پنل کاربری

انواع لایسنس UBA برای Splunk ES | راهنمای جامع انتخاب، مزایا و نکات کلیدی

گزارش تهدیدات داخلی با UBA

اگر از Splunk Enterprise Security (ES)  استفاده می‌کنید و به دنبال تقویت توانایی در تشخیص تهدیدات داخلی و تحلیل رفتار غیرعادی کاربران و دارایی‌ها هستید، افزودن Splunk User Behavior Analytics (UBA)  بهترین انتخاب است. پرسش اصلی اینجاست:  UBA را با کدام مدل لایسنس تهیه کنیم تا هم مقرون‌به‌صرفه باشد و هم با معماری فعلی ES سازگاری کامل داشته باشد؟

در این مقاله از ستاره امنیت، به بررسی انواع لایسنس UBA برای Splunk ES می‌پردازیم، هر مدل را با جزئیات مرور می‌کنیم، مزایا و معایب آن‌ها را توضیح می‌دهیم و در نهایت نکات کلیدی برای انتخاب مناسب‌ترین گزینه را در اختیار شما قرار می‌دهیم.

1. مدل‌های لایسنس UBA برای محیط‌هایی که ES دارند

الف) لایسنس UBA به‌صورت Add-On بر اساس Ingestion (GB/day)

در این روش، سازمان‌هایی که قبلاً از Splunk Enterprise Security (ES)  استفاده می‌کنند می‌توانند UBA  را به شکل یک افزونه (Add-On) فعال کنند. مبنای محاسبه لایسنس در این مدل، حجم داده‌ی ایندکس‌شده بر حسب گیگابایت در روز (GB/day) است.

حداقل ظرفیت در این نوع لایسنس از ۱۰۰ GB/day آغاز می‌شود و زمانی بهترین انتخاب است که لایسنس فعلی ES شما نیز بر پایه‌ی داده‌ی ورودی روزانه تعریف شده باشد. در این صورت، می‌توانید UBA  را بدون ایجاد مدل محاسباتی جداگانه، در همان جریان داده‌ی ES مصرف کنید و هزینه‌ها را ساده‌تر مدیریت نمایید.

این مدل چه زمانی مناسب‌تر است؟

✅  وقتی بیشتر هزینه‌ی SIEM شما همین حالا هم ingestion-based است و رشد داده قابل پیش‌بینی دارید.

✅  اگر می‌خواهید ساده‌ترین مسیر تجاری/قراردادی با Splunk را طی کنید و یک نرخ حجمی واحد برای ES+UBA داشته باشید.

ب) لایسنس UBA به‌صورت Standalone بر اساس Per Monitored Account

در این مدل، UBA  به‌طور مستقل خریداری می‌شود و هزینه آن بر پایه‌ی تعداد حساب‌های تحت نظارت (Monitored Accounts)  محاسبه می‌گردد. پس از تهیه لایسنس، می‌توانید آن را به‌سادگی با Splunk ES  یکپارچه کنید.

این نوع لایسنس برای سازمان‌هایی مناسب است که ترجیح می‌دهند هزینه‌ها را مستقیماً به تعداد کاربران و هویت‌ها مرتبط کنند، نه به حجم داده‌ها یا لاگ‌ها. به‌ویژه در محیط‌هایی که حجم داده بالاست ولی تعداد حساب‌های کاربری محدودتر است، مدل Per Monitored Account  می‌تواند انتخابی به‌صرفه و اقتصادی باشد.

برای چه زمانی مناسب‌تر است؟

✅  وقتی حجم داده بالاست اما تعداد کاربران/هویت‌های مورد نیاز برای تحلیل محدود است.

✅  وقتی می‌خواهید هزینه UBA را قابل پیش‌بینی بر حسب رشد کارکنان/حساب‌ها مدیریت کنید.

 حتما بخوانید:  اسپلانک چیست؟ | چرا Splunk بهترین انتخاب برای تحلیل داده‌ها و امنیت سازمانی است؟

نکته مهم درباره مدل Workload Pricing

برخلاف Splunk ES  که امکان لایسنس‌دهی بر اساس Workload (SVC) یا Ingestion (GB/day) را دارد، در حال حاضر Splunk UBA  فقط از دو مدل معرفی‌شده (Add-On بر پایه داده یا Standalone بر اساس حساب‌های تحت نظارت) پشتیبانی می‌کند. به بیان ساده‌تر، Workload Pricing برای UBA قابل استفاده نیست و سازمان‌ها باید میان همین دو گزینه یکی را انتخاب نمایند.

2. ریزه‌کاری‌های مهم لایسنس در سناریوی ES+UBA

✅  تخفیف بسته امنیتی: اگر ES دارید، معمولاً برای خرید UBA تخفیف مجموعه امنیتی اعمال می‌شود. این به‌خصوص برای سازمان‌هایی که SOAR را هم در سبد دارند قابل توجه است.

✅  لایسنس زمانی (Term) : UBA مثل ES به‌صورت Term License (سالانه/چند‌ساله) ارائه می‌شود و محتوای به‌روزرسانی قوانین/مدل‌ها (Content Subscription) در قیمت لایسنس سالانه لحاظ شده است.

✅  مجوز رایگان برای ارسال لاگ‌های خودِ UBA به Splunk : برای پایش و مانیتورینگ UBA در Splunk، یک لایسنس جدید ارائه شده که تا سقف ۱۵۰GB/day، ingestion لاگ‌های UBA را رایگان می‌کند. این نکته کمک می‌کند بدون نگرانی از هزینه‌ی ایندکس، وضعیت UBA را در Splunk رصد کنید.

3. یکپارچه‌سازی UBA و ESو تاثیر روی برنامه لایسنس

اتصال ES و UBA با Splunk Add-on for Splunk UBA  انجام می‌شود. این افزونه مسیر ارسال رویدادها/ریسک‌ها/آرتیفکت‌ها بین ES و UBA را استاندارد می‌کند و در عمل همان جایی است که باید مطمئن شوید شاخص‌های مصرف لایسنس (چه GB/day و چه Account-based) با جریان داده‌تان هم‌راستا هستند.

4. چطور بین دو مدل تصمیم بگیریم؟ (راهنمای سریع)

اگر ES شما ingestion-based است و وزن اصلی هزینه‌ها روی GB/day است:

✅  به‌طور پیش‌فرض UBA Add-On بر مبنای Ingestion را بردارید تا یک قبض حجمی یکپارچه داشته باشید.

✅  مطمئن شوید ظرفیت روزانه‌تان با رشد لاگ‌ها (مثلاً اضافه‌شدن EDR/Proxy/AD/Azure AD) هم‌خوان است.

اگر تعداد کاربران محدود ولی حجم لاگ بالاست (مثلاً محیط‌های OT یا دیتاسنترهای پر لاگ):

✅  Standalone Per Monitored Account احتمالاً به‌صرفه‌تر می‌شود، چون هزینه را به جمعیت هویت‌ها گره می‌زند، نه به موج داده.

در همه حالت‌ها:

✅  هزینه مانیتورینگ خودِ UBA را از ذهن‌تان حذف کنید؛ چون تا ۱۵۰GB/day برای لاگ‌های UBA رایگان است.

✅  مسیر فنی یکپارچه‌سازی را از قبل بررسی کنید (Add-on و نقش‌ها/دسترسی‌های حساب ES).

خرید لایسنس اسپلانک از ستاره امنیت 

5. چک‌لیست انتخاب و تهیه لایسنس

برای اینکه مطمئن شوید لایسنس UBA متناسب با نیاز سازمان شما انتخاب و پیاده‌سازی می‌شود، مراحل زیر را دنبال کنید:

  1. Baseline مصرف را مشخص کنید
    ابتدا باید بدانید ES  شما روزانه چه میزان داده (GB/day) پردازش می‌کند. همچنین منابع لاگی که قرار است به UBA  وارد شوند را فهرست کنید: مثل Active Directory، VPN، EDR، Proxy، DNS  و سرویس‌های SaaS . این کار دید دقیقی به شما می‌دهد که آیا مدل حجمی (Ingestion) به‌صرفه است یا مدل مبتنی بر حساب‌های کاربری.
  2. مدل قیمت‌دهی مناسب را انتخاب کنید
    بر اساس الگوی رشد سازمان، یکی از دو گزینه را انتخاب کنید:

    • Ingestion Add-On (GB/day) : مناسب برای محیط‌هایی که مصرف داده رشد تدریجی و قابل‌پیش‌بینی دارد.
    • Per Monitored Account : ایده‌آل برای سازمان‌هایی با داده زیاد ولی تعداد کاربران محدود.
  3. از تخفیف بسته امنیتی استفاده کنید
    اگر علاوه بر ES از محصولات دیگر Splunk مانند SOAR هم استفاده می‌کنید، حتماً از فروشنده بخواهید تخفیف‌های Security Suite  را اعمال کند. این موضوع می‌تواند هزینه کلی لایسنس را به شکل چشمگیری کاهش دهد.
  4. برنامه استقرار و یکپارچه‌سازی را بررسی کنید
    قبل از خرید، مطمئن شوید که امکان پیاده‌سازی فنی و Integration بین ES و UBA را دارید. استفاده از Splunk Add-on for UBA  ضروری است تا تبادل رویدادها، آرتیفکت‌ها و شاخص‌های ریسک به‌صورت استاندارد انجام شود.
  5. فعال‌سازی لایسنس در داشبورد UBA
    پس از خرید، فایل لایسنس را دریافت کرده و از طریق مسیر Manage > License در Splunk UBA بارگذاری کنید. این مرحله ساده است اما باید مطمئن شوید تاریخ انقضا، ظرفیت و متریک لایسنس با قرارداد خرید شما مطابقت دارد.

گزارش‌های UBA

یکی از مهم‌ترین مزایای استفاده از UBA در کنار Splunk ES این است که صرفاً به لایسنس محدود نمی‌شود، بلکه خروجی آن مجموعه‌ای از گزارش‌ها و تحلیل‌های رفتاری است که به تیم‌های امنیتی کمک می‌کند تهدیدات داخلی، حملات پیچیده و رفتارهای مشکوک کاربران را سریع‌تر شناسایی کنند. در ادامه چند نمونه از گزارش‌ها و تحلیل‌های کلیدی که از طریق UBA در دسترس قرار می‌گیرد را مرور می‌کنیم.

نمونه گزارش‌ها و تحلیل‌های کلیدی در UBA

1 . گزارش Anomalous User Behavior

UBA  الگوهای رفتاری عادی کاربران را یاد می‌گیرد و هرگونه انحراف از این الگوها را پررنگ می‌کند. برای مثال:

✅  ورود کاربر از کشور یا IP ناشناخته

✅  دسترسی به سیستم‌ها در ساعات غیرکاری (مثل نیمه‌شب)

✅  تلاش‌های مکرر برای ورود به حساب کاربری (Login Failure)

🔑 کاربرد: این گزارش به تیم امنیت کمک می‌کند رفتارهای مشکوک اولیه را قبل از تبدیل‌شدن به حمله جدی شناسایی کند.

2 . گزارش Privileged Account Misuse

حساب‌های دارای دسترسی بالا (ادمین‌ها، حساب‌های سرویس) یکی از اهداف اصلی مهاجمان هستند.  UBA  این حساب‌ها را تحت نظر می‌گیرد و هر فعالیت غیرمعمول را گزارش می‌کند، مثل:

✅  اجرای دستورات حساس در زمان غیرمنتظره

✅  دسترسی به دیتابیس‌ها یا فایل‌هایی که معمولاً توسط آن ادمین استفاده نمی‌شن

✅  تغییر ناگهانی در پالیسی‌ها یا گروه‌های کاربری

🔑 کاربرد: این گزارش جلوی سوءاستفاده داخلی یا دسترسی غیرمجاز به منابع حیاتی را می‌گیرد.

3 . گزارش Data Exfiltration Attempts

UBA  می‌تواند حجم و الگوی انتقال داده‌ها را تحلیل کرده و خروج غیرعادی اطلاعات را پرچم‌گذاری کند. مثال‌ها:

✅  دانلود ناگهانی حجم بالایی از فایل‌ها از SharePoint یا File Server

✅  آپلود غیرمعمول داده‌ها به سرویس‌های ابری یا FTP

✅  ارسال تعداد زیاد ایمیل با پیوست‌های حساس

🔑 کاربرد: جلوگیری از نشت اطلاعات سازمانی (Data Breach) چه توسط کارمند ناراضی و چه در نتیجه حمله سایبری.

4 . گزارش Peer Group Analysis

UBA  رفتار یک کاربر را با همتایانش (کاربران مشابه از نظر نقش شغلی یا دپارتمان) مقایسه می‌کند. برای مثال:

✅  کارمندی که به منابعی دسترسی دارد که هیچ‌یک از همکارانش ندارند

✅  تعداد درخواست‌های دیتابیس توسط یک فرد خیلی بیشتر از بقیه‌ی تیم هست

✅  استفاده از ابزار یا پروتکل‌هایی که در نقش شغلی ان فرد رایج نیست

🔑 کاربرد: این گزارش به‌خصوص برای کشف رفتار غیرعادی کارمندان خاص خیلی ارزشمند است.

5 . گزارش Insider Threat Indicators

UBA  داده‌های مختلف مثل AD، VPN، EDR، Proxy و DNS را با هم ترکیب می‌کند تا الگوهای تهدید داخلی را تشخیص بدهد. برای مثال:

✅  کاربری که ابتدا چند بار رمز عبور را اشتباه وارد کرده، بعد از طریق VPN وارد شده و بلافاصله شروع به دانلود حجم زیادی از داده کرده

✅  فردی که حساب کاربری همکارش را استفاده کرده و به سیستم‌های غیرمرتبط دسترسی گرفته

🔑 کاربرد: این گزارش دید ۳۶۰ درجه‌ای از فعالیت‌های مشکوک می‌دهد و یکی از ابزارهای کلیدی در کشف تهدیدات داخلی محسوب میشود.

6. سوالات متداول

✅ UBA  بدون ES هم قابل خرید است؟
بله. می‌توانید UBA را مستقل و بر اساس Per Monitored Account تهیه کنید و سپس به Splunk (و در صورت وجود ES) متصل کنید.

✅ آیا UBA هم مثل ES می‌تواند Workload-based باشد؟
خیر. طبق FAQ رسمی Splunk، Workload Pricing فعلاً برای UBA اعمال نمی‌شود.

✅ حداقل پلن UBA در مدل ingestion-based چقدر است؟
از ۱۰۰ GB/day شروع می‌شود.

✅ برای مانیتورینگ خود UBA در Splunk باید هزینه ایندکس بدهیم؟
تا ۱۵۰GB/day لاگ‌های UBA با لایسنس جدید به‌صورت رایگان قابل ایندکس در Splunk هستند.

جمع‌بندی

برای سازمانی که ES دارد، دو مسیر اصلی برای UBA وجود دارد:

✅  Add-On بر مبنای Ingestion (GB/day)  –  ساده و یکپارچه با الگوی هزینه فعلی ES .

✅  Standalone بر مبنای Per Monitored Account  –  مناسب وقتی رشد داده از رشد کاربران سریع‌تر است.
با درنظرگرفتن تخفیف‌های بسته امنیتی و رایگان‌بودن ingestion لاگ‌های خودِ UBA تا ۱۵۰GB/day، می‌توانید انتخابی اقتصادی و فنی متناسب با مقیاس سازمان انجام دهید.

editor

نظر دهید

آخرین دیدگاه‌ها

دیدگاهی برای نمایش وجود ندارد.

Social

نوشته های مرتبط
آشنایی با Sangfor Access Secure یک راه حل SASE
امنیت شبکه, بلاگ نوشته شده در 11 ماه پیش
آشنایی با Sangfor Access Secure | راهکار SASE برای امنیت و اتصال بی‌وقفه در سازمان‌ها

یک فنجان قهوه در کافه‌ای دور از دفتر کارتان می ..

0 1532
Sangfor IAG | راهکاری نوین برای مدیریت و ایمن‌سازی دسترسی به اینترنت
امنیت شبکه, بلاگ نوشته شده در 11 ماه پیش
Sangfor IAG | راهکار جامع مدیریت و امنیت شبکه سازمانی

0 1844
امنیت شبکه, بلاگ نوشته شده در 2 سال پیش
بهترین روش برای hardening ویندوز

0 5060