Splunk Enterprise یک نرم افزار است که داده های فرستاده شده از تمام برنامه های کاربردی، سرویسدهنده ها و تمام دستگاه های تشکیل دهنده ی ساختار شبکه را نمایش میدهد. این نرم افزار، یک موتور جستجو و تحلیل قدرتمند و همه کاره است که امکان نظارت، خطایابی، هشداردهی و گزارش دهی بر روی داده های در حال انتقال بر روی شبکه را به صورت زمان حقیقی به شما میدهد. Splunk همچنین نسبت به مقیاس بسیار انعطاف پذیر است. میتوان از Splunk به منظور حل مسائل جزئی استفاده کرد و یا آن را به ستون اصلی تحلیل یک سازمان وسیع تبدیل کرد..
امكانات و ویژگيهای Splunk
Splunk دارای امکانات و ویژگیهای زیادی میباشد. در ادامه برخی از این امکانات و ویژگیها آمده است:
جمع آوری و نمایه سازی داده ها از هر منبع دادهای به صورت زمان حقیقی
امکان جستجوی قدرتمند و استخراج اطلاعات مفید موجود در داده به صورت خودکار
تحلیل جامع و یافتن ارتباط بین رویدادها و فعالیتهای مختلف
امکان تنظیم هشدار به منظور نظارت خودکار سیستم در هنگام رخدادن رویدادهای خاص
امکان دسترسی امن به Splunk از هر مکانی
کنترل و نظارت در فرآیند اجرای فایل فضاهای موقتی (Tempexec Prevention)
تهیه لیست سیاه و سفید از نرمافزارها جهت کنترل (Application Enforcement Control)
محافظت فرآیندها در زمان اجرا (Runtime Protection)
دارای متد ظرف عسل جهت رصد سیستم فایل
محافظت از فضای بوت (MBR-Boot sector protection)
دارای امکان پشتیبان گیری و محافظت از فضای Shadow backup
تشخیص رفتار،تعریف ROI و مقابله با باج افزار های جدید
محصولات Splunk یک پلتفرم هوش امنیتی انعطافپذیر و پرسرعتی ارائه میدهند که باعث افزایش کارآیی فرآیندها و پرسنل SOC میشود. با نرمافزار Splunk تمامی پرسنل SOC میتوانند به دادهها و اطلاعات لازم جهت شناسایی، بررسی و اصلاح سریع تهدیدات بهسرعت دسترسی پیدا کنند. تحلیلگر Tier اول میتواند محصولات Splunk را جهت تحقیق اولیه بر اساس یک بازة زمانی، واژة کلیدی، آدرس IP یا نام ماشین مورد استفاده قرار دهد. تحلیلگرهای Tierهای دوم و سوم میتوانند با استفاده از همین محصولات جهت اجرای عملیات پیشرفتة همپوشانی دادهها در سراسر داده (Cross-data Source Correlations)، ایجاد مدلهای تجزیه و تحلیل جهت شناسایی اختلال و دادههای خارج از محدوده یا اجرای عملیات پیشرفته جرمشناسی روی یک ماشین در معرض آسیب، را انجام دهند. Splunk Enterprise Security نیز در دسترس است و ماژولهای ازپیشایجادشده، گزارشها، Feedهای تهدیدات هوشمند، شناسایی اختلال، رتبهبندی ریسک و چارچوب بررسی حادثه را فراهم میکند. Splunk User Behavior Analytics (تجزیه و تحلیل رفتار کاربر Splunk) نیز میتواند به عنوان یک لایة شناسایی دیگر اضافه شده و مورد استفاده قرار گیرد. این لایه از یادگیری ماشینی نظارتنشده استفاده میکند تا تهدیدات داخلی و خارجی ناشناس و پیشرفته را شناسایی کند.