Zapraszamy na konferencję InfraSEC 2025 – weź udział w najbardziej praktycznym spotkaniu menedżerów cyberbezpieczeństwa OT na polskim rynku! Zobacz więcej >>
Platforma Splunk Enterprise (lub Splunk Cloud) realizuje wszystkie niezbędne funkcje SIEM takie jak gromadzenie informacji, indeksowanie, wyszukiwanie i raportowanie. Pozwala zarówno na prowadzenie kompleksowych analiz, jak i badanie związku między pojedynczymi, pozornie nic nieznaczącymi zdarzeniami. Dodatkowy moduł Enterprise Security (ES), posiada wbudowane i gotowe do użycia pulpity nawigacyjne, schematy wyszukiwań oraz korelacji, a także predefiniowane raporty. Aplikacja może pracować zarówno w sieci lokalnej, środowisku wielochmurowym jak i w modelu SaaS z wykorzystaniem chmury Splunk Cloud. Bez względu na model wdrożenia Splunk Enterprise Security zapewnia kompleksowy i spójny obraz monitorowanego środowiska dostarczając dane zarówno na potrzeby działów bezpieczeństwa, jak i kierownictwa firmy.
Wybrane obszary zastosowania Splunk Enterprise Security:
Analiza zagrożeń
Splunk ES prezentuje szereg wskaźników pozwalających określić stan bezpieczeństwa całego środowiska z uwzględnieniem informacji o taktykach i technikach wykorzystywanych przez intruzów. Predefiniowane dashboardy ułatwiają analizę kontekstu zagrożenia, znaczenie atakowanego zasobu dla organizacji, a także rolę, odpowiedzialność i status zatrudnienia użytkownika danego zasobu. Ten dodatkowy kontekst związany z użytkownikiem jest często niezwykle ważny, zwłaszcza na etapie analizy ryzyka i oceny potencjalnych skutków incydentu.
Reagowanie na incydenty
Wbudowane workflowy ułatwiają zarządzanie procesem identyfikacji i obsługi incydentów, w tym przekazaniem odpowiednich informacji na potrzeby dalszej analizy lub informatyki śledczej. Funkcja Adaptive Response pozwala skonfigurować oraz automatycznie wywołać określone działania umożliwiając natychmiastową reakcję na cyberatak i przerwanie go bez ingerencji człowieka (np. zablokować ruch ze stacji roboczej, na której zostało wykryte szkodliwe oprogramowanie).
Monitorowanie aktywności użytkowników
Splunk ES wykorzystuje w analizach zarówno dane o tożsamości użytkowników, jak i informacje pochodzące z procesu uwierzytelniania. Dzięki analizom kontekstowym ostrzega o podejrzanych zachowaniach i naruszeniach reguł korporacyjnych, norm i przepisów prawa. Monitoring obejmuje także użytkowników uprzywilejowanych, którzy najczęściej stają się celami ataków, a ich kompromitacja może oznaczać największe szkody.
Najważniejsze funkcje rozwiązania Splunk ES
Zbieranie danych z logów
Splunk gromadzi i analizuje wszystkie zapisy zdarzeń prezentując kompleksowy stan zabezpieczeń w czasie rzeczywistym. Pozwala to zespołom zajmującym się IT i bezpieczeństwem zarządzać logami z jednej centralnej lokalizacji, korelować dane (w tym dane historyczne) z wielu urządzeń oraz wykorzystać do analizy dane z innych źródeł (takich jak zmiany rejestru i logi ISA Proxy).
Stosowanie reguł korelacji w czasie rzeczywistym
Analiza sekwencji zdarzeń ułatwia zbadanie wielu zdarzeń związanych z bezpieczeństwem i zawężenie działań do obszarów tych, które faktycznie mają znaczenie dla funkcjonowania organizacji.
Analiza predykcyjna
Wykorzystanie technik uczenia maszynowego umożliwia wykrycie wzorców na podstawie danych historycznych oraz wykorzystania ich na potrzeby przewidywania i identyfikacji potencjalnych zagrożeń.
Przechowywanie danych historycznych
Splunk przechowuje dane historyczne danych z logów przez długi okres. Pomaga spełnić wymagania dotyczące zgodności z przepisami powszechnie obowiązującego prawa. Dostęp do historycznych danych maszynowych umożliwia analitykom przeprowadzanie analiz bezpieczeństwa związanych z przeszłymi przestępstwami, na przykład w celu śledzenia trasy ataku.
Wyszukiwanie i raportowanie ustrukturyzowanych danych
Splunk ES umożliwia stworzenie dowolnych modeli danych. Wyniki analiz i wyszukiwań mogą być następnie zapisane w formie raportów i tabeli przestawnych, wykorzystywane do konfigurowania alertów oraz prezentowane na pulpitach nawigacyjnych.
Wyszukiwanie i raportowanie nieustrukturyzowanych danych
Splunk ES może zostać zasilony danymi surowymi niemal z każdego źródła. Dane te można wykorzystać w analizach i raportach dystrybuowanych bezpośrednio z platformy SIEM do odpowiednich osób.
Przetwarzanie danych kontekstowych
Analizy uwzględniające kontekst ograniczają liczbę fałszywych alarmów i ułatwiają priorytetyzację. Splunk ES jest w stanie dodać kontekst do analizy zagrożeń zewnętrznych, wewnętrznych operacji IT i wzorców zdarzeń
Ta strona wykorzystuje pliki cookies w celu gromadzenia danych statystycznych. Ustawienia cookies można zmienić w przeglądarce internetowej. Korzystanie z tej strony internetowej bez zmiany ustawień cookies oznacza, że będą one zapisane w pamięci urządzenia. Więcej informacji >>
