網(wǎng)絡(luò)安全問(wèn)題突出？Splunk安全解決方案輕松干掉威脅！

Splunk公司宣布在安全產(chǎn)品組合中取得創(chuàng)新，幫助安全團(tuán)隊(duì)能夠更快、更輕松地檢測(cè)、調(diào)查和處理所有威脅，從而保護(hù)整個(gè)企業(yè)運(yùn)營(yíng)。采用安全自動(dòng)化、編排與響應(yīng)(SOAR)，用例庫(kù)(Use Case Library)和事件排序(Event Sequencing)等新功能，Splunk安全解決方案讓企業(yè)使用更全面的方法，實(shí)現(xiàn)從檢測(cè)到自動(dòng)化機(jī)器速度響應(yīng)的安全運(yùn)營(yíng)模式。

Splunk高級(jí)副總裁兼全球安全事業(yè)部總經(jīng)理宋海燕認(rèn)為： “隨著安全威脅的速度和復(fù)雜性不斷增加，客戶更迫切地需要對(duì)數(shù)據(jù)采取行動(dòng)，以機(jī)器速度來(lái)快速響應(yīng)漏洞。新一代Splunk安全產(chǎn)品組合提供了一個(gè)安全操作平臺(tái)，實(shí)現(xiàn)了Splunk的安全神經(jīng)中心的一系列愿景。Splunk Enterprise Security (Splunk ES) 、Splunk User Behavior Analytics (Splunk UBA) 和Splunk Phantom的新產(chǎn)品組合，能幫助客戶比以往更有效地保護(hù)其業(yè)務(wù)運(yùn)營(yíng)。”

隨著數(shù)字化經(jīng)濟(jì)的興起，造就了海量與安全相關(guān)的數(shù)據(jù)。同時(shí)，越來(lái)越多的網(wǎng)絡(luò)罪犯正在進(jìn)行愈加復(fù)雜的自動(dòng)化攻擊，導(dǎo)致安全操作中心(SOC)面臨嚴(yán)峻的挑戰(zhàn)，即難以跟上存在于內(nèi)部和云中的新攻擊。然而Splunk的安全解決方案，能夠讓客戶不僅查看到單個(gè)事件，還可看到完整的威脅。

Splunk ES、Splunk UBA和Splunk Phantom

在.conf18大會(huì)上，Splunk發(fā)布的安全解決方案擴(kuò)展套件可幫助安全分析師，通過(guò)Splunk業(yè)界領(lǐng)先的安全信息和事件管理(SIEM)平臺(tái)，來(lái)監(jiān)測(cè)、可視化、檢測(cè)、調(diào)查及處理來(lái)自內(nèi)部及外部的威脅。尤其是在Splunk收購(gòu)了Phantom之后，客戶現(xiàn)在可以通過(guò)Phantom的安全SOAR技術(shù)對(duì)其數(shù)據(jù)采取措施。

此外，Splunk亦針對(duì)SIEM平臺(tái)推出了一系列新的功能，包括新的事件排序，可分組關(guān)聯(lián)搜索和風(fēng)險(xiǎn)修改器，以便優(yōu)化威脅檢測(cè)并加快調(diào)查;新的用例庫(kù)，為Splunk ES客戶提供可隨時(shí)可用、以搜索為導(dǎo)向、可操作、與安全操作相關(guān)的安全內(nèi)容。Splunk ES用例庫(kù)讓客戶能夠自動(dòng)發(fā)現(xiàn)新的用例，例如：對(duì)抗策略、云安全、濫用或勒索軟件，以確定如何在自己的環(huán)境中對(duì)威脅采取行動(dòng)。

埃森哲安全公司總經(jīng)理Robert Boyce表示：“不間斷的內(nèi)部威脅和外部網(wǎng)絡(luò)攻擊，對(duì)企業(yè)和消費(fèi)者造成極大的影響。為了構(gòu)建彈性，企業(yè)需要一個(gè)以分析為導(dǎo)向的安全平臺(tái)，把安全信息和事件管理(SIEM)與用戶行為分析(UBA)功能整合到一起。由于企業(yè)正在加速數(shù)字化轉(zhuǎn)型，客戶需要在整個(gè)價(jià)值鏈中查看威脅，以便在合適的時(shí)間專注于應(yīng)對(duì)威脅。埃森哲通過(guò)提供深入的行業(yè)特定解決方案幫助客戶提高網(wǎng)絡(luò)彈性，使用了Splunk ES中的Splunk用例庫(kù)和Splunk UBA中的高級(jí)異常評(píng)分。”

Hurricane Labs托管安全服務(wù)總監(jiān)Steve McMaster談到： “當(dāng)今企業(yè)想在網(wǎng)絡(luò)威脅中保持安全狀態(tài)，那么數(shù)據(jù)分析就是安全戰(zhàn)略的核心。Splunk ES的事件排序和用例庫(kù)等新功能將為SOC提供直接價(jià)值，幫助更快查找并應(yīng)對(duì)威脅。我們非常期待通過(guò)擴(kuò)展的Splunk產(chǎn)品，并幫助客戶繼續(xù)采用分析驅(qū)動(dòng)型的安全方法。”

Splunk Phantom的SOAR技術(shù)讓客戶更智能地工作，獲得更快地響應(yīng)，幫助SOCs協(xié)調(diào)任務(wù)并自動(dòng)化復(fù)雜的工作流程。憑借Splunk Phantom 4.0，客戶可以訪問(wèn)新的功能，有可幫助客戶擴(kuò)展其運(yùn)營(yíng)的群集支持;為分析師提供一種以威脅情報(bào)為中心的執(zhí)行調(diào)查，及改進(jìn)啟用的新指標(biāo)視圖，能通過(guò)Splunk Phantom在部署后的幾分鐘內(nèi)采取行動(dòng)。

Nutanix公司網(wǎng)絡(luò)安全高級(jí)總監(jiān)Sebastian Goodwin說(shuō)：“數(shù)據(jù)是每個(gè)安全團(tuán)隊(duì)的數(shù)字黃金。如果想要憑借分析驅(qū)動(dòng)的安全方案來(lái)獲得領(lǐng)先優(yōu)勢(shì)，就必須對(duì)獲得的數(shù)據(jù)采取行動(dòng)。Splunk Phantom是Nutanix 的SOC的重要組件，幫助我們?cè)谟行枰獣r(shí)自動(dòng)處理和響應(yīng)安全威脅。 Splunk Phantom的集群支持等新功能，將幫助我們不斷擴(kuò)展SOC并響應(yīng)威脅，尤其面對(duì)當(dāng)前瞬息萬(wàn)變的網(wǎng)絡(luò)威脅時(shí)，這是必不可少的。”

在近一半的安全漏洞中，內(nèi)部人員或犯罪攻擊都是數(shù)據(jù)泄露的主要原因[1]。Splunk UBA 4.2進(jìn)一步擴(kuò)展了Splunk ES的功能，幫助分析師利用機(jī)器學(xué)習(xí)來(lái)發(fā)現(xiàn)內(nèi)部、外部威脅以及異常的用戶行為。Splunk UBA 4.2的新功能有用戶反饋學(xué)習(xí)，增強(qiáng)了Splunk UBA異常模型評(píng)分，提高威脅檢測(cè)的嚴(yán)重程度和可信度;把數(shù)據(jù)攝取性能提高了2倍，從而提高了數(shù)據(jù)質(zhì)量。此外，還提供新的單點(diǎn)登錄身份驗(yàn)證支持，幫助SOC團(tuán)隊(duì)在其安全神經(jīng)中心維護(hù)合規(guī)訪問(wèn)控制。

全新的Splunk Adaptive Operations Framework

同時(shí)，Splunk還宣布推出Splunk Adaptive Operations Framework (Splunk AOF)。Splunk AOF是基于Splunk Adaptive Response Initiative演變而來(lái)，通過(guò)Splunk Phantom靈活的API驅(qū)動(dòng)型框架而得到強(qiáng)化，是業(yè)界最大的創(chuàng)新安全提供商社區(qū)，致力于改進(jìn)網(wǎng)絡(luò)防御和安全運(yùn)營(yíng)。通過(guò)Splunk AOF，企業(yè)可以充分利用Splunk與240多種安全技術(shù)，獲取任何來(lái)源的結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)，推動(dòng)分析支持的協(xié)調(diào)決策，并在SOC的各種技術(shù)中采取行動(dòng)。