اسپلانک Mission Control یک برنامه جامع عملیات امنیتی است که به شما امکان میدهد از طریق یک کنسول مبتنی بر cloud، وقایع امنیتی را بررسی، تحلیل و به آنها پاسخ دهید. این برنامه بهطور یکپارچه با اسپلانک Enterprise Security (Cloud) متصل است و دادهها را بهصورت Incident ارائه میدهد تا فرآیند رسیدگی به وقایع امنیتی سادهتر و کارآمدتر شود.
در ادامه به برخی از ویژگی های لایسنس اسپلانک MC اشاره میکنیم:
لایسنس اسپلانک MC بدون هزینه اضافی در قالب یک برنامه همراه با اسپلانک Enterprise Security (Cloud) از نسخه 6.6 به بعد ارائه میشود. با این حال، این برنامه در محصولات اسپلانک SOAR که بهطور جداگانه از اسپلانک Enterprise Security (Cloud) لایسنس دارند، لحاظ نشده است. همچنین، لایسنس اسپلانک MC با نسخههای اسپلانک Enterprise یا اسپلانک Enterprise Security (Cloud) که در محیطهای search head cluster پیادهسازی شدهاند، سازگار نیست.
استفاده از اسپلانک همراه با دادههای خدمات یکپارچهشده یا دیگر محصولات دارای لایسنس اسپلانک ممکن است منجر به افزایش استفاده از منابع SVC شود. با این وجود، استفاده از اسپلانک تأثیری بر لایسنس مبتنی بر کاربر نخواهد داشت. برای مشتریان اسپلانک Cloud که لایسنس اسپلانک Enterprise Security (Cloud) و SOAR (Cloud) را مستقیماً از اسپلانک دارند، استفاده از اسپلانک تأثیری بر کاربران مجاز اسپلانک SOAR (Cloud) نخواهد گذاشت.
لایسنس اسپلانک SOAR (Cloud) قابلیتهای ارکستراسیون و اتوماسیون امنیتی را به اسپلانک اضافه میکند. اسپلانک شامل یک دوره آزمایشی رایگان از اسپلانک SOAR است که در آن میتوان تعداد نامحدودی playbook اجرا کرد، اما حداکثر تا سقف 100 action در روز. کاربران فعلی اسپلانک SOAR (Cloud) باید توجه داشته باشند که انتقال دادههای اتوماسیون موجود مانند playbookها و assetها مستقیماً به اسپلانک امکانپذیر نیست. برای استفاده از قابلیتهای اتوماسیون در اسپلانک، این کاربران باید دوره آزمایشی اسپلانک SOAR (Cloud) را آغاز کنند. این دوره آزمایشی شش ماه پس از تاریخ آغاز منقضی میشود و شامل پشتیبانی اسپلانک نمیباشد.
پس از پایان این دوره آزمایشی، در صورت عدم ارتقای لایسنس، قابلیت اجرای actionها، playbookها و پاسخ به درخواستهای کاربری در اسپلانک از بین خواهد رفت. همچنین ممکن است هنگام بهروزرسانی اسپلانک SOAR ، بدون اطلاع قبلی وقفههایی در اجرای actionهای اتوماسیون رخ دهد.
در صورتی که مایل به ادامه استفاده از لایسنس اسپلانک SOAR برای اتوماسیون پاسخ به حوادث و اجرای نامحدود actionها در اسپلانک Mission Control پس از پایان دوره آزمایشی هستید، لازم است لایسنس اسپلانک SOAR خود را ارتقا دهید.
Threat Intelligence Management در اسپلانک بهصورت یکپارچه ارائه میشود و پشتیبانی اطلاعاتی را بهطور خاص برای کاربران اسپلانک Enterprise Security (Cloud) فراهم میکند.
برای استفاده از Threat Intelligence Management در اسپلانک Mission Control، باید شرایط زیر را داشته باشید:
استفاده از اسپلانک MC ممکن است تا 2 درصد بر عملکرد محیط پیادهسازی اسپلانک Cloud Platform تأثیر بگذارد.
دادههایی که از اسپلانک Enterprise Security (Cloud) بهعنوان Incident به اسپلانک منتقل میشوند، برای کاربران فعال بر اساس سیاستها و تنظیمات خاص نگهداری میشوند. برای کسب اطلاعات دقیق درباره نحوه ذخیرهسازی، مدیریت و نگهداری این دادهها، کاربران باید به بخش «بررسی سیاستهای داده در اسپلانک Cloud Platform» در راهنمای مدیر اسپلانک Cloud Platform مراجعه کنند. این بخش دستورالعملها و پروتکلهای جامع در خصوص مدیریت دادهها در این پلتفرم را ارائه میدهد.
اسپلانک تلاش دارد بهروزرسانیها و نگهداری لایسنس اسپلانک Mission Control را بهصورت یکپارچه انجام دهد تا همه مشتریان از جدیدترین قابلیتها بهرهمند شوند. بر همین اساس، ممکن است بهروزرسانیهایی در سرویس اسپلانک Mission Control بدون اطلاع قبلی و خارج از بازههای زمانی رسمی یا تعیینشده برای نگهداری انجام شود. این بهروزرسانیها نباید باعث هیچگونه وقفه، راهاندازی مجدد یا اختلال در خدمات شوند. تلاش میشود درخواستهای توقف تغییرات (change freeze) به مدت کمتر از 30 روز انجام شود، گرچه ممکن است همه این درخواستها امکانپذیر نباشد.
برای استفاده پیشرفتهتر از امکانات اتوماسیون، توصیه میشود پس از پایان دوره آزمایشی، لایسنس اسپلانک SOAR را ارتقا دهید.
