنید. در صورت نیاز می توانید برچسب های سفارشی را در Splunk Phantom ایجاد نماید..

 

Case می توان چندین مورد باهم بررسی نمود
Artifact اطلاعاتی مانند هش فایل ، آدرس IP یا عنوان ایمیل

 

Indicator or Indicator of Compromise (IOC) قطعه ای از داده ها مانند آدرس IP ، نام میزبان یا هش پرونده که زمینه های قالب رویداد مشترک (CEF) را در یک مصنوع پر می کند. اندیکاتورها کوچکترین واحد داده ای هستند که می توانند در Splunk Phantom عمل کنند.

 

Playbook مجموعه ای از وظایف اتوماسیون را تعریف می کند که بر اساس داده های جدید وارد نرم افزار Splunk Phantom عمل می کنند. به عنوان مثال ، می توانید یپیکربندی را با اقدامات مربوط به همه کانتینرهای جدید با برچسب خاص را اجرا کند. هر زمان که مورد جدیدی در Splunk Phantom ایجاد می شود ،

 

 Playbook 1 عملکردهای MaxMind و PAN Firewall نسخه 2.7 را اجرا می کند.

 Playbook 2 هر زمان که از یک کتاب کار خاص در پرونده ای استفاده می شود ، اقدامات مربوط به دارایی های PhishTank و PAN Firewall نسخه 3.0 را اجرا می کند..

Workbook الگویی که لیستی از وظایف استاندارد را در اختیار شما قرار می دهد و تحلیلگران می توانند هنگام ارزیابی موارد از آن پیروی کنند.
Action یک سطح ابتدایی سطح بالا که در کل سیستم عامل Splunk Phantom مورد استفاده قرار می گیرد ، مانند گرفتن فرآیند تخلیه ، مسدود کردن ip ، تعلیق vm یا خاتمه روند. اقدامات از طریق رابط وب Splunk Phantom در کتابهای بازی یا به صورت دستی اجرا می شوند. اقدامات توسط برنامه ها در دسترس Splunk Phantom قرار می گیرد..

 

Owner مسئولیت مدیریت دارایی در سازمان شما. مالکان تأییدیه هایی را دریافت می کنند که درخواست هایی برای اجرای عملی خاص در یک دارایی است. تأییدیه ها به دارندگان دارایی ارسال می شود و حاوی یک توافق نامه سطح خدمات (SLA) است که زمان پاسخ مورد انتظار را تعیین می کند. SLA ها را می توان بر روی رویدادها ، مراحل و وظایف تنظیم کرد.

این مقاله برای شما مفید بود ؟

بر روی یک ستاره کلیک کنید تا به آن امتیاز دهید!

میانگین امتیاز 0 / 5. شمارش آرا: 0

تاکنون رأی ندارید! اولین نفری باشید که به این پست امتیاز می دهد.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *