segunda-feira, 15 de janeiro de 2018

Splunk Core Differentiators


Splunk Core Differentiators:


Real Time Architecture:
    • Coleção, pesquisa, monitoramento e análise em tempo real em fluxos maciços de dados de máquinas em uma única solução
    • Por que isso importa:
      • Qualquer dado, qualquer origem
      • Análise de todos os tempos em tempo real
      • Resultados rápidos e interatividade
    • Métricas chaves:
      • Tempo para analizar
      • Tempo para validar
      • Menor MTTR
Universal Machine Data Platform:
    • Plataforma aberta e extensível que oferece gerenciamento, análise e coleta integrados de fim a fim.
    • Por que isso importa:
      • Universal (end-to-end)
      • Integra todos os dados
      • Suporta inlimitado volume de dados, usuários e cargas de trabalho AD-HOC
      • Developer-friendly
      • Seguro
      • Flexível e reduz a complexidade
    • Métricas chaves:
      • Tempo para resposta
      • Tempo para valor
      • Operação simplificada
Scheme on the fly:
      • O esquema de tempo de pesquisa oferece flexibilidade para interagir com os dados e alterar a perspectiva em tempo de pesquisa
      • Por que isso importa:
        • Análise rápida
        • tempo de valor
        • Flexibilidade
        • Suporta o uso através do IT e do negócio
        • Simplicidade
      • Métricas chaves:
        • Tempo para o valor
        • Salvando custos, implementação & manutenção
        • Tempo para a resposta
        • Simplicidade de operação
    Agile Reporting & analytics:
        • Pesquisa interativa e geração de relatórios, permitindo uma análise rápida e interativa e visualização de dados
        • Por que isso importa:
          • Idioma de processamento de pesquisa
          • Dados estruturados e não estruturados
          • Inteligência operacional em tempo real
          • Análise rápida e detalhamento
          • Capacita os usuários
          • segurança
        • Métricas chaves:
          • Tempo para valor
          • Visibilidade e percepção
          • Redução de interrupções e inatividade
          • Tempo de resolução de problemas por transação
          • Tempo médio para investigar / reparar (MTTI / RI)
          • Identificação do caso raiz
          • Implementação / custos de manutenção
      Scales from Desktop to Eterprise:
          • Mecanismo de dados flexível que escala para indexar terabytes de dados por dia e permite que milhares de usuários procurem petabytes de dados
          • Por que isso importa:
            • Processamento distribuído
            • Laptop para data centers
            • TTV rápido
            • Analisar grandes data centers
            • Escala além do tradicional bi e SIEM
          • Métricas chaves:
            • Tempo par ao valor
            • Custo total de propriedade
            • Aumenta a visibilidade
        Fast time to value:
            • Splunk é uma solução totalmente integrada, fácil de instalar, operar e dimensionar
            • Por que isso importa:
              • Solução totalmente integrada
              • Nenhuma avaliação de risco
              • Melhor suporte para o negócio
              • Fácil de usar
              • Escalas com o negócio
            • Métricas chaves:
              • ROI positivo
              • Poucas semanas ou meses
              • Às vezes enquanto ainda na fase de teste ou avaliação
          Passionate & Vibrant Community:
              • As comunidades on-line Splunk incluem Splunk Base, Splunk Answers e Splunk Dev. Comunidades ativas, incluindo Facebook a e Linkedin; Eventos de clientes regionais, reuniões de grupos de usuários e uma conferência anual de usuários.
              • Por que isso importa:
                • Promove a colaboração
                • Aumenta o valor adicional
                • Comunidade em ação
            Postado por às Nenhum comentário:

            sexta-feira, 12 de janeiro de 2018

            Produtos Splunk

            Produtos Splunk:
            • Splunk > Enterprise: Serve como uma solução on-premise
            • Splunk > Cloud: Todos os recursos do Enterprise oferecido como serviço, roda no Amazon Web Service
            • Splunk > Light: Oferece uma versão "light" para pequenos ambientes de TI ( limitado a 5 usúarios - limitado a 20 Gb por dia, roda em um único server)
            Tipos de licença:
            • Licença Perpétua:
            • Licença Anual
            Soluções Premium:
            • Splunk Enterprise Security: Recursos de segurança como: Automated Correlation Searches, Statical Analysis
            • Splunk IT Service Inteligence: Data driven service insights para causa raiz de isolação e melhorar a operação dos serviços
            • Splunk User Behaviour Analytics (UBA): Detect cyber-attaks and insider threats using data science, machine learning, behavior baseline, peer group analytics and advanced correlation.
            APPS de Destaque da Splunk:
            • splunk App for VMware: Ganha visibilidade com métricas de performance granular, logs, tarefas e eventos e topologia dos hosts, VM e virtual centers.
              •  Volume: 0 - 5 GB > 5 - 20 GB > 20 - 100 GB
            • splunk App for PCI: Recursos de PCI como high-level scorecards, out-of-the-box content for monitoring PCI DSS posture
              • Vendido por GB indexed in 24 hour period
            • splunk App for Microsoft Exchange: Produto Complementar - Os clientes devem ter pelo menos Core Splunk suficiente para entradas das mensagens e logs
              • Volume:Per Brnading Pricing
            • splunk Anatytics for Hadoop: Explore, analise e visualize os dados no Hadoop via splunk enterprise UI sem construir esquemas de correção fixos ou movendo dados para armazenamento de memória separado.

            Postado por às Nenhum comentário:

            O que é correlacionamento de Logs/Eventos?

            Novos tempos na área de TI:

            As empresas e negócios atualmente requerem e precisam de soluções de segurança de dados que possam ser monitorados e que possam investigar ameaças, ataques avançados e permitir uma rápida resposta a incidentes. Com isso o monitoramento simples de eventos de segurança tradicionais já não é mais suficiente. 

            Os profissionais de TI e de negócios podem analisar dados de máquinas para obter visibilidade em tempo real e inteligência operacional e precisam de uma visão mais ampla de novas fontes de dados e de todos os dados relevantes de segurança gerados em escala maciça em TI, negócios e na nuvem.

            Manter-se à frente de ataques externos, ameaças e malware exigem atividade contínua de ameaças e monitoramento de segurança, resposta rápida a incidentes e capacidade de investigar e responder a ameaças conhecidas, desconhecidas e avançadas.

            As soluções de SIEM (Security Information and Event Management) oferecem tudo o que você precisa para mitigar efetivamente o risco, colaborando entre segurança de TI e operações de TI, monitorar sua infra-estrutura e detectar malware de uma maneira fácil de implantar.

            Correlacionamento de eventos:

            O correlacionamento de eventos/logs, também conhecido pelas siglas SIEM (Security Information and Event Management), é um conjunto de ferramentas e procedimentos que possuem a finalidade de coletar, armazenar, processar, monitorar e correlacionar logs de outros sistemas de informação. 
            O SIEM permite que os eventos gerados por diversas aplicações de segurança (tais como firewalls, proxies, sistemas de prevenção a intrusão (IPS) e antivírus sejam coletados, normalizados, armazenados e correlacionados; o que possibilita uma rápida identificação e resposta aos incidentes.
            Características:
            • Acesso em tempo real, centralizado e consistente a todos os logs e eventos de segurança, independentemente do tipo de tecnologia e fabricante;
            • Correlação de logs de tecnologias heterôgeneas, conectando atributos comuns e/ou significativos entre as fontes, de modo a transformar os dados em informação útil;
            • Identificação de comportamentos, incidentes, fraudes e anomalia; Emissão de relatórios sofisticados sobre as condições de segurança do ambiente para equipes de SOC (security operations center) auditoria ou resposta a incidentes;
            Dados de Maquina:

            Todos os servidores web, aplicativos, dispositivos de rede, dispositivos móveis, sensores - toda a infraestrutura tecnológica que é executada na sua empresa - gera enormes fluxos de dados, em uma variedade de formatos imprevisíveis que são difíceis de processar e analisar por métodos tradicionais ou em tempo hábil.

            Por que esses "dados de máquina" são valiosos? 

            Porque contém um rastreamento - um registro categórico - do comportamento do usuário, riscos de cyber-segurança, comportamento do aplicativo, níveis de serviço, atividade fraudulenta e experiência do cliente.

            Postado por às Nenhum comentário:

            O que é Splunk?

            O que é Splunk?

            O Splunk é uma plataforma de software para pesquisar, analisar e visualizar os dados gerados por máquina coletados dos sites, aplicativos, sensores, dispositivos, etc., que compõem sua infraestrutura de TI e negócios.

            Se você tem uma máquina que está gerando dados continuamente e quer analisar o estado da máquina em tempo real, então, como você vai fazer isso? Você pode fazê-lo com a ajuda de Splunk? 

            Se você já pensa que o Splunk é uma ótima ferramenta, então, ouça-me quando eu digo que esta é apenas a ponta do iceberg. Você pode ter a certeza de que o restante desta postagem no blog irá mantê-lo colado no seu lugar se você tiver a intenção de oferecer ao seu negócio a melhor solução, seja para o monitoramento do sistema ou para análise de dados.

            Os outros benefícios com a implementação do Splunk são:
            • Os dados de entrada podem estar em qualquer formato para e. .csv ou json ou outros formatos
            • Você pode configurar o Splunk para notificar Alertas / Eventos no início de um estado da máquina
            • Você pode prever com precisão os recursos necessários para expandir a infra-estrutura
            • Você pode criar objetos de conhecimento para Inteligência Operacional
            Para aqueles que não sabem o que é um objeto de conhecimento, é uma entidade definida pelo usuário usando o qual você pode enriquecer seus dados existentes extraindo algumas informações valiosas. Esses objetos de conhecimento podem ser pesquisas salvas, tipos de eventos, pesquisas, relatórios, alertas ou muito mais, o que ajuda na configuração de inteligência em seus sistemas.

            Como Splunk pode ajudar?

            No nível mais simples, o Splunk oferece uma única interface para pesquisar, denunciar e alertar sobre todos os seus dados de TI, em toda a sua infraestrutura de TI. 

            O Splunk pode ser aplicado a qualquer dado não estruturado, e as pessoas o usam para coisas tão diversas como análises na web, registros de chamadas de telecomunicações e dados de terremotos. Ao invés, você pode reunir resultados de pesquisa em conceitos maiores e mais familiares, como "endereços IP" ou "transações com falhas".

            Vantagens de usar splunk:
            • Splunk automaticamente coleta os dados em tempo real de múltiplos sistemas
            • Splunk pode aceitar qualquer tipo de dados
            • Splunk pode criar notificações de eventos e alertas
            • Splunk satisfaz as necessidades da indústria com escalabilidade horizontal, usando muitos sistemas em paralelo
            • Splunk pode criar objetos conhecidos para inteligência operacional
            Exemplo de utilização:

            Para dar mais clareza sobre como o Splunk funciona, vamos citar um caso de como a Bosch usou o Splunk para análise de dados. Eles coletaram os dados de saúde dos pacientes localizados remotamente usando dispositivos IoT (sensores).

            Splunk processaria esses dados e qualquer atividade anormal seria relatada ao médico e ao paciente através da interface do paciente. Splunk os ajudou a alcançar o seguinte:

            • Relatórios de condições de saúde em tempo real
            •  Aprofundar o registro de saúde do paciente e analisar padrões
            • Alarmes / Alertas ao médico e ao paciente quando a saúde do paciente se degrada

            Sobre o Software:

            Você baixa o Splunk, instala em um lugar sensível. As pessoas da sua empresa usam para pesquisar grandes quantidades de dados de TI. Você pode instalá-lo em seu laptop, em um servidor ou em mil servidores. Você usa através do seu navegador, mas os dados nunca são publicados.

            Existe uma licença gratuita. Ela pode ser instalada em 15 minutos.

            Quando você faz o download da Splunk pela primeira vez, você obtém todos os recursos corporativos do Splunk por 60 dias e você pode indexar até 500 megabytes de dados por dia.
            Antes do Splunk:

            Desafios do cliente
            • IT  tem desenvolvido "silos" de sistemas
            • Os sistemas de TI de hoje não são dignos de alavancar o escopo completo de dados de máquina
            • O Volume de dados da máquina, fontes e tipos são explodindo
            • 80-90% dos dados de uma organização não são estruturados - os registros não têm padrões
            • Ferramentas de gerenciamento tradicionais dependem de um esquema inicial e construção de análises aduaneiras para conhecer os formatos de fornecedores
            Business/IT consequences
            • Perda de tempo investigando questões
            • Interrupções potenciais
            • Escaladas desnecessárias
            • Potenciais receitas perdidas
            • Organizações gastando horas sem dinheiro e desperdiçando recursos em múltiplas soluções
            • Os negócios não têm a visibilidade de que precisam no comportamento do cliente; Transações, possíveis ataques ou actividades suspeitas
            Depois do Splunk:

            Visão do futuro:
            • Coletar e indexar quaisquer dados (independentemente do formato ou fonte)
            • Crie facilmente visualizações
            • Atividade de transações de ponta a ponta
            • Pesquise, correlacione, analise, monitore e relate rapidamente e facilmente os dados da máquina em tempo real
            • Permitir acesso a todos para acessar as idéias por si mesmos
            Resultados do negócio:

            • Obter respostas em tempo real para questões de importação
            • Obtenha informações úteis sobre os comportamentos dos clientes
            • Manter níveis de serviço
            • A TI pode fornecer seus KPIs e tomar decisões mais bem informadas que apoiem o negócio
            Conceitos básicos

            Existem alguns conceitos no mundo Splunk que serão úteis para você entender.

            Processamento no momento em que os dados são processados: 

            O Splunk lê os dados de uma fonte, como um arquivo ou porta, em um host (por exemplo, "minha máquina"), classifica essa fonte em um tipo de origem (por exemplo, "syslog", "acesso_combined" , "Apache_error", ...), então extrai timestamps, quebra a fonte em eventos individuais (por exemplo, eventos de log, alertas, ...), que pode ser uma linha única ou várias linhas, e grava cada evento em um índice No disco, para posterior recuperação com uma pesquisa.

            Processamento no momento em que os dados são pesquisados:

            Quando uma busca é iniciada, os eventos indexados correspondentes são recuperados do disco, os campos (por exemplo, código = 404, usuário = david, ...) são extraídos do texto do evento e o evento é classificado Por correspondência contra definições de tipo de evento (por exemplo, 'erro', 'login', ...). Os eventos retornados de uma pesquisa podem ser transformados poderosamente usando o idioma de pesquisa do Splunk para gerar relatórios que vivem em painéis.

            Busca básica

            O Splunk vem com vários aplicativos, mas o único relevante agora é o aplicativo 'Pesquisar', que é a interface para pesquisa genérica. (Mais aplicativos podem ser baixados e os usuários avançados podem criá-los eles mesmos.) Depois de fazer login no Splunk, selecione o aplicativo de pesquisa e vamos começar a pesquisar. Começaremos de forma simples e avançaremos.


            Para começar sua pesquisa Splunk, digite os termos que você pode esperar encontrar em seus dados. Por exemplo, se você quiser encontrar eventos que possam ser erros do HTTP 404 (ou seja, a página da Web não encontrada).


            Postado por às Nenhum comentário:
            Assinar: Comentários (Atom)