Splunk 安全分析的 5 大用例

前5名的用例Splunk的企业安全 不容易发现和应对安全事件迅速。安全分析师可以花分钟(有时小时)警报。现在,乘以数以百计的安全警报他们每天都要处理,他们遗嘱中将i太多和太少的分析师票。开始看到问题?但是，即使一个快乐的分析师听起来不错，快节奏的生活也会很好安全世界并不总是那么容易，安全团队仍然如此必须弄清楚从哪里开始他们的安全之旅。而且，作为我们已经建立了，知道他们组织的任何部分容易受到入侵 - 并且他们必须识别提前出现安全漏洞 — 可能是压倒性的而艰巨的任务,即使是最好的分析师。幸运的是，他们以及世界各地的安全分析师 - 我们已经多年来一直与Splunk客户合作，研究如何应对有了这个问题。我们帮助他们度过了最艰难的时期通过解锁隐藏在里面的答案来提出安全问题他们的数据。我们需要帮助安全团队加快响应速度时间，同时减少他们收到的警报数量。我们可以首先提高对环境的可见性，以便他们可以更快地检测和响应威胁。更好的是，自动化对警报会审的响应可以将几分钟变成几秒钟，小时到分钟,谁不想呢?我们已将这些对话捆绑到此快速指南中高级安全用例以及如何开始。这些是我们经常被问到的安全问题，以及提供内容的最佳实践和有助于的想法安全团队在部署或优化时立即开始运行Splunk企业安全(ES)。这样可以减少恶意软件等难以检测的阴险威胁隐藏和传播的地方，并减少数量它们可能造成的损害 - 意味着安全压力过大分析师变得更快乐。前5名Splunk企业安全的用例|Splunk2 01妥协凭证泄露用户凭证是什么?Splunk如何解决妥协用户凭证吗?泄露的用户凭据是指攻击者获得员工通过久经考验的真实方法（如网络钓鱼攻击或企业电子邮件泄露。一旦坏人（和女孩）进入具有有效用户凭据的环境，他们开始寻找漏洞实现他们的目标（并毁掉安全分析师的一天）。最糟糕的是，由于威胁参与者设法使用有效凭据登录，因此它们会出现成为完全合法的用户 - 这使得这是一个难以检测的威胁。Splunk ES 可以识别用户凭据所在的实例遭到入侵并被授权人员以外的人使用或应用程序。ES 还可以为共享帐户和通用帐户提供覆盖范围用法。利用 Splunk 用户行为分析 （UBA） 的行为建模当用户有异常活动时通知分析师作为正常行为。检测包括识别异常或恶意活动目录 （AD） 活动，例如对自身、已终止用户的操作、禁用帐户和帐户恢复。前5名Splunk企业安全的用例|Splunk3 02特权用户妥协Splunk UBA 使用正常行为的基线帮助对风险的严重程度进行评分。特权用户妥协是什么?Splunk如何解决特权用户妥协?特权用户入侵是指黑客获得对特权的访问权限通过社会工程技术或零日漏洞利用的用户帐户。在这些攻击中，黑客通常针对具有以下特征的高优先级用户对敏感资产的管理访问权限或执行级别权限。这这就是为什么安全分析师必须立即识别何时特权帐户已泄露。实际技术通常涉及黑客绕过传统的安全工具，如防火墙或传统安全信息事件管理 （SIEM） 解决方案 —旨在防御已知威胁。一旦黑客进入，他们开始寻找通过收集其他敏感内容来获得更多访问权限的方法信息,如密码或SSH密钥。Splunk ES 利用基于风险的警报 （RBA） 来检测复杂的威胁：将风险归因于用户和实体，并且仅在行为时触发警报超过阈值并遵守某些MITRE ATT&CK策略。由与 RBA 和 Splunk UBA 一起构建全面的归因集合创建每个帐户行为的基线，可以轻松识别与用户的基线行为相比的不规则性。这通常表示过度使用、罕见访问、潜在破坏或有人试图掩盖他们的踪迹。由于用户行为继续与已知的正常行为不同，UBA的信心增强，增加了风险的可能性和严重性。例子的检测包括使用服务帐户访问 VPN 或交互式登录，数据窥探、删除审核日志和访问机密信息。前5名Splunk企业安全的用例|Splunk4 03帮助识别内部威胁的 Splunk 仪表板示例。内部威胁一个内幕的威胁是什么?Splunk如何解决内部威胁?内部威胁是指有权访问特权的员工或承包商信息有意或无意地滥用其访问权限来伤害他们工作的公司。这是一个如此普遍的问题，以至于内部人士威胁占三分之二的攻击或数据丢失。妥协的用户凭据、特权用户入侵和内部威胁都是相关的到相同的常规行为，其中有效凭据被利用邪恶的原因。Splunk ES 和 UBA 在攻击者移动时捕获攻击者的足迹企业、云和移动环境。他们的活动由以下人员分析先进的机器学习算法，用于创建基线，检测偏差并近乎实时地发现异常。黑客在内部行为的总体情况环境被缝合成使用模式的说明性序列检测和高级关联，以揭示杀伤链，因此安全团队可以立即采取行动。前5名Splunk企业安全的用例|Splunk5 04Ransomwareransomware是什么?Splunk地址ransomware如何?勒索软件是一种恶意软件，可悲的是越来越受欢迎。这种威胁甚至引起了总统拜登的吗的关注。这次袭击发生在黑客利用网络钓鱼攻击迫使毫无戒心的用户泄露他们的特权访问。然后恶意软件开始行动，加密部分（或全部）用户文件。然后坏人要求赎金——因此这个名字 - 数万美元（有时是数百万美元）通过cryptocurrency换取打开文件。Splunk ES从Splunk ES Content Update（ESCU）接收更新，这为安全分析师提供了预打包的安全内容，有助于他们与持续的时间敏感威胁、攻击方法和其他安全问题。目前有 35 个勒索软件用例在ESCU，随着新威胁的发现，Splunk威胁研究团队对它们进行逆向工程，以通过 ESCU 推送自动更新，以确保检测保持最新。前5名Splunk企业安全的用例|Splunk6 05云安全云安全是什么?Splunk支撑云如何安全保险吗?云安全建立在网络安全应该移动的原则之上远离外围，并淘汰其以网络为中心的方法（许多传统的安全解决方案仍然订阅）。为此，您可以感谢 COVID，以及我们在迁移到居家办公时集体大规模迁移到云。Splunk ES 使载入 GCP、AWS 和 Azure 资产和身份变得容易（A&I）信息，以便它可以无缝填充Splunk中的A&I表。Splunk ES还为三大云提供开箱即用的检测跨身份验证、网络流量和配置更改的提供程序。通过将上述云提供商的数据模型映射到Splunk的通用信息模型，公司现有的检测和调查工作流注入了重要的云数据覆盖范围。因为云计算的兴起，也因为越来越多的公司将业务的关键部分迁移到公共云之一，如谷歌Cloud Plat orm （GCP）、Amazon Web Services （AWS） 或 Microsof t zure — 它是重要的是，组织可以轻松地实时分析其数据，以更好地获得领先黑客一步所需的可见性。前5名Splunk企业安全的用例|Splunk7 准备好你的安全操作与基于云的数据驱动SIEM解决方案吗?学习如何与Splunk开始。了解更多Splunk、Splunk> 和 Turn Data Into Do 是 Splunk Inc. 在美国的商标和注册商标，并且其他国家。所有其他品牌名称、产品名称或商标均属于其各自所有者。© 2022 斯普伦克公司保留所有权利。22-20968-Splunk-Splunk 企业安全 LS-105 的 5 大用例