Splunk 如何在打击金融犯罪的过程中推动您的数据战略

白皮书Splunk如何驱动吗数据策略的战斗中打击金融犯罪 白皮书介绍在本文中，您将学习如何集成新数据来源，释放其他丢弃数据的价值，并带来前所未有的风险建模功能您的企业金融犯罪工作。仔细观察在特定的数据类型和先进的数据分析技术，我们将概述一个六阶段的框架，您可以实施以加强您的金融犯罪防御。打击金融犯罪是艰难的。构建一个解决方案解决金融犯罪可能要困难得多。秘密在数字时代应对金融犯罪在于数据，因此，开发一个数据框架势在必行这与网络犯罪分子的持久性一样全面。即使你构建一个坚实的框架数据创建新的挑战金融的机会机构大你的数据,你几乎肯定会一路上遇到重大挑战。为一、金融犯罪呈上升趋势，并呈上升趋势复杂性和风格。在经济困难时期，攻击的数量将增加，技术将增加会进化。职业罪犯可以像创新一样创新作为他们所针对的金融公司——诉诸数据分析和机器学习以优化攻击并放大它们的音量。虽然暴力攻击过去的仍然发生，犯罪分子正在增加他们的复杂性，因此公司需要准备好做出回应。金融公司面临许多挑战——数据在理解和有效地使用它— 阻止他们充分发挥其潜力打击金融犯罪。然而，其中许多挑战也为企业提供了利用的机会战略性地数据。这里有一些克服的方法你的一些数据最大的障碍。知道你的数据源也面临着各种各样的金融犯罪团队内部挑战，包括不同员工部门，应用程序和数据孤岛，过时以及传统欺诈工具和系统，以及一系列结构化和非结构化数据类型难以比较和分析。单个团队可以错过分析信息的机会在上下文和经常做决定基于非常稀疏的数据。更重要的是,新产品经常打开新型金融犯罪的大门，使其成为容易去未被发现的威胁。财务领域面临的最重大挑战之一公司正在处理自己的数据。首先，数据以各种格式出现，这造成了复杂性。网络支付不同的消息格式。交易通常是结构化的，通常来自数据库、主机、GL,或从一个入站付款,如迅速的信息。共享观察名单中,洗钱、恐怖融资,或制裁通常来自外部源并且通常作为文本文件提供 — 并且通常在不同的格式。金融犯罪小组必须适应这些威胁。自打击日益复杂和逃避的金融犯罪技术，团队需要协作彼此之间以及与 IT 和安全领域的同行 —同时战略性地使用相关数据来获得更多完整的金融犯罪的风景。来自网络流量、网上银行网站和移动应用程序经常目前最大的挑战。这些日志是冗长的,包含一个重要多余文本的数量 — 称为数字文本排气——通常被认为很少或没有感知价值。更重要的是，他们身体不好结构化，可以变化。（例如，当用户采取通过网站的不同路径。因此，尝试这个数据模型使用数据库技术为结构化数据设计（几乎）是不可能的。因此,许多公司最终丢弃一些因为他们根本没有数据的功能来分析它。Splunk进来。Splunk的能力解析、查询和分析数据允许您处理金融犯罪的各个方面，从事务性的洗钱和欺诈合规报告。一些世界上最大的公司将Splunk用作单一平台 - 帮助他们打破不同团队之间的孤岛内部专家，在他们之间共享数据，然后进行必要的法规遵循报告和调查。Splunk 如何在打击金融犯罪的过程中推动您的数据战略1 白皮书然而，隐藏在这个数字排气中的是小块非常有价值的信息，其中（如果可以的话）发现）可以带来有价值的见解，可能包括：要找到此值，您需要将数据汇集在一起，无论格式如何。Splunk可以提供帮助，与能够从数千个系统摄取日志实时 — 关联隐藏的相关数据点在这些日志中。数据到一切的平台可以在需要时提取这些数据点，并给予它们要分析的结构，并使数据充分操作。您的决策者可以检测、解决并协调成功的金融犯罪辩护。•源IP地址和位置•浏览器版本•设备类型•失败的登录尝试•页面查看•检查账户下图说明了 Splunk 如何提供帮助实施数据。•付款•呼叫中心账户查询频率kpi专栏1:许多潜在数据源的代表性列表，可以参考或挖掘这些数据来源，以提取所需的见解有效侦查和预防金融犯罪。第二列:可能格式为每个潜在的数据源。第三列:说明 Splunk 平台如何从所有数据源中提取所有数据类型，以通知任务关键型打击金融犯罪所需的职能和能力。Splunk 如何在打击金融犯罪的过程中推动您的数据战略2 白皮书关联机数据来源作为一个实际的例子，让我们看一个交易以确定其真实性。可以带来在一起的结构化世界事务— 知道发件人和收件人、值、货币和所涉及的位置。虽然这是有用，但做出一个伟大的决定并不总是足够的。金融犯罪的关键障碍经常打架不是攻击者 - 而是在结构中金融犯罪行动设计。历史公司已将其业务组织成孤岛，这些孤岛解决金融犯罪的不同方面。最公司已经有欺诈检测，洗钱合规系统和检测和制裁流程到位，但这些防御领域是通常是孤立的 - 这在财务上效率低下。它还意味着个人团队错过了有机会在上下文中分析信息其他进程,而决策的基础在有限的数据上。简而言之，经常脱节的团队创建断开连接的数据,导致的错过了机会。想象一下相同的事务，但包括额外的数据点，例如发件人的 IP 地址、地理位置、设备类型、浏览器版本和用户尝试的次数登录他们的帐户。我们现在可以确定帐户持有人在家使用他们的正常帐户之一设备，或在新位置，在新设备上，使用新浏览器，并尝试了几个密码之前成功登录 — 因此更准确确定可疑交易的可能性。或者，金融公司可以实现显着通过汇集他们的数据和资源来创造价值。与安全系统、欺诈和金融输出犯罪系统可以用作输入Splunk平台。通过考虑交易与在顾客和员工的内部数据,它是可能看一个丰富的客户及其交易活动。简而言之，丰富事务数据导致更高的检测率，降低假阳性和更好的结果。更进一步，交易可以参考受制裁国家/地区列表或受制裁国家/地区列表公司。它还可以引用的观察名单中疑似洗钱个人或国家,已知的罪犯或恐怖金融家。如果其中任何一项检查证明积极,一个坏的可能性事务增加。总之，添加这些额外的控件会导致在检测和错误方面有了显着改进正利率，并赋予公司改进的能力他们的合规洗钱、恐怖融资和人口贩运法规。它允许他们建立一个运营中心，在那里他们可以结合使用单一工具和系统集，提高敏捷性的欺诈团队，并减少因欺诈造成的损失。公司可以使用Splunk来管理制裁合规性— 侦查洗钱活动或串通，防止恐怖融资和人口贩运，如以及其他类型的不良行为。因素在人类的元素公司可以从包括获得重大的价值人类行为数据,记录等活动在他们的网站上,移动应用程序,内部业务应用程序或系统访问。这些系统包含可以提供微小的线索对系统或团队进行有意义的见解调查。例如，事务不包括一个人登录失败的次数，但是像这样的事实隐藏在日志文件中网站,可以提供所需的上下文确认可疑交易的可能性。Splunk 如何在打击金融犯罪的过程中推动您的数据战略3 白皮书实现一个框架看看呼叫中心中存在欺诈确保操作数据联络中心往往是金融业的薄弱环节犯罪防御,经常因为工作人员查找关于客户敏感数据的能力在一个特设的基础上。欺诈专家通常需要实时数据和强大的历史数据库提供支持他们的日常活动和校准模型。斯普伦克在工作方面提供灵活的方法使用数据，使用数据来驱动风险指标，以及然后使用风险指标助长金融犯罪模型，可以权衡单个风险因素，或者聚合提要主模型。目前呼叫中心的员工有限的权力。在就业、人和监控,以确保他们的筛选不要看太多物品信息短的时间内。系统提供提示每次他们需要详细的客户信息使呼叫中心代表无法访问客户账户的全部。以下是一个六阶段框架，说明Splunk 引入所有相关数据的独特能力源，自动组织数据并关联跨聚合数据，从而克服访问孤岛问题阻碍了当今的金融犯罪工作。在此基础上，Splunk使更多内容更丰富，更多有意义的基线和风险评分，这反过来又是使风险权重和模型发展为综合金融犯罪设定标准检测能力。然而,尽管这些系统,网络罪犯经常执行成功的攻击,很大程度上是因为金融公司无法查看分析中与所有其他相关信息的上下文客户帐户。相反，查看分析的能力联络中心以及交易历史，网站日志分析可能会提供的足够的金融企业,以防止这些线索许多类型的金融犯罪的发生。例如,一个客户打电话可以使用一个不寻常的移动设备、IP地址或电话从一个建立在另一个城市。及以下正常情况下,呼叫中心代表没有办法知道这个人吗他们谈论一个帐户没有说话验证网站或移动设备,随着语音或挑战的问题。捕获事件阶段1数据捕获捕捉来自多个数据源的数据系统,结构化和非结构化实时和静态。数据摄取和索引数据摄取和索引。的数据所有来源上可用搜索。第二阶段数据摄取和索引第三阶段数据搜索、关联、聚合从多个结构化和数据非结构化资源聚合、关联和搜索。搜索,相关性,聚合然而,Splunk可以在罪犯的一束光照耀邪恶的技术。Splunk使上下文分析,帮助识别和标记可疑离群值,创建警报,然后编排自动调查,因此停止骗子。第四阶段是基线和风险得分基线化和风险评分风险指标监测和基线。应用多种技术。第五阶段风险加权和建模风险权重和建模风险指标加权和聚合各种型号。阶段6模型聚合,校准模型聚合、校准风险模型相结合提供了一个公司宽位置对金融犯罪的风险。Splunk 如何在打击金融犯罪的过程中推动您的数据战略4 白皮书阶段1:监控事件和捕捉数据第三阶段:数据搜索、聚合和相关数据可以采用流上事件的形式，即可以观察到,捕获或改变还在溪流中。然后将这些事件加载到实时挥霍，可供搜索和分析。一旦数据被索引可以提取使用搜索并可包含在一个风险指标。搜索可以运行特设或计划。为了使他们的工作,Splunk搜索数据组织成称为“动态模式。”搜索还可以聚合数据从多个位置，并在数据的变化。能够观察和修改流是可以快速处理数据（之前索引）并修改为仅包含关键数据管道中加载到的组件噗嗤。这种简化消耗的资源更少快处理,索引和搜索。相关性搜索在 Splunk 中经常使用解决方案，在有趣的数据点之间发生在多个,有时,模糊的地方。安全分析师充分利用和欺骗相关搜索。数据还可以采用日志、指标、跟踪、文本文件，或来自数据库、大型机或其他系统，包括现有的欺诈点解决方案。同时处理所有形式的数据的能力，画的见解从每个类型和关联提供了一个强大的商业优势。这些搜索的输出、聚合和相关性都可以满足前面描述的内容风险指标。第二阶段:数据摄入和现场提取Splunk可以摄取所有类型的数据描述在阶段1中。在第二阶段,数据索引，使 Splunk 能够执行字段提取。从本质上讲,字段提取使一块非结构化内容，如要查询的日志文件一旦它落入索引，通常只有几个秒后就创建一个。提取过程经常被埋葬的关键领域和感兴趣的项目深入日志文件，并将它们索引为一系列事件与时间的主键。这允许从日志中提取有意义的信息，无论它采用什么顺序或形式，并且是一个非常强大的功能。阶段4:基线和风险评分风险指示器用于为模型提供指示特定交易或实体如何特定危险因素的评分。美丽这种方法是风险指标可以通过以下方式提供不同的数据源,从任何系统或过程。它们可以独立监控和校准，基于静态或动态阈值,可以。风险指标需要基线，可以是使用各种技术实现。风险评分可针对静态基线计算，统计基线、机器学习，甚至深度学习技术。风险指标可以很简单，也可以像构建配置文件和搜索所需的复杂特别对所有金融犯罪的用例。通过网站可以是不同的——每一个旅程由用户的点击顺序决定——这很少是可预测的。它为欺诈团队提供了对登录（和失败的登录尝试）、IP 的关键见解地址、位置、设备类型、浏览器版本以及其他可用于补充一个结构化的事务。它还可以向事务添加足够的上下文以影响决定是否交易真实或可疑。最终，这意味着使用Splunk的团队将具有显着优势当防御攻击。Splunk容纳多样性的能力风险指标非常灵活，可实现丰富的库可以在各种情况 下。虽然每个风险指标可能只适用对于非常离散或不经常遇到的风险，它们共同有助于整体风险权重。Splunk 如何在打击金融犯罪的过程中推动您的数据战略5 白皮书第五阶段:风险权重和建模总结一旦计算出风险指标，它们需要加权根据他们的相关性其他风险指标。这是定量分析师的工作，但是 Splunk 框架允许它使用一组简单的工具和技术,同时提供连续监测和校准风险权重 — 以便可以调整模型最佳性能。在生产环境中，一个公司将依赖于一个模型或一组设计的模型由自己的分析师团队。风险指标和模型需要不断监控以