نبذة عن برنامج Splunk

اليوم بتكلم عن الـ SIEM) Security Information and Event Management) بالتحديد راح أتكلم عن الأداة الأشهر في هالمجال Splunk التي تعد مثل قوقل لبيانات المنظمة يتم إرسال كل الـdata/logs إليها (مهما كان امتداد الملفات)، وتقوم بالتالي بتحليل كل شيء.

من خلال الواجهة الرئيسة لـ Splunk Enterprise، يمكنك البحث في log files، استخراج تقارير، أو تعريف تنبيهات لتسهل لك عملية التحليل. كما يمكن إرسال البيانات لـ Splunk بثلاث طرق: Uploading, Monitoring, Forwarding ما يهمنا هي الطريقة الأخيرة Forwarding، والمتبعة غالباً من قبل المنظمات. 

مؤمنة بأن الطريق لتعلم الأمن السيبراني هو من خلال التطبيق العملي. لذلك، حتى يسهل فهم طريقة عمل الأداة، يمكن تحميل كل من Splunk Enterprise and Splunk Universal Forwarder من خلال التسجيل مجاناً في الموقع (رابط الموقع)

نحتاج إلى جهازين:

(1) لتثبيت Splunk Universal Forwarder لإرسال الـ log files. يحتوي الملف على شرح مفصّل

(2) لتثبيت Splunk Enterprise لاستقبال الـ log files وتحليلها. (طريقة التحميل)  يحتوي الملف على شرح مفصّل

للبحث من خلال أداة Splunk هنالك لغة خاصة تسمى SPL Search Processing Language إذا اتبعت الخطوات في الملفات السابقة وقرأت عن هذه اللغة، ستثري الـCV بشكل كبير وستكون منافس للوظائف من هذا النوع في الأمن السيبراني، وإذا تعلمت على هذه الأداة فإن بقية أدوات الـ SIEM تعمل بنفس الطريقة. 

دلال الحارثي