Splunk Nedir?
Kısaca Splunk
Splunk, çeşitli kaynaklardan log toplayabilen (sunucu, ağ cihazları, uygulamalar vb.), topladığı logları saklayan (indexleyen), saklanan loglar üzerinde arama, araştırma, analiz ve korelasyon yapmayı sağlayan SIEM (Security Information and Event Management) çözümüdür.
Basit mantığıyla splunk, forwarder — indexer — master yapısıyla çalışmaktadır.
Splunk, BT güvenlik tehditleriyle ilgili tespit etme zamanı, içerme zamanı ve düzeltilmesi gereken zaman olarak üç kritik metrik üzerinden çalışır. Güvenlik uyarı analizlerini merkezileştirir, ağlardan, uç noktalardan, bulut uygulamalarından ve diğer kaynaklardan ilgili varlık ve kimlik verilerini çeker ve bunları tek bir kontrol panelinde gösterir. Bunların dışında kişiler tarafından belirlenen tehdit noktaları gibi veriler de eklenebilir.
Bir izleme aracından (monitoring tool) daha fazlasını yapan SIEM ürünü Splunk, yapay zeka kullanımı ve makine öğrenimi ile pattern tabanlı izleme, uyarma ve sonuç çıkarımları yapabilmektedir.
Splunk’in nasıl çalıştığına dair BT dışına çıkarak günlük hayattan gerçek bir örnek verebiliriz. Sağlık sektöründe bulunan bir kuruluş IoT cihazları (sensörler) kullanarak uzakta bulunan hastalarından sağlık verilerini toplar. Splunk bu verileri işler ve herhangi bir anormal kayda rastladığında bunu sistem ara yüzü üzerinden doktora ve hastaya rapor eder.
Splunk Dashboard,
Splunk Dashboard’lar oluşturarak gerçekleşen olayların görsellerini tek bir ekranda toplayabilir ve analiz edebiliriz.
Splunk Data İnputs,
Çok yöntemli data girişi sayesinde çok farklı log kaynaklarından log toplayabiliyoruz.VMI desteği sayesinde herhangi bir agent kullanmadan uzak sunuculardan logları toplayabiliyor,korale edebiliyoruz.Universal Forwarder (Splunk Agent) kullanmak istediğiniz senaryolarda da çok başarılı sonuçlar elde edebiliyoruz.
Alerts,
Search ettiğimiz olayları kullanarak çok kolay bir şekilde alarmlar oluşturabiliriz ve bazı olaylar ile ilişkilendirebiliriz.
Örnek vermek gerekirse aşağıdaki gibi, mail atmasını isteyebiliriz, script çalıştırabilirz, trigger alert oluşturarak dashboard üzerinde bizi uyarmasını isteyebiliriz.
