🛡️ما هو "Splunk"؟🕵🏻..
▪️هو أحد أشهر حلول نظام إدارة معلومات الأمان والأحداث SIEM.
▪️يعد Splunk عبارة عن منصة برمجية للبحث عن البيانات وتحليلها وفيما بعد يتم تجميع هذه البيانات وتحليلها من عديد من الأجهزة المرتبطة ب Splunk.
🕵🏻 استخدام "Splunk"؟..
يمكن ل Splunk مساعدة المؤسسات كحل لجمع البيانات الضخمة وتحليلها والتي تكون منها متعلقة بمواقع الويب وببرامج المستخدم (المعاملات المصرفية للكشف عن الاحتيال كمثال) والأجهزة المختلفة مثل معدات الشبكة (جدار الحماية وأنظمة IDS وسجلات نقاط النهاية Endpoint) يتم جمعها وتحليل ومحاولة استنباط العلاقات فيما بين تلك البيانات.
🕵🏻 كيف يعمل "Splunk" ؟..
عند استلام البيانات وتخزينها بشكل مفهرس indexing يتم من خلاله تدفق البيانات وتخزينها في صفوف الأحداث المستقلة تماماً والقابلة للبحث وبعد جمع المعلومات، يربط Splunk هذه البيانات بشكل هادف بناءً على القواعد المنظمة التي تم وضعها بشكل مسبق بعد ذلك، يمكننا استخراج النتائج التي نريدها باستخدام المرشحات ووظيفة البحث في Splunk وعرضها باستخدام مخططات رسومية مختلفة،أيضاً هناك لغة خاصة بحث خاصة ب Splunk تسمى SPL تسهل عملية البحث بصورة ذكية ومنظمة.
📍المزايا الرئيسية ل Splunk:
1️⃣ الفهرسة Indexing.
2️⃣ البحث Search.
3️⃣ التنبيهات Alerts.
4️⃣ لوحة القيادة Dashboard.
5️⃣ المحورية Pivoting.
6️⃣ التقارير Reports.
7️⃣ نمذجة البيانات Data model.