Splunk智能安全运营中心SOC平台_安全态势感知系统

Splunk智能安全运营中心SOC平台

Splunk智能安全运营中心SOC平台使用来自Splunk Base (2000+)的与通用信息模型(CIM)兼容的附加组件来收集和处理数据。使用Splunk Add-On Builder构建一个通用信息模型(CIM)兼容的附加组件来收集和处理数据。

立即咨询

首页 > 产品中心 > 网络安全 > Splunk智能安全运营中心SOC平台

MITRE ATT&CK icon

现实中安全实践是怎样的? icon

现实中安全实践是怎样的? icon

现实中安全实践是怎样的? icon

以数据为中⼼的现代 SOC icon

传统安全运营的主要问题 icon

缺乏可⻅性
跨数据孤岛和多云环境的观察盲点

扩⼤的攻击⾯
复杂的威胁和混合的⼯作

复杂的⼯具
众多不同的⼯具

专业资源稀缺
⼈才短缺、保留、培训

安全运营效率
告警疲劳和繁琐的⼯作

安全神经中枢

革命性的数据处理技术 icon

安全通用数据模型

便捷的安全数据加载

使用来自Splunk Base (2000+)的与通用信息模型(CIM)兼容的附加组件来收集和处理数据

使用Splunk Add-On Builder构建一个通用信息模型(CIM)兼容的附加组件来收集和处理数据读时建模

便捷的安全数据加载

使用来自Splunk Base (2000+)的与通用信息模型(CIM)兼容的附加组件来收集和处理数据

使用Splunk Add-On Builder构建一个通用信息模型(CIM)兼容的附加组件来收集和处理数据读时建模

便捷的安全数据加载

使用来自Splunk Base (2000+)的与通用信息模型(CIM)兼容的附加组件来收集和处理数据

使用Splunk Add-On Builder构建一个通用信息模型(CIM)兼容的附加组件来收集和处理数据读时建模

应对告警疲劳

修复上游的一切

解决方法

调整 NIDS/HIDS 规则

规范化数据 (CIM: Common Information Model)

如果业务需求允许，尽可能将设备置于阻塞模式 – 维护阻止列表

这些是现在房间里的每个人都已经在做的事情，但从来都不是完美的。现代威胁格局充满了邪恶的常态 (LOLBIN)，而这些上游解决方案很少能帮助您真正解决这些难题比如你不能禁用powershell (不一定哈)

管理你保存的搜索

编写用例逻辑实现以下: TTPA + TTPB + TTPC = Evil

这一系列事件具有非常高的保真度，因为顺序是保持不变的

风险配方的勾股定理

效果很好，但扩展性很差

为Evil 编写“证明”或“配方”是与越来越多的Evil

排列组合的指数式战斗

这也可以被认为是在 Splunk 中编写检测逻辑的一种基于“signature”的方法

管理您的用例

聚合逻辑

与集成的业务场景和价值

遵循相同的“搭积木”策略, 将您的重要事件在索引汇总中相互关联建立给定的聚合时间段：24h-7d 建立聚合键 (Risk Objects) Username Hostname S3 bucket IP Address

现实中安全实践是怎样的? icon

现实中安全实践是怎样的? icon

Splunk Security Contents icon

浏览、收藏和部署 1200+ 安全检测和分析案例

运行 MITRE ATT&CK® 和 Cyber Kill Chain® 框架以识别差距、改进威胁检测并降低风险

使用数据和内容自检功能跟踪数据使用情况和保存的搜索以获得可见性

使用安全数据之旅制定包含安全和数据建议的成熟度路线图

灵活SPL

统计方法检测异常

基于机器学习的异常检测 icon

基于风险的警报

大幅减少误报，节省分析师的时间和精力

检测传统相关性搜索方法遗漏的威胁，例如“低慢”攻击

通过在探测中映射框架，使安全运营与MITRE® ATT&CK等行业框架保持一致

从一开始通过丰富的语境和“故事”简化调查

加速调查和响应

Microsoft Exchange – 提取疑似钓鱼邮件信息

恶意软件沙箱 - 邮件附件是否为恶意

域名信誉查询 – 邮件中提取的URL

IP信誉查询 – 邮件涉及到的IP

SIEM – 评估影响范围

网络防火墙 – 阻止IP

代理服务器 – 阻止URL

终端安全 – 阻止匹配恶意特征Hash的文件

工单系统 – 创建钓鱼邮件删除请求工单

自动化

重复的任务自动化，以增强团队的工作能力

以秒为单位执行自动化操作，而不是以小时为单位

Splunk 安全运营套件 icon

契合当前的安全成熟度 icon

索引, 搜索, 监控 & 告警
所有数据的集中保留和可见性

安全监控仪表板

使用预建内容告警基本报告

即席调查和事件响应

历史数据分析

标准化, 关联 & 风险
数据标准化

风险感知和告警分级

信息和事件关联

安全事件管理

分类和调查工作流程

威胁情报

安全用例库

协作, 狩猎 & 机器学习
基于风险的警报

威胁狩猎

预建机器学习安全内容

内部威胁检测

半自动化剧本（编排和响应）

持续用例开发

事件协作

模拟, 响应 & 全自动化
风险报告

完全剧本自动化

攻击模拟

自定义机器学习安全内容

与其他团队或工具的有效协作和集成违规响应流处理和流分析

安全数据之旅

01
搜索和调查

02
主动监控和告警

03
安全态势感知

04
实时风险洞察

Splunk是将数据转化为行动的领导者 icon

产品推荐查看更多>>

开源网安RASP实时应用自我防护平台

开源网安实时应用自我防护平台，采用插桩技术实现无需人工干预的、无感知的攻击检测和防护功能。RASP平台通过在应用程序的字节码中动态插桩检测“探针”，来获取应用程序各种运行时的上下文信息，在应用程序运行的时候，利用当前上下文信息实时保护应用。基于对应用程序中的各种信息，进行灵活的重组与分析，可以更完整的检测出常见攻击实例（如注入型漏洞等）与逻辑安全攻击实例。

云端部署

插桩技术

攻击验证

实时防护

立即咨询查看详情

深信服物联网接入安全网关SIG

深信服物联网接入安全网关SIG，基于网络嗅探技术主动发起探测，合理控制探测速度和并发，避免网络风暴。扫描探测与流量分析相结合，提取特征并生成指纹信息，无法识别的资产，可人工提取特征并快速合入指纹信息库。

安全存储

数据采集

有效防护

严格管控

立即咨询查看详情