SIEM Technology & Splunk
নেটওয়ার্ক কি? (What is Network?)
-শুরু করার আগে আমাদের জানতে হবে নেটওয়ার্ক কি? সহজ বাংলায় অনেকগুলো বস্তুর নিজেদের মধ্যে কানেকশন। উদাহরণস্বরূপ কম্পিউটার নেটওয়ার্ক বলতে আমরা বুঝি একটি কম্পিউটারকে অন্য কোনো কম্পিউটারের সাথে কানেক্ট করে তথ্যের আদান প্রদান। এভাবে হাজার হাজার কম্পিউটার একসাথে জুড়ে, কম্পিউটার নেটওয়ার্ক গঠন করা হয়। ইন্টারনেট হলো পৃথিবীর সর্ববৃহৎ নেটওয়ার্ক।
নেটওয়ার্কের সাথে যে সমস্ত কম্পিউটার বা ডিভাইস যুক্ত করা হয়, সেগুলিকে Node বলে এবং কম্পিউটার নেটওয়ার্ক এর সমস্ত ডেটা যেখানে জমা হয় সেটিকে সার্ভার বলে। নিজেদের মধ্যে কানেকশনের পাশাপাশি আমাদের নেটওয়ার্ক ইন্টারনেটের সাথেও যুক্ত থাকতে পারে।
SIEM কি? (What is SIEM)
-নেটওয়ার্কের মধ্যে প্রতিনিয়ত ‘ডেটা’ (তথ্য) আদান প্রদান এবং সার্ভারে স্টোর হতে থাকে। যাবতীয় তথ্যের সিকিউরিটি নিশ্চিত করার জন্য আমরা সাধারণত SIEM টেকনোলজি ব্যবহার করি। SIEM এর পূর্ণরূপ হচ্ছে Security Information and Event Management। নাম থেকেই মোটামুটি বুঝা যাচ্ছে এটার কাজ আসলে কি।
SIEM কিভাবে কাজ করে?
-সাধারণত একটি নেটওয়ার্কে যত ধরনের এক্টিভিটি হয় সেগুলো লগ হিসেবে কম্পিউটারগুলোতে সংরক্ষিত থাকে। এবং প্রয়োজনীয় সব ডেটা স্টোরেজে বিভিন্ন ফাইল আকারে সাজানো থাকে। SIEM এর কাজটা হলো নেটওয়ার্কের সাথে কানেক্টেড সবগুলো সোর্স (ডিভাইস, সার্ভার, ডোমেইন কন্ট্রোলার ইত্যাদি) থেকে ডেটা সংগ্রহ করে সেগুলো এনালাইসিস করে নেটওয়ার্কের জন্য থ্রেট খুঁজে বের করা এবং অর্গানাইজেশনকে প্রয়োজনীয় স্টেপ নিতে বলে দেওয়া।
কয়েকটি জনপ্রিয় SIEM টুলের মধ্যে Splunk, IBM Qradar, LogRhythm ইত্যাদি বেশ পরিচিত।
Splunk কি? (What is Splunk)
- কম্পিউটারগুলোর লগ থেকে যেসব ডেটা উৎপন্ন হয় সেগুলোকে আমরা মেশিন ডেটা বলি। মেশিন ডেটা দেখতে অনেক হিজিবিজি, অগোছালো। এই ডেটা দেখে সহজে বুঝা যায়না এগুলো আসলে কি বুঝাচ্ছে। এই কাজটাকে সহজ করার জন্যই ২০০৩ সালে Splunk এর জন্ম।
Spunk হলো একটি SIEM সফটওয়্যার প্ল্যাটফর্ম যা ওয়েবসাইট, অ্যাপ্লিকেশন, সেন্সর, ডিভাইস ইত্যাদির কাছ থেকে মেশিন ডেটা সংগ্রহ করে এনালাইসিস করে ক্লায়েন্টকে সহজবোধ্য করে ভিজুয়ালাইজ করে দেয়।
Splunk কোথায় ব্যবহার হয়? (Where it is used)
- যেকোন একটি নেটওয়ার্কের ডেটা সিকিউর করার জন্য সাধারণত Security Operations Centre (SOC) গঠন করা হয়, ওখানে SIEM টুল/টেকনোলজি হিসেবে Splunk বহুল ব্যবহৃত হয়।
সাইবার সিকিউরিটিতে Splunk এর গুরুত্ব (Splunk from cyber sec perspective)
- বর্তমান বিশ্বে সবচেয়ে মূল্যবান সম্পদ হচ্ছে ডেটা। ব্যক্তিগত পরিমন্ডল থেকে বৃহত্তর পরিসরে ডেটার গুরুত্ব অপরিসীম। ডেটার আদানপ্রদানে বা সংরক্ষণে নিরাপত্তা নিশ্চিত করা জরুরী। একটি নেটওয়ার্কের মধ্যে ডেটার সুরক্ষার জন্য সাধারণত নানাবিধ স্ট্র্যাটেজি গ্রহণ করা হয়ে থাকে। যারা ডেটা সিকিউরিটির ব্যাপারে বেশ কনসার্নড ওরা SIEM টেকনোলজির ব্যবহারের গুরুত্ব বুঝেন। এভেইলেবল SIEM টেকনোলজির মধ্যে Splunk বেশ জনপ্রিয় নাম। স্ট্রং SOC প্লাটফর্ম এবং এন্টারপ্রাইজ ক্লায়েন্টদের প্রথম শ্রেণির প্রশিক্ষণের মাধ্যমে ওদের সার্ভিস প্রদান করে থাকে।
কিভাবে Splunk শিখতে পারি? (How to learn spunk)
- Splunk প্ল্যাটফর্ম ওদের সফটওয়্যার সম্পর্কে বেসিক আইডিয়া দেওয়ার জন্য Splunk ট্রেইনিং এবং সার্টিফিকেশনের আন্ডারে Splunk Fundamentals 1 নামে একটি ফ্রি কোর্স প্রোভাইড করে থাকে। এটি ছাড়াও আরো কয়েকটি ফ্রি কোর্স রয়েছে এবং পেইড কোর্স রয়েছে মোটামুটি চল্লিশটিরও বেশি।
Splunk এর ফ্রি ফান্ডামেন্টাল সার্টিফিকেট কিভাবে পেতে পারি? (
How to get free fundamentals certification)
- প্রথমে আমাদের https://www.splunk.com/ এ যেতে হবে। Free Splunk এ গিয়ে যাবতীয় তথ্য দিয়ে সাইন আপ (রেজিস্ট্রেশন) করতে হবে। রেজিস্ট্রেশন হয়ে গেলে আমরা Splunk এর ফ্রি কোর্সগুলো এভেইল করতে পারবো। সবগুলো কোর্স এক সাথে পেতে চাইলে যেতে হবে এই লিংকে https://www.splunk.com/en_us/training.html
Free Fundamentals 1 কোর্সটি রেজিস্ট্রেশনের পর 60 দিনের জন্য এভেইলেবল থাকবে। সবমিলিয়ে চৌদ্দটির মতো মডিউল রয়েছে। টপিকভিত্তিক ছোট ছোট ভিডিও রয়েছে। প্রায় প্রতিটি মডিউলের সাথে রয়েছে ল্যাব ম্যাটেরিয়াল এবং কুইজ। সাবলীল ইংরেজি ভাষায় ভিডিওগুলো দেখতে খুব একটা সময় লাগবেনা।
কোর্সের শুরু থেকে সব বিষয়ে কমপ্লিট গাইডলাইন রয়েছে। কিভাবে ওদের সফটওয়্যারটি ডাউনলোড করতে হবে। কিভাবে ভিন্ন ভিন্ন অপারেটিং সিস্টেমে ইনস্টল করে ল্যাব প্র্যাকটিস করার এনভায়রেনমেন্ট ক্রিয়েট করতে হবে। কোর্স গাইডলাইন ফলো করলে খুব সহজেই অল্প কয়েকদিনে কোর্সটি শেষ করা সম্ভব।
ওপেন সোর্স SIEMঃ (Open source SIEM)
- আমরা সাধারণত কোন একটা সফটওয়্যার কিনে ব্যবহার করি। ইউজারদের জন্য নির্দিষ্ট প্রিভিলেজ দেওয়া থাকে। বেশিরভাগ সময়ই ইউজারদেরকে সোর্সকোড দেওয়া হয়না। উদাহরণস্বরুপ আমরা মাইক্রোসফট ওয়ার্ড অথবা এক্সেল ব্যবহার করি। কিন্তু সফটওয়্যার সোর্সকোড এক্সেস করতে পারিনা। এজন্য আমরা চাইলেও মাইক্রোসফট ওয়ার্ডে নিজেদের মতো করে কোন ফিচার এড করতে পারিনা। কিন্তু ওপেন সোর্সের ক্ষেত্রে ব্যাপারটা ভিন্ন।
ওপেন সোর্স সফটওয়্যারগুলোতে সোর্স কোড পাবলিক করা থাকে। যেকেউ সোর্স কোড মডিফাই করে নিজেদের মতো করে ফিচার কাটছাট অথবা এড করে নিতে পারে। এবং ওপেন সোর্স সফটওয়্যার বেশিরভাগ ক্ষেত্রে ফ্রিও বটে।
প্রচলিত জনপ্রিয় পেইড SIEM সফটওয়্যারগুলোর বাইরেও কিছু ওপেন সোর্স SIEM টুল পাওয়া যায়। এর মধ্যে Apache Metron, AlienVault OSSIM, MozDef, OSSEC, Wazuh, Prelude OSS, Snort, Sagan, ELK Stack, SIEMonster উল্লেখযোগ্য।
ReplyReply AllForwardEdit as new
Written and Compiled by Nahid, CSE Graduate, AIUB