เนื่องจากบทความอันเก่าที่มีการเขียนอธิบายว่า SIEM คืออะไร วันนี้ผมจะมานำเสนอ SIEM Software ตัวนึงที่ครบเครื่องด้านความปลอดภัยและธุรกิจ ด้วยการวิเคราะห์ข้อมูลด้วยหลักการ Big Data จึงทำให้ Software ตัวนี้พิเศษกว่า Software ตัวอื่นๆ รวมถึงยังติดตามเหตุการณ์ต่าง ๆ แบบ Real-time ซึ่งคุ้มต่อการลงทุนมาก ๆ ตัวนั้นได้แก่ “Splunk”
Splunk คือ Software ที่ช่วยค้นหา แสดงรายงาน ตรวจสอบ และวิเคราะห์ ข้อมูล ได้อย่างรวดเร็วและยังสามารถดูแบบ Real-time หรือย้อนไปดูเหตุการณ์ก่อนหน้านั้นได้ ลักษณะเด่นแบบคร่าวๆ ของ Splunk จะสามารถทำให้เห็นข้อมูลจากทุกส่วนในระดับ Services ซึ่งเกิดจากการทำงานร่วมกันของ Hardware, Software, Network, Application ด้วยความสามารถที่กล่าวมาทำให้ช่วยลดระยะเวลาในการหาสาเหตุของปัญหาได้อย่างรวดเร็ว
Splunk เป็น Security Information & Event Management หรือ SIEM อีกตัวที่หลายองค์กรนิยมใช้งานแต่จุดเด่นหลักๆของ Splunk ได้แก่
- ความง่ายและยืดหยุ่นในการใช้งานให้ตอบโจทย์ความต้องการขององค์กร
นอกจาก Splunk สามารถที่จะเป็น SIEM ได้แล้วยังสามารถเป็น IT Operations ได้ สามารถนำข้อมูล มาวิเคราะห์ ด้วยการนำแนวคิดของ Big Data Analytics มาพัฒนาเป็นระบบสำเร็จรูป เพื่อให้ทุก ๆ องค์กรสามารถสร้างระบบ Big Data, ซึ่งความง่ายต่อการ Custom Dashboard และการวิเคราะห์ข้อมูล ที่สามารถตอบโจทย์องค์ได้ครบถ้วน ทำให้ Splunk กลายเป็น Beyond SIEM ที่มีความยืดหยุ่นเอามาก ๆ และยังสามารถปรับแต่งได้ตามต้องการไปอี๊กกก
2. สามารถเชื่อมต่ออุปกรณ์รักษาความปลอดภัย, threat Intelligence และ อุปกรณ์ Network
เนื่องจาก Splunk มีระบบ Data Analytics ทำให้ Splunk สามารถนำข้อมูลดิบ หรือ Machine Data จากระบบเครือข่าย ไม่ว่าจะเป็น SNMP, Log , Traffic , Event หรือ อื่นๆ มาวิเคราะห์กับข้อมูลด้านความปลอดภัย และมี Signature การโจมตีของผู้ผลิต ได้อย่างอิสระไม่ว่าจะเป็นแบบ Commercial หรือ Opensource ทำให้องค์กรมีความทางเลือกในการลงทุนทางด้านความปลอดภัยที่ค่อนข้างจะยืดหยุ่น และสามารถเลือกลงทุนให้เหมาะสมความต้องการและงบประมาณได้
3. ระบบ Big Data หรือ Internet of Internet of Thing Analytics
เป็นอีกหนึ่งจุดเด่นของ Splunk ที่ไม่ใช้แค่ระบบ SIEM ปกติที่กล่าวไปขั้นต้น เนื่องจาก Splunk เนี่ยรองรับต่อการทำ Big data หรือ Internet of Internet of Thing Analytics และเชื่อมต่อ Big data อย่างเช่น Hadoop เพื่อวิเคราะห์ข้อมูลเพื่อให้แสดงผลได้ตามต้องการ
4. ประยุกต์ใช้ได้กับระบบ NOC (Network Operation Center)
Splunk ไม่ได้มีเพียงแค่วิเคราะห์ทางข้อมูลหรือข้อมูลทางด้านความปลอดภัยเท่านั้น น้อง Splunk ยังสามารถวิเคราะห์ด้าน Availability และ Performance ของอุปกรณ์ต่างๆ และยังสามารถทำงานบนระบบเครือข่ายได้อีกด้วย รวมไปถึงยังมีระบบการทำ Alert และ Report ทำให้ผู้ดูแลระบบเครือข่ายสามารถตอบสนองและรับมือเหตุการณ์ต่างๆ ได้โดยทันที อีกทั้งยังมี Dashboard เพื่อตอบสนองต่อการใช้งานและดูแลระบบเครือข่ายของ Data Center ได้อย่างครบถ่วน
5. การประยุกต์ใช้ Splunk กับระบบ E-Commerce/Retail Analytics
Splunk มีความตอบโจทย์ในการใช้งานของทีม Marketing หรือ ทีมSales ได้ด้วยการวิเคราะห์ข้อมูลของการเข้าใช้งานและการซื้อขายผ่านระบบ E-Commerce รวมไปถึงการเข้าเยี่ยมชมหน้าเว็บไซต์ต่างๆ ซึ่งทำให้ทีม Marketing หรือ ทีม Sale เข้าใจพฤติกรรมของลูกค้าได้ดีขึ้น ในขณะเดียวกันที่ทางทีม IT ก็สามารถตรวจสอบความถูกต้องทั้งระบบ E-commerce และ Website ทันที ทำให้รู้ได้ทันทีเมื่อลูกค้ามีปัญหาการใช้งานของระบบ หรือไม่สามารถทำรายการซื้อขายได้
6. อีกหนึ่งความเมพของ Splunk สามารถวิเคราะห์ข้อมูลอะไรก็ได้
ในความเป็นจริงแล้ว Splunk คือ Platform ที่สำหรับทำ Big Data อยู่แล้วซึ่งในการทำ Big Data เนี่ยมันจะมีระบบ Data Analytics เพื่อวิเคราะห์ Machine Data ที่เข้ามายัง Splunk ซึ่งทำให้ Splunk สามารถกำหนดขอบเขตหรือการรับมือของภัยคุกความได้ รวมไปอีกทั้งยังสามารถวิเคราะห์ข้อมูลพฤติกรรมของผู้ใช้งาน เพื่อนำไปขยายผลในเชิงธุระกิจได้
ความสามารถของ Splunk
1. หน้าที่การเก็บรวบรวมเหตุการณ์ต่าง ๆ ที่เกิด ขึ้นจาก Network, Website, Application , Log, etc. ได้ทุกรูปแบบ รวมไปถึงการเก็บข้อมูลจาก Social Media และ Cloud
2. หลังจากที่ Splunk ได้ Machine Data ต่าง ๆ มา ก็จะทำการ Normalize ข้อมูลเหล่านั้นโดยอัตโนมัติ และได้ Splunk Search Processing Language (SPL) จะส่งผลให้การค้นหาข้อมูล, การคำนวณทางสถิติ ซึ่งการคำนวณประมวณผลของ Splunk สามารถทำงานได้อย่างอิรสะมากกว่า 130 รูปแบบ และยังสามารถเลือกช่วงเวลาของTransaction Data เพื่อมาวิเคราะห์ได้ รวมไปถึง Splunk มีการวิเคราะห์ ข้อมูลขนาดใหญ่เพื่อ ตรวจจับ Network Activity
3. ฟีเจอร์อีกอันถ้าไม่พูดถึงก็จะไม่ได้ คือ การวิเคราะห์ความสัมพันธ์ของข้อมูล โดยสามารถวิเคราะห์ได้จากตัวแปลต่าง ๆ อย่าง เวลา สถานที่ เหตุการณ์ และค่าอื่น ๆ ใช้ประโยชน์ในด้านอื่น ๆ และยังสามารถตรวจจับ Transaction และ Sessions เพื่อหาข้อผิดพลาดในการเชื่อมต่อ หรือปัญหาด้านการใช้งานอื่น ๆ ของผู้บริโภค และยังมี ฟีเจอร์ Event Pattern Detection เพื่อหา Pattern การกระทำที่เกิดขึ้น เพื่อนำไปทำนาย หรือทำความเข้าใจพฤติกรรมต่อกิจกรรมต่างๆ
4. ในส่วนของการ Monitor เหตุการณ์ต่างๆ Splunk ก็สามารถทำงานได้แบบ Real-time และ Dashboard สามารถปรับแต่งได้หลากหลายรูปแบบเพื่อใช้ Monitor , ทำนายความเป็นไปได้, หรือติดตามเฝ้าระวังภัยคุกคาม
5. ความสามารถในการแจ้งเตือนผู้ใช้ เมื่อเกิดเหตุการณ์ ที่ตรงตามเงื่อนไขที่กำหนดไว้ เพื่อลดการวิเคราะห์ข้อมูลที่ใช้เป็นจำนวนมากๆ และการเลือกเหตุการณ์แจ้ง เรียงตาม Priority ที่ได้กำหนดไว้
6. การเข้าถึง Splunk ค่อข้างง่ายต่อการใช้ เนื่องจากสามารถ Access ที่ไหนก็ได้ ผ่าน Web Browser หรือ Mobile Application ทำให้การวิเคราะห์ธุรกิจหรือการเฝ้าระวัง เงื่อนไขค่อนข้างที่จะน้อย
