的必要的指导来安全如何开始使用Splunk解决你的安全日常挑战 表的内容介绍。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。5在安全运营中心 （SOC） 中大放异彩6了解基础知识8你是做什么计划网络安全吗?Splunk 的分析驱动型安全之旅8斯普伦克的安全套件10安全用例12踏上您的分析驱动型安全之旅........................15阶段1:收集。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。16101100110 阶段2:正常化。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。2010101101100101101010110101111010110阶段3:扩张。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。22阶段4:富 集。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。24第五阶段:自动化和编排26第六阶段:高级检测28你是简单的“计划了最坏的打算,但希望最好的?”Splunk解决常见的安全挑战安全操作套件30事件调查和取证32••使用 WMI 检测横向移动。32识别多个未经授权的访问尝试35安防监控38••检测 AWS 中的公有 S3 存储桶38在主机上发现多个感染............42高级威胁检测44••检测与新域的连接44查找具有相似域的电子邮件48SOC自动化52••自动执行恶意软件调查52自动执行网络钓鱼调查和响应54事件响应56••检测到新数据Exfil DLP提醒用户........................................................56识别基本动态 DNS 检测59合规。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。62••检测到新数据Exfil DLP提醒用户........................................................62查找用户登录到他们不应该拥有的范围内系统......65欺诈分析和检测68••检测已泄露的用户帐户。68查找异常医疗保健交易71内部威胁检测73••检测大型网页上传73检测前员工帐户登录成功76 所以你怎么能最好的保护你组织和追捕新对手?介绍您对网络安全有什么计划？你只是“计划”吗最坏的情况，但希望最好？借助数字技术触及我们生活的方方面面，每天都有新的威胁出现，这是您的组织必须准确、知情并做好准备在捍卫您的资产和追捕对手方面。备受瞩目的违规行为、全球勒索软件攻击和加密挖掘是您的组织需要的足够好的理由收集、利用和理解正确的数据。您还需要实施正确的流程和程序，与新的技术、方法和要求——所有这些都在不断增加速度和各种机器的数据。最后,通过一个整体你的防御方法系统在整个企业。那么，您如何才能最好地保护您的组织并寻找新的组织对手？最终，通过采取整体防御方法整个企业的系统。这就是为什么Splunk相信每一个组织需要一个安全神经中枢，通过以下方式实施我们将为您描述的六阶段安全之旅。让我们打破这意味着什么。5 Splunk的安全操作中心(SOC)听起来好吗?伟大。那么，你问我如何让这一切在现实世界中发生呢？数据驱动的企业利用调查、监控、分析和行动 （IMAA） 模型通过优化来提高安全性他们的人员、流程和技术。它包括使用所有数据从可以帮助您调查的安全技术堆栈中，检测并采取快速、协调的措施来应对手册中的威胁，半自动或全自动时尚。当安全团队投资他们的安全基础设施和安全生态系统技能变得更强，从而可以扩展安全性实践进入新领域，主动应对威胁。为了帮助您入门，我们整理了这个简短的指南来向您介绍了解组织面临的顶级安全用例，并向您展示如何Splunk 的分析驱动平台 orm 可以帮助您解决安全问题挑战。本指南分为三个部分：1. 了解基本面。在这里你会发现一个安全之旅简介和快速入门安全用例，每个用例映射到相关Splunk的解决方案。Splunk Data-to-Everything Plat orm 和 Splunk 的安全性奥利奥港汇集了多个网络安全领域，以及安全之外的其他人员，以促进协作和实施与数据交互的最佳做法。安全团队可以使用Splunk 解决方案可推动统计、视觉、行为和探索为决策和行动提供信息的分析。从那里，平台orm允许现代工作流程，从收集数据一直到采取行动应对网络威胁和挑战。2. 踏上分析驱动的安全之旅。在这里我们解释了数据驱动型安全之旅的六个阶段，以及在每个阶段，您应该能够做什么，以及做得如何。3. 使用 Splunk 解决常见的安全挑战。在这里我们将逐步介绍如何解决常见安全性的示例相关的挑战:•事件调查和取证•安全监视•先进的威胁检测•SOC自动化网络Web代理防火墙威胁情报•事件响应、合规•欺诈和分析检测•内部威胁可以创建一个强大的安全实践?我们这样认为。WAF &应用安全编制互联网络安全端点身份和访问图1:Splunk企业安全包括一个用于与数据交互和调用的通用框架行动。自适应操作框架使安全团队能够快速、自信地应用环境的变化。Splunk Enterprise Security还可以自动响应，从而实现安全基础结构，以使用适用于每个域的一系列操作来适应攻击者。67 理解基本面阶段6先进的检测应用先进的检测机制包括机器学习第五阶段网络犯罪分子永不休息，这意味着您应该不断正在寻找新的安全用例和见解，以保持高在您的环境中级别的保护。自动化和编制建立一个一致的和可重复的安全操作能力我们在这里帮助。第四阶段Splunk的Analytics-Driven安全的旅程任何被问到“我们安全吗？”这个问题的人都知道。网络安全是一个旅程，而不是一个目的地。虽然探险可能没有终点，总会有挑战，那里是您可以做的事情，以使旅行成功。浓缩利用情报源增强安全数据，以更好地了解一个事件的背景和影响第三阶段扩张收集其他数据源，如终结点活动和用于驱动高级攻击检测的网络元数据首先，您必须了解您的环境并找到一个地方开始。问问自己：我想保护什么？什么是我的关键数据?我将如何应对的威胁吗?第二阶段分析驱动的六阶段安全之旅，如图 2 所示，将帮助您回答这些问题并创建一个踢屁股的安全性练习，使您能够了解防御中的差距，看到下一个挑战并采取行动直面它。归一化应用标准安全分类并添加资产和身份数据阶段1集合从环境中收集基本安全日志和其他计算机数据图2:Splunk的Analytics-Driven安全的旅程89 Splunk的安全套件Splunk的安全套件你会在没有小径地图和装满食物和合适装备的背包？当然不是。就像没有适当的设备，没有安全保障，任何旅行都不可能成功没有合适的技术，旅程可以成功。是一个灵活的平台或解决一系列安全用途案例，使您能够监控和分析机器数据从任何来源快速提供见解以采取行动和分析驱动的基础，以增强您的整体实力安全。可用的云。Splunk的企业安全信息和事件管理 （SIEM） 解决方案提供对从以下位置生成的机器数据的见解网络、端点和访问等安全技术;以及恶意软件、漏洞和身份信息。可用的云。Splunk的企业安全Splunk任务控制SplunkSIEM(ES和非洲联合银行)Splunk未来Splunk解决方案和Splunk高飞安全应用(SSE和InfoSec)第三方工具基于机器学习的解决方案，可提供答案组织需要发现未知威胁和异常跨用户、端点设备和应用程序的行为。Splunk的用户行为分析安全业务流程自动化和响应（SOAR） 平台或与您现有的安全性集成提供一层“结缔组织”的技术在他们之间，使他们更聪明、更快、更强。Splunk飙升应用程序数据源由 Splunk、合作伙伴和我们的社区开发的应用程序增强和扩展Splunk plat orm的力量。这Splunk 应用程序符合支付卡行业 （PCI） 合规性一个例子。可用的云。Splunk 的安全套件可帮助安全团队驾驭未知的导航沃特世并快速识别、调查、响应和适应动态数字业务环境中的威胁。斯普朗克解决方案可供一级分析师用于对某个时间段进行基础研究，关键字、IP 地址或计算机名称。相同的产品使高级二级和三级分析师执行高级相关性，构建分析模型或执行高级取证。探索新的用例并部署安全检测Splunk Security Essentials to Splunk Enterprise 和 SplunkCloud 和 Splunk SIEM 和 SOAR 产品。现在完全具有有效 Splunk 云许可证的受支持应用程序，开始加强您的安全态势并加快您的时间-Splunk的价值。Splunk的安全生活必需品对于使用 Splunk Enterprise Security （ES） 的客户，这提供安全分析指南，称为“分析故事”，解释如何最好地使用 Splunk ES 进行调查和对环境中检测到的新威胁采取措施，要实施哪些搜索以及您应该能够实现哪些搜索才能实现。Splunk的企业安全内容更新1011 安全用例安全定义的用例最后，我们包括一个关于用例的快速入门，所以我们都在相同的页面。接下来，您将找到我们绘制的特定安全用例到旅程中。继续。选择您自己的冒险或安全挑战。本书的目的是教你如何分析驱动的平台ORM可以帮助您解决安全挑战推进安全旅行,包括:事件调查和取证安全事件可能会在没有警告的情况下发生，并且可能无法检测到时间长到足以对组织构成严重威胁。通常到时候安全团队意识到问题，很有可能造成损害已经完成了。Splunk 为安全团队提供“单一来源真相“，表示计算环境中所有带有时间戳的机器数据。这帮助他们推动更好、更快的安全调查，减少机会长时间未被发现的威胁。映射Splunk安全解决方案用例用例Splunk的解决方案事件调查和取证Splunk Enterprise， Splunk Enterprise Security， Splunk SOAR安全监视Splunk Enterprise， Splunk Security Essentials App， Splunk企业安全,Splunk飙升安全监视安全监控使您能够分析连续的针对威胁和其他潜在安全问题的近实时数据。数据监控源包括网络和端点系统，以及云设备、数据中心系统和应用程序。Splunk 数据到-Plat orm 使安全团队能够检测威胁并确定其优先级从这些来源的数据流。先进的威胁检测Splunk Enterprise， Splunk Security Essentials App， Splunk企业安全，Splunk 用户行为分析SOC自动化事件响应合规Splunk Enterprise， Splunk Enterprise Security， Splunk SOARSplunk Enterprise， Splunk Enterprise Security， Splunk SOAR先进的威胁检测Splunk Enterprise， Splunk Security Essentials App， PCI， Splunk企业安全高级持续性威胁 （APT） 是一组隐蔽且持续的计算机黑客过程，由一个或多个人精心策划以特定实体为目标。APT 通常针对私人组织和//或出于商业或政治动机的国家。Splunk Enterprise 使能组织搜索和关联数据以跟踪高级威胁。Sp