Splunk Enterprise Security (ES)

Splunk ES to dodatkowy moduł do rozwiązania Splunk Enterprise realizujący funkcje systemu klasy SIEM. Posiada wbudowane i gotowe do użycia pulpity nawigacyjne, schematy wyszukiwań oraz korelacji a także predefiniowane raporty. Aplikacja może pracować zarówno w sieci lokalnej, środowisku wielochmurowym jak i w modelu SaaS z wykorzystaniem chmury Splunk Cloud. Bez względu na model wdrożenia Splunk Enterprise Security zapewnia kompleksowy i spójny obraz monitorowanego środowiska dostarczając dane zarówno na potrzeby działów bezpieczeństwa, jak i kierownictwa firmy.

Wybrane obszary zastosowania Splunk Enterprise Security:

  • Analiza zagrożeń - Splunk ES prezentuje szereg wskaźników pozwalających określić stan bezpieczeństwa całego środowiska z uwzględnieniem informacji o taktykach i technikach wykorzystywanych przez intruzów.
  • Reagowanie na incydenty - Wbudowane workflowy ułatwiają zarządzanie procesem identyfikacji i obsługi incydentów, w tym przekazaniem odpowiednich informacji na potrzeby dalszej analizy lub informatyki śledczej. 
  • Monitorowanie aktywności użytkowników - wykorzystując zarówno dane o tożsamości użytkowników, jak i informacje pochodzące z procesu uwierzytelniania ostrzega o podejrzanych zachowaniach i naruszeniach reguł korporacyjnych, norm i przepisów prawa.

Najważniejsze funkcje rozwiązania Splunk ES:

  • Zbieranie danych z logów – Splunk gromadzi i analizuje wszystkie zapisy zdarzeń prezentując kompleksowy stan zabezpieczeń w czasie rzeczywistym. Pozwala to zespołom zajmującym się IT i bezpieczeństwem zarządzać logami z jednej centralnej lokalizacji, korelować dane (w tym dane historyczne) z wielu urządzeń oraz wykorzystać do analizy dane z innych źródeł (takich jak zmiany rejestru i logi ISA Proxy).
  • Stosowanie reguł korelacji w czasie rzeczywistym – analiza sekwencji zdarzeń ułatwia zbadanie wielu zdarzeń związanych z bezpieczeństwem i zawężenie działań do obszarów tych, które faktycznie mają znaczenie dla funkcjonowania organizacji.
  • Analiza predykcyjna - wykorzystanie technik uczenia maszynowego umożliwia wykrycie wzorców na podstawie danych historycznych oraz wykorzystania ich na potrzeby przewidywania i identyfikacji potencjalnych zagrożeń.
  • Przechowywanie danych historycznych - Splunk przechowuje dane historyczne danych z logów przez długi okres. Pomaga spełnić wymagania dotyczące zgodności z przepisami powszechnie obowiązującego prawa. Dostęp do historycznych danych maszynowych umożliwia analitykom przeprowadzanie analiz bezpieczeństwa związanych z przeszłymi przestępstwami, na przykład w celu śledzenia trasy ataku.
  • Wyszukiwanie i raportowanie ustrukturyzowanych danych – Splunk ES umożliwia stworzenie dowolnych modeli danych. Wyniki analiz i wyszukiwań mogą być następnie zapisane w formie raportów i tabeli przestawnych, wykorzystywane do konfigurowania alertów oraz prezentowane na pulpitach nawigacyjnych.
  • Wyszukiwanie i raportowanie nieustrukturyzowanych danych - Splunk ES może zostać zasilony danymi surowymi niemal z każdego źródła. Dane te można wykorzystać w analizach i raportach dystrybuowanych bezpośrednio z platformy SIEM do odpowiednich osób.
  • Przetwarzanie danych kontekstowych – analizy uwzględniające kontekst ograniczają liczbę fałszywych alarmów i ułatwiają priorytetyzację. Splunk ES jest w stanie dodać kontekst do analizy zagrożeń zewnętrznych, wewnętrznych operacji IT i wzorców zdarzeń.

Pobierz dodatkowe materiały

obejrzyj_webinar.png
Nagranie z webinarium: Splunk w praktyce zespołów ds. bezpieczeństwa IT
Obejrzyj nagranie
datasheet_template.jpg
Datasheet: Rozwiązania Splunk w ofercie Passus SA
Pobierz datasheet

Masz pytania?


passus@passus.com

+48 695 444 803