联合分析简介

面向安全团队的联合分析|Splunk目录3摄取访问您的安全数据4并非所有的安全数据都是平等的5数据激增：SecOps的涓滴（和向上渗透）效应6没有孤岛和重复（真的没有）7关键优势7统一访问和分析安全数据8智能资源管理9主动事件管理10安全团队的额外优势11两个用例的故事12用例1：安全监控和事件解决13用例2：故障排除和调试14案例研究：美国金融业监管局：用Splunk Cloud和AWS保护美国投资者 面向安全团队的联合分析|Splunk摄取访问您的安全数据在庞大的云、本地和混合系统网络中，安全团队通常必须在包含海量数据的多个平台上手动搜索，以应对突发事件。但却没人有时间执行这项工作。当今的安全团队需要灵活高效的数据管理解决方案，支持分布式存储，以便优化用例和成本。这就是联合分析的用武之地。借助SplunkCloudPlatform和SplunkEnterpriseSecurityCloud的联合分析功能，安全团队可以分析Splunk或AmazonSecurityLake中的数据，这意味着团队有了一个经济高效的选择，可以保持数据完整性和减少延迟，并且能够访问和分析所有存储位置的数据，从而获得全面的可见性。（谁不喜欢一个正面积极的“是，而且”的场景呢，对吧？）通过对Splunk和AmazonSecurityLake中的数据进行威胁检测和响应，安全团队可以提高敏捷性和运营效率，以更好地抵御不断变化的威胁和复杂的攻击媒介。 面向安全团队的联合分析|Splunk并非所有的安全数据都是平等的如您所知，数据的价值是不断变化的。它会随着时间的推移而变化，具体取决于用例。例如，实时和接近实时的安全检测需要最新的数据，而合规性和审计用例则需要将数据保留多年（一年又一年）。但是，让所有这些数据都可以立即访问需要很高的成本，所以实际上，对于您的团队和贵组织的数据设计来说，尚不存在一种通用的方法。在这个每秒钟都有新数据产生的时代，网络安全越来越成为一个数据问题，而且是一个大问题。 面向安全团队的联合分析|Splunk数据激增：SecOps的涓滴（和向上渗透）效应能够并且应该利用的安全数据量正在增长。过去几年的事件（例如，远程工作和数字化转型的激增）要求企业进行投资，从而创造了更多数据。由于SecOps团队很难集成和分析这些来自不同来源的不断增长的数据量，他们在威胁检测和调查中可能缺乏可见性和背景信息，这是他们在面对不断演变的威胁时最不愿看到的。这些挑战渗透到安全团队的每个成员：•SOC经理报告称难以管理大量安全警报并对其进行优先级排序，将导致潜在威胁漏网。由于工具集成效率低下，他们还很难报告准确的安全指标和SLA，并努力应对与多种用例的数据复制相关的低效率和高成本问题。•分析师报告指出，由于警报质量差，在误报上浪费时间，将导致警报疲劳。他们还抱怨说，访问多个工具和数据源来挖掘信息会导致工作流效率低下。•威胁搜寻者报告称，由于无法访问环境中的全面实时数据，主动识别威胁的能力有限。此外，上至高层，CISO和安全总监也是彻夜难眠，因为他们面临着越来越大的压力，既要降低安全成本，又要改善组织的安全状况。 90%的数据是在过去两年内创建的。 面向安全团队的联合分析|Splunk没有孤岛和重复（真的没有）TLDR：您再也不必在数据湖的成本效益和Splunk的强大功能之间做出选择。哇哦。数据湖满足了所有部门降低数据管理成本的真实且不断增长的需求。但是，传统的数据集成工具通常需要移动数据，无法提供实时分析或跨不同平台和SIEM系统的广泛兼容性。借助联合分析，组织可以在AmazonSecurityLake中搜索和分析数据，而无需复制数据。它提供实时、可操作的见解，以更快地检测威胁，通过AI驱动的背景信息增强决策，并优化资源使用以简化运营。它与现有Splunk环境无缝集成，利用Splunk广泛的安全分析功能提供更深入的见解和更快的威胁响应，同时高效管理数据以保持低运营成本。借助数据湖和Splunk之间的动态数据移动，团队可以利用数据湖存储的低成本，按需将选定的数据引入Splunk，以加快检测速度或执行密集的深入搜索。这种方法不仅保持了数据完整性并减少了延迟，而且通过允许跨所有存储位置访问和分析数据，确保了全面的可见性。通过利用联合分析，组织可以进行高性能搜索和响应性报告，从而提高流程的效率和成本效益。这减少了数据孤岛的局限性，并支持对数据进行彻底的探索以发现威胁。 面向安全团队的联合分析|Splunk关键优势1.统一访问和分析安全数据挑战：分散的数据可见性SecOps团队需要处理跨多个平台的不同数据源，因此很难获得安全数据的整体视图。联合分析如何提供帮助：对于数据而言，联合分析就像奇异博士画出的魔法环。用非漫威迷能明白的说法来解释的话，就是魔法环给了奇异博士打开通往任何地方入口的能力。对于安全专业人员，联合分析为您提供了跨不同数据存储的整合视图，而无需您摄取它来查看和分析它。这可以防止危及全面安全分析的危险盲点。 这对您意味着什么：•整体安全视图：整合和分析来自Splunk和AmazonSecurityLake的数据，获得全面的安全概述，避免了重新定位数据的麻烦和成本。•实时数据访问：从本机环境中实时访问和分析数据，以便及时做出明智的安全决策。•简化数据分析：避免为了分析数据而手动复制和重新定位数据的耗时且成本高昂的任务。 面向安全团队的联合分析|Splunk关键优势2.智能资源管理挑战：低效的资源利用SecOps团队面临着资源分配方面的挑战，这通常会导致在管理安全数据时人力和计算资源的使用效率低下。联合分析如何提供帮助：联合分析使团队能够利用低成本的数据湖存储，并按需将选定的数据引入Splunk以加速检测或执行密集的深入搜索，从而优化资源利用率。通过联合分析，组织可以进行高性能搜索和响应性报告，从而提高流程的效率和成本效益。 这对您意味着什么：•选择性数据分析：从ASL和Splunk获取并精确分析您需要的数据，优化计算资源，并将精力集中在高价值活动上。•标准化数据流程：联合分析利用开放式网络安全模式框架(OCSF)来实现标准化的数据流程。这样，您可以根据需要灵活地添加、删除和替换数据源，而无需重新设计Splunk和数据湖之间的集成。•优化价值成本：借助AmazonSecurityLake和联合，您可以通过实施数据分层策略来降低存储和入口/出口成本，同时利用安全模式标准化和云可扩展性，从而优化运营成本。•节省（许多）工时：通过使用单一工具进行搜索和调查来优化数据成本、治理和可访问性，而不是使用数据湖将基于角色的访问控制和成本管理等工作分散到多个工具，您和同事可以（也确实）节省大量时间。 面向安全团队的联合分析|Splunk关键优势3.主动事件管理挑战：被动威胁检测、调查和响应随着威胁形势变得越来越复杂，数据量激增，SecOps团队经常被动应对，很难及时准确地检测和应对威胁。这种被动的姿态会延迟关键的响应，破坏安全措施的有效性。联合分析如何提供帮助：联合分析帮助组织跨存储的所有数据主动检测、调查和响应威胁，即使面对日益复杂的威胁环境和不断增长的数据量。这种分析能力通过确保及时准确的威胁管理来增强安全运营。 这对您意味着什么：•高级威胁检测：借助跨集成数据环境的复杂分析，您的团队可以迅速访问相关信息，确保威胁检测更快、更准确。•集成的调查和响应能力：利用跨多个数据源的工作流简化调查和响应操作，以便更快地分析威胁和快速解决安全事件。这种集成确保了在关键时刻可以访问正确的数据，有助于更快地做出决策和有效地管理事件。•具有背景信息的见解和工作流：借助丰富的数据背景信息和集成的工作流，您的团队可以增强威胁检测、调查和响应能力。这种方法提高了安全准确性，最大限度地减少了盲点，减少了警报疲劳，提供了更透明、更广泛的安全操作视图。 面向安全团队的联合分析|Splunk安全团队的额外优势在Splunk内部支持一致的分析师体验借助联合分析，在Splunk平台内拥有成熟工作流程的SOC团队现在可以进一步扩展这些流程。他们有能力运行长达30天的本地存储数据湖遥测检测。对于更广泛的分析，团队可以通过对远程存储的数据进行联合搜索来执行临时查询和参与威胁搜寻，并将其无缝集成到他们现有的Splunk工作流中。这支持Splunk内一致的分析师体验，无需跨多个平台搜索或手动拼凑调查，并提供了更大的可见性。支持可扩展的威胁搜寻借助联合分析，安全分析师可以跨分布式数据集执行大规模威胁搜索操作，而无需集中或复制数据。凭借其安全运营中的这种新的效率和灵活性，组织可以更好地防御不断变化的威胁和复杂的攻击媒介。促进合规性和数据治理组织通常会保留数据，以遵守数据治理和其他法规要求。在发生潜在违规或安全事故时，让审计人员快速获得这些数据将至关重要。联合分析允许安全团队在AmazonSecurityLake或S3等存储中长期廉价地存储大量数据，但在需要审计时，可以访问、分析和查询这些数据。 面向安全团队的联合分析|Splunk两个用例的故事我们认为，现在您可能想详细了解联合分析如何支持和优化不同的用例。联合分析有两种途径来搜索您的数据：1.通过“数据湖索引”将数据接收到Splunk中，对其进行索引，并运行搜索“数据湖索引”与标准Splunk索引非常相似，数据保留时间较短。这为安全团队提供了威胁检测用例。您可以根据要对数据应用的检测来确定要将哪些数据引入Splunk。2.通过联合搜索（由AWSAthena提供支持）直接在安全湖中的数据上运行搜索在这种途径中，搜索结果通过管道返回到Splunk，使Splunk能够在更广泛的分析工作负载中作为威胁搜寻和取证用例的中心平台。AmazonSecurityLake将数据标准化为OCSF格式，并存储在Parquet中，为客户提供了集中化、标准化安全数据的选择。 用例1安全监控和事件解决“对于我的安全监控和事件解决，我可能需要来自我的防火墙和AWScloudtrail数据等的一些关键事件。首先，考虑到快速检测的及时性要求，我会将这些信息发送到Splunk以驱动我的检测。我甚至知道，对于我的需求来说，我的防火墙数据很繁琐，所以我可以使用DMX筛选我要引入到Splunk中的数据，然后将全套防火墙数据的副本发送到S3。对于我的检测，我会使用最相关的数据。但是，假设我发现了一个事件，当我开始调查时，我意识到我需要查看更多的数据。然后呢？在这种情况下，关于网络流量的VPC流日志可能会有所帮助，但我从未考虑过将它们引入Splunk，因为它们历来噪音很大，信噪比很低。在这里，我可以使用联合分析来执行临时调查，该调查使用ASL中的VPC流量日志数据，并将它与用于驱动我的检测的其他数据相关联。然后，我可以发现更多关于我的事件的见解。这给了我更全面的可见性，但也给了我一个成本灵活的方法来做到这一点，这样我就不会被繁琐的VPC流数据所困扰。” 面向安全团队的联合分析|Splunk我们会让我们自己的分析师接手此事 面向安全团队的联合分析|Splunk用例2故障排除和调试“对于审计用例，或者我正在对危害迹象进行取证检查的用例，我只需使用面向Splunk的联合搜索来远程搜索S3防火墙数据，并在Splunk中查看结果。我不必用一种不熟悉的体验；我可以关联数据，而且我不需要再水合。因此，有了Splunk搜索以及面向Splunk的联合分析和联合搜索，我现在有了一系列选择来针对这些用例优化我的数据设计。” 面向安全团队的联合分析|Splunk案例研究美国金融业监管局：用Splunk Cloud和AWS保护美国投资者挑战：美国金融业监管局(FINRA)需要一个集中的解决方案来处理和分析他们的数据，同时保护数据免受意外威胁。结果：FINRA现在依靠Splunk从170个应用程序中获取数据，获得了成本和运营效率，并保护投资者免受欺诈。成效：•从170个不同的应用程序中获取数据•分析大多数美国股票和期权市场交易的数据•借助基于AWS的Splunk获得成本和运营效率阅读完整案例 当