致力于將數(shù)據(jù)轉(zhuǎn)化為行動(dòng)和價(jià)值的Splunk公司(NASDAQ:SPLK)宣布在安全產(chǎn)品組合中取得創(chuàng)新,幫助安全團(tuán)隊(duì)能夠更快、更輕松地檢測(cè)、調(diào)查和處理所有威脅,從而保護(hù)整個(gè)企業(yè)運(yùn)營(yíng)。采用安全自動(dòng)化、編排與響應(yīng)(SOAR),用例庫(kù)(Use Case Library)和事件排序(Event Sequencing)等新功能,Splunk安全解決方案讓企業(yè)使用更全面的方法,實(shí)現(xiàn)從檢測(cè)到自動(dòng)化機(jī)器速度響應(yīng)的安全運(yùn)營(yíng)模式。
Splunk高級(jí)副總裁兼全球安全事業(yè)部總經(jīng)理宋海燕認(rèn)為: “隨著安全威脅的速度和復(fù)雜性不斷增加,客戶更迫切地需要對(duì)數(shù)據(jù)采取行動(dòng),以機(jī)器速度來(lái)快速響應(yīng)漏洞。新一代Splunk安全產(chǎn)品組合提供了一個(gè)安全操作平臺(tái),實(shí)現(xiàn)了Splunk的安全神經(jīng)中心的一系列愿景。Splunk Enterprise Security (Splunk ES) 、Splunk User Behavior Analytics (Splunk UBA) 和Splunk Phantom的新產(chǎn)品組合,能幫助客戶比以往更有效地保護(hù)其業(yè)務(wù)運(yùn)營(yíng)。”
隨著數(shù)字化經(jīng)濟(jì)的興起,造就了海量與安全相關(guān)的數(shù)據(jù)。同時(shí),越來(lái)越多的網(wǎng)絡(luò)罪犯正在進(jìn)行愈加復(fù)雜的自動(dòng)化攻擊,導(dǎo)致安全操作中心(SOC)面臨嚴(yán)峻的挑戰(zhàn),即難以跟上存在于內(nèi)部和云中的新攻擊。然而Splunk的安全解決方案,能夠讓客戶不僅查看到單個(gè)事件,還可看到完整的威脅。
Splunk ES、Splunk UBA和Splunk Phantom
在.conf18大會(huì)上,Splunk發(fā)布的安全解決方案擴(kuò)展套件可幫助安全分析師,通過(guò)Splunk業(yè)界領(lǐng)先的安全信息和事件管理(SIEM)平臺(tái),來(lái)監(jiān)測(cè)、可視化、檢測(cè)、調(diào)查及處理來(lái)自內(nèi)部及外部的威脅。尤其是在Splunk收購(gòu)了Phantom之后,客戶現(xiàn)在可以通過(guò)Phantom的安全SOAR技術(shù)對(duì)其數(shù)據(jù)采取措施。
此外,Splunk亦針對(duì)SIEM平臺(tái)推出了一系列新的功能,包括新的事件排序,可分組關(guān)聯(lián)搜索和風(fēng)險(xiǎn)修改器,以便優(yōu)化威脅檢測(cè)并加快調(diào)查;新的用例庫(kù),為Splunk ES客戶提供可隨時(shí)可用、以搜索為導(dǎo)向、可操作、與安全操作相關(guān)的安全內(nèi)容。Splunk ES用例庫(kù)讓客戶能夠自動(dòng)發(fā)現(xiàn)新的用例,例如:對(duì)抗策略、云安全、濫用或勒索軟件,以確定如何在自己的環(huán)境中對(duì)威脅采取行動(dòng)。
埃森哲安全公司總經(jīng)理Robert Boyce表示:“不間斷的內(nèi)部威脅和外部網(wǎng)絡(luò)攻擊,對(duì)企業(yè)和消費(fèi)者造成極大的影響。為了構(gòu)建彈性,企業(yè)需要一個(gè)以分析為導(dǎo)向的安全平臺(tái),把安全信息和事件管理(SIEM)與用戶行為分析(UBA)功能整合到一起。由于企業(yè)正在加速數(shù)字化轉(zhuǎn)型,客戶需要在整個(gè)價(jià)值鏈中查看威脅,以便在合適的時(shí)間專注于應(yīng)對(duì)威脅。埃森哲通過(guò)提供深入的行業(yè)特定解決方案幫助客戶提高網(wǎng)絡(luò)彈性,使用了Splunk ES中的Splunk用例庫(kù)和Splunk UBA中的高級(jí)異常評(píng)分。”
Hurricane Labs托管安全服務(wù)總監(jiān)Steve McMaster談到: “當(dāng)今企業(yè)想在網(wǎng)絡(luò)威脅中保持安全狀態(tài),那么數(shù)據(jù)分析就是安全戰(zhàn)略的核心。Splunk ES的事件排序和用例庫(kù)等新功能將為SOC提供直接價(jià)值,幫助更快查找并應(yīng)對(duì)威脅。我們非常期待通過(guò)擴(kuò)展的Splunk產(chǎn)品,并幫助客戶繼續(xù)采用分析驅(qū)動(dòng)型的安全方法。”
Splunk Phantom的SOAR技術(shù)讓客戶更智能地工作,獲得更快地響應(yīng),幫助SOCs協(xié)調(diào)任務(wù)并自動(dòng)化復(fù)雜的工作流程。憑借Splunk Phantom 4.0,客戶可以訪問(wèn)新的功能,有可幫助客戶擴(kuò)展其運(yùn)營(yíng)的群集支持;為分析師提供一種以威脅情報(bào)為中心的執(zhí)行調(diào)查,及改進(jìn)啟用的新指標(biāo)視圖,能通過(guò)Splunk Phantom在部署后的幾分鐘內(nèi)采取行動(dòng)。
Nutanix公司網(wǎng)絡(luò)安全高級(jí)總監(jiān)Sebastian Goodwin說(shuō):“數(shù)據(jù)是每個(gè)安全團(tuán)隊(duì)的數(shù)字黃金。如果想要憑借分析驅(qū)動(dòng)的安全方案來(lái)獲得領(lǐng)先優(yōu)勢(shì),就必須對(duì)獲得的數(shù)據(jù)采取行動(dòng)。Splunk Phantom是Nutanix 的SOC的重要組件,幫助我們?cè)谟行枰獣r(shí)自動(dòng)處理和響應(yīng)安全威脅。 Splunk Phantom的集群支持等新功能,將幫助我們不斷擴(kuò)展SOC并響應(yīng)威脅,尤其面對(duì)當(dāng)前瞬息萬(wàn)變的網(wǎng)絡(luò)威脅時(shí),這是必不可少的。”
在近一半的安全漏洞中,內(nèi)部人員或犯罪攻擊都是數(shù)據(jù)泄露的主要原因[1]。Splunk UBA 4.2進(jìn)一步擴(kuò)展了Splunk ES的功能,幫助分析師利用機(jī)器學(xué)習(xí)來(lái)發(fā)現(xiàn)內(nèi)部、外部威脅以及異常的用戶行為。Splunk UBA 4.2的新功能有用戶反饋學(xué)習(xí),增強(qiáng)了Splunk UBA異常模型評(píng)分,提高威脅檢測(cè)的嚴(yán)重程度和可信度;把數(shù)據(jù)攝取性能提高了2倍,從而提高了數(shù)據(jù)質(zhì)量。此外,還提供新的單點(diǎn)登錄身份驗(yàn)證支持,幫助SOC團(tuán)隊(duì)在其安全神經(jīng)中心維護(hù)合規(guī)訪問(wèn)控制。
全新的Splunk Adaptive Operations Framework
同時(shí),Splunk還宣布推出Splunk Adaptive Operations Framework (Splunk AOF)。Splunk AOF是基于Splunk Adaptive Response Initiative演變而來(lái),通過(guò)Splunk Phantom靈活的API驅(qū)動(dòng)型框架而得到強(qiáng)化,是業(yè)界最大的創(chuàng)新安全提供商社區(qū),致力于改進(jìn)網(wǎng)絡(luò)防御和安全運(yùn)營(yíng)。通過(guò)Splunk AOF,企業(yè)可以充分利用Splunk與240多種安全技術(shù),獲取任何來(lái)源的結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù),推動(dòng)分析支持的協(xié)調(diào)決策,并在SOC的各種技術(shù)中采取行動(dòng)。
Splunk ES 5.2和Splunk UBA 4.2將于2018年10月16日正式上市, Splunk Phantom即日起可免費(fèi)下載。欲了解關(guān)于Splunk安全解決方案的更多信息,請(qǐng)?jiān)L問(wèn)Splunk網(wǎng)站。
關(guān)于Splunk
Splunk 公司(納斯達(dá)克股票代碼:SPLK)幫助企業(yè)通過(guò)數(shù)據(jù)提出問(wèn)題,獲取答案并快速采取行動(dòng),來(lái)實(shí)現(xiàn)業(yè)務(wù)價(jià)值。 企業(yè)使用市場(chǎng)領(lǐng)先的Splunk解決方案和機(jī)器學(xué)習(xí)技術(shù),來(lái)監(jiān)測(cè)、調(diào)查并處理各類(lèi)業(yè)務(wù)、IT,安全和物聯(lián)網(wǎng)方面的數(shù)據(jù)。馬上成為數(shù)百萬(wàn)熱情用戶中的一員,并訪問(wèn):https://www.splunk.com/zh-hans_cn,免費(fèi)試用Splunk解決方案。