借助 Splunk 开启基于风险的警报之旅

解决方案指南开始你的风险报警的旅程与Splunk减少警报量并增强安全操作关键好处•提高检测复杂的威胁，如传统 SIEM 错过的低速和慢速攻击•无缝结合到网络安全框架，如MITRE ATT&CK，Kill Chain，CIS 20和NIST•规模分析资源优化SOC的生产力和效率澳大利亚央行减少警报卷吗分析/相关性主教法冠ATT&CK策略风险分数部离群值报警风险指数观察风险事件规则安全运营中心 （SOC） 的噪音令人难以置信地方。他们会遇到数以万计的警报每天，并受到有限资源的限制。作为一个结果，仅检查优先级最高的警报，大多数后来被确定为误报或者干脆被遗弃。希望改善现状，团队投入资源来“完善”他们的相关性搜索,但是这样做甚至矛盾的产生更多的噪音。另一种选择也好不到哪里去：团队无意中在其安全性中造成了盲点通过警报抑制实现覆盖，使其均匀更加难以检测和调查威胁。必须有一个更好的方法。Splunk®企业安全(ES)引入了新的风险提醒SOC操作(RBA)功能。这可以帮助组织解决房间里的大象：警报疲劳。分析师为实体创建风险归因（例如，用户或系统）当可疑情况时发生。然后，而不是为每个触发警报归因，归因被发送到风险指数。团队可以通过追加来丰富其风险归因相关的上下文,如注释对相关的MITRE ATT&CK技术或应用风险得分。当实体的风险评分或行为模式达到您预定的阈值，然后一个显着的事件被触发，为分析师提供有价值的调查过程开始时的背景加快消除威胁。好处澳大利亚央行延长远远超出这些改进采用基于风险的方法提供了团队与主资源从一个独特的机会传统上被动功能到主动功能在 SOC 中。作为警报保真度和真阳性率 解决方案指南增加，分析师的资源可以提高威胁搜寻或对手模拟等影响任务，使 SOC 能够建立其技能组合分析师并为他们可能面临的任何威胁做好准备在野外相遇。让我们创造更快乐、更多富有成效的分析师，使他们能够进行更多工作安全调查。而缓慢,很难区分生成来自正常流量的流量。通过构建全面的收集归因，更容易构建检测跨越更长的时间，使其非常困难让攻击者使用低速和慢速策略。例如您的团队可以将警报配置为在实体行为跨越了三个或更多横切ATT&CK战术两周的时间内,有效地扩大你的攻击表面的报道。实施网络安全框架Splunk 企业安全提供开箱即用的功能与领先的网络安全框架保持一致，例如NIST ATT&CK冠冕,独联体20日控制等等。通过将您选择的框架嵌入到你的检测，您的团队可以转变有价值的安全性概念为基础的基石安全操作。这些框架构成了基础用于对手模拟等主动练习。也团队可以使用他们喜欢的框架来量化差距（例如，MITRE 策略检测正在覆盖哪些差距）在其安全覆盖范围中并确定额外的加强安全所需的数据源。简化调查和补救Splunk®飙升的自动化能力降低用于安全事件分类活动，并提供为调查过程提供更好的背景。社会有机碳可以无缝地共享高保真引人注目的事件,包括来自Splunk的妥协指标（IOC）企业安全 Splunk SOAR。然后，SOAR 可以自动调查所有相关归因同时：IP、域、URL、哈希等可以排队等待自动阻止。这确保了环境中存在的风险设备或用户可以隔离或禁用瞬间,无需人工交互。这释放了是时候让您的安全团队专注于其他高价值产品了在SOC的活动。复杂的威胁检测从历史上看，复杂的威胁检测构成了传统 SIEM 面临的挑战。不同数量警报使得难以发现诸如低在实践中这看起来怎样?通过基于风险的警报，这些事件将成为通知高保真警报的上下文2:03pm2:07pm下午2点6:55am6:58am7:03am1:55pmAWS用户供应观察到的15分AWS桶创建15分AWS永久创建观察到的20分潜在的spearphishing观察到的10分可疑的命令禁用控制15分SupiciousPowershell观察到的20分AWS acl打开了所有访问10分用一个点击,查看所有的风险事件导致警报风险事件规则:为任何用户或生成警报超过风险评分系统100在24小时内警报聚合用户风险评分>100想要了解 RBA 如何帮助增强组织的安全运营？看这个演示.了解更多信息:www.splunk.com/asksaleswww.splunk.comSplunk、Splunk> 和 Turn Data Into Do 是 Splunk Inc. 在美国和其他国家/地区的商标和注册商标。所有其他品牌名称、产品名称或商标均属于其各自所有者。© 2022 斯普伦克公司保留所有权利。22-16748-Splunk-Embarkon基于风险的警报旅程与Splunk-SG-111