Splunk智能安全运营中心SOC平台_安全态势感知系统

Splunk智能安全运营中心SOC平台

Splunk智能安全运营中心SOC平台使用来自Splunk Base (2000+)的与通用信息模型(CIM)兼容的附加组件来收集和处理数据。使用Splunk Add-On Builder构建一个通用信息模型(CIM)兼容的附加组件来收集和处理数据。

立即咨询

首页 > 产品中心 > 网络安全 > Splunk智能安全运营中心SOC平台

MITRE ATT&CK icon

现实中安全实践是怎样的? icon

现实中安全实践是怎样的? icon

现实中安全实践是怎样的? icon

以数据为中⼼的现代 SOC icon

传统安全运营的主要问题 icon

缺乏可⻅性
跨数据孤岛和多云环境的观察盲点

扩⼤的攻击⾯
复杂的威胁和混合的⼯作

复杂的⼯具
众多不同的⼯具

专业资源稀缺
⼈才短缺、保留、培训

安全运营效率
告警疲劳和繁琐的⼯作

安全神经中枢

革命性的数据处理技术 icon

安全通用数据模型

便捷的安全数据加载

使用来自Splunk Base (2000+)的与通用信息模型(CIM)兼容的附加组件来收集和处理数据

使用Splunk Add-On Builder构建一个通用信息模型(CIM)兼容的附加组件来收集和处理数据读时建模

便捷的安全数据加载

使用来自Splunk Base (2000+)的与通用信息模型(CIM)兼容的附加组件来收集和处理数据

使用Splunk Add-On Builder构建一个通用信息模型(CIM)兼容的附加组件来收集和处理数据读时建模

便捷的安全数据加载

使用来自Splunk Base (2000+)的与通用信息模型(CIM)兼容的附加组件来收集和处理数据

使用Splunk Add-On Builder构建一个通用信息模型(CIM)兼容的附加组件来收集和处理数据读时建模

应对告警疲劳

修复上游的一切

解决方法

调整 NIDS/HIDS 规则

规范化数据 (CIM: Common Information Model)

如果业务需求允许，尽可能将设备置于阻塞模式 – 维护阻止列表

这些是现在房间里的每个人都已经在做的事情，但从来都不是完美的。现代威胁格局充满了邪恶的常态 (LOLBIN)，而这些上游解决方案很少能帮助您真正解决这些难题比如你不能禁用powershell (不一定哈)

管理你保存的搜索

编写用例逻辑实现以下: TTPA + TTPB + TTPC = Evil

这一系列事件具有非常高的保真度，因为顺序是保持不变的

风险配方的勾股定理

效果很好，但扩展性很差

为Evil 编写“证明”或“配方”是与越来越多的Evil

排列组合的指数式战斗

这也可以被认为是在 Splunk 中编写检测逻辑的一种基于“signature”的方法

管理您的用例

聚合逻辑

与集成的业务场景和价值

遵循相同的“搭积木”策略, 将您的重要事件在索引汇总中相互关联建立给定的聚合时间段：24h-7d 建立聚合键 (Risk Objects) Username Hostname S3 bucket IP Address

现实中安全实践是怎样的? icon

现实中安全实践是怎样的? icon

Splunk Security Contents icon

浏览、收藏和部署 1200+ 安全检测和分析案例

运行 MITRE ATT&CK® 和 Cyber Kill Chain® 框架以识别差距、改进威胁检测并降低风险

使用数据和内容自检功能跟踪数据使用情况和保存的搜索以获得可见性

使用安全数据之旅制定包含安全和数据建议的成熟度路线图

灵活SPL

统计方法检测异常

基于机器学习的异常检测 icon

基于风险的警报

大幅减少误报，节省分析师的时间和精力

检测传统相关性搜索方法遗漏的威胁，例如“低慢”攻击

通过在探测中映射框架，使安全运营与MITRE® ATT&CK等行业框架保持一致

从一开始通过丰富的语境和“故事”简化调查

加速调查和响应

Microsoft Exchange – 提取疑似钓鱼邮件信息

恶意软件沙箱 - 邮件附件是否为恶意

域名信誉查询 – 邮件中提取的URL

IP信誉查询 – 邮件涉及到的IP

SIEM – 评估影响范围

网络防火墙 – 阻止IP

代理服务器 – 阻止URL

终端安全 – 阻止匹配恶意特征Hash的文件

工单系统 – 创建钓鱼邮件删除请求工单

自动化

重复的任务自动化，以增强团队的工作能力

以秒为单位执行自动化操作，而不是以小时为单位

Splunk 安全运营套件 icon

契合当前的安全成熟度 icon

索引, 搜索, 监控 & 告警
所有数据的集中保留和可见性

安全监控仪表板

使用预建内容告警基本报告

即席调查和事件响应

历史数据分析

标准化, 关联 & 风险
数据标准化

风险感知和告警分级

信息和事件关联

安全事件管理

分类和调查工作流程

威胁情报

安全用例库

协作, 狩猎 & 机器学习
基于风险的警报

威胁狩猎

预建机器学习安全内容

内部威胁检测

半自动化剧本（编排和响应）

持续用例开发

事件协作

模拟, 响应 & 全自动化
风险报告

完全剧本自动化

攻击模拟

自定义机器学习安全内容

与其他团队或工具的有效协作和集成违规响应流处理和流分析

安全数据之旅

01
搜索和调查

02
主动监控和告警

03
安全态势感知

04
实时风险洞察

Splunk是将数据转化为行动的领导者 icon

产品推荐查看更多>>

McAfee安全套件

McAfee Security Suite for Virtual Desktop Infrastructure 提供了针对虚拟环境进行优化的恶意软件防护功能、可防御零日威胁的白名单功能、桌面入侵防护和数据保护

安全可靠

高效稳定

立即咨询查看详情

美创科技诺亚防勒索系统

美创科技诺亚防勒索系统是美创科技为应对当前爆发式增长的勒索病毒事件，联合内部数据安全实验室协同研发的以数据资产防护为核心的、以零信任为基础的勒索病毒防护软件。

高可用

安全可靠

功能完备

立即咨询查看详情

天清入侵防御系统

天清入侵防御系统是启明星辰自主研发的网络型入侵防御产品，围绕深层防御、精确阻断的核心理念，通过对网络流量的深层次分析，可及时准确发现各类入侵攻击行为，并执行实时精确阻断，主动而高效的保护用户网络安全。

安全防护

安全可靠

高效稳定

立即咨询查看详情

数字化社区查看更多>>