Splunk Enterprise Security для захисту Вашого бізнесу

Cистема управління інформаційною безпекою та подіями для забезпечення безпеки на основі аналітики

Splunk Enterprise Security (ES) – система управління інформаційною безпекою та подіями (англ. Security and information event management, SIEM), яка формує детальну картину машинних даних, що створюються різними технологіями безпеки (мережа, кінцеві точки, доступ, шкідливі програми, вразливість і посвідчення ). Завдяки Splunk Enterprise Security фахівці з безпеки зможуть швидко виявити внутрішні і зовнішні атаки та прийняти відповідні заходи. Splunk Enterprise Security дозволяє спростити операції по захисту від загроз, мінімізувати ризик і забезпечити безпеку вашого бізнесу. Рішення оптимізує всі аспекти захисту та підходить для організацій будь-якого масштабу і професійного рівня, дозволяє зробити пошук кореляцій, оповіщення, звіти і панелі моніторингу з урахуванням ваших потреб.

Splunk ES використовується для постійного моніторингу в реальному часі, швидкого реагування на інциденти, в якості операційного центру захисту або для керівників, яким потрібні відомості про ділових ризики.

Splunk Enterprise Security допомагає організаціям в наступному.

  • Моніторинг в реальному часі – отримання чіткого і наочного уявлення про стан безпеки організації, зручна настройка уявлень і деталізація даних аж до базових подій.
  • Призначення пріоритетів і вжиття відповідних заходів – представлення даних в контексті безпеки для розширення можливостей виявлення загроз і оптимізації реагування на інциденти.
  • Швидке розслідування – використання ситуативного пошуку, а також статичних, динамічних та візуальних кореляцій для виявлення шкідливих дій.
  • Багатоетапні розслідування – аналіз порушень і наслідковий аналіз для виявлення динамічних дій, пов’язаних з загрозами.

Splunk Enterprise Security

Splunk Enterprise Security запускається в середовищі Splunk Enterprise або Splunk Cloud. Рішення Splunk ES може бути розгорнуто в вигляді програми або хмарної служби, в загальнодоступному або приватному а також в гібридному програмно-хмарному середовищі.

Поліпшення операцій по забезпеченню безпеки

Прискорене реагування на інциденти і демонстрація відповідності вимогам за допомогою великого набору вбудованих панелей моніторингу, візуальних таблиць, звітів і процесів реагування на інциденти, включаючи оцінки ризиків, швидкий пошук, аналітику, кореляції і індикатори безпеки.

Підвищення рівня безпеки

Оптимізація процесів моніторингу безпеки, розстановки пріоритетів, реагування, стримування і відновлення шляхом аналізу всіх машинних даних для оцінки впливу сповіщень або інцидентів.

Призначення пріоритетів подій безпеки та розслідувань

Поліпшення процесу прийняття рішень і розробка стратегії усунення ризиків з урахуванням вимог бізнесу шляхом застосування оцінок ризиків до будь-якої події, активу, поводженню чи користувачу в залежності від їх відносної важливості або цінності для бізнесу.

Виявлення внутрішніх і складних загроз

Перевірка привілейованого доступу і виявлення незвичайної діяльності шляхом використання даних про відхилення, виявлених додатком UBA, а також застосування користувальницького контексту і контексту активів до всіх машинним даним для моніторингу користувачів і активів.

Ухвалення більш обгрунтованих рішень

Більш ефективне розслідування інцидентів і порушень захисту, оцінка їх масштабу на основі даних про загрози з різних джерел, включаючи безкоштовні канали аналізу загроз, підписки на послуги сторонніх постачальників, правоохоронні органи, FS-ISAC, STIX / TAXII, Facebook ThreatExchange, а також інші внутрішні і загальнодоступні джерела.

Використання Threat Intelligence

Аналітичні дані по загрозам з декількох джерел можна об’єднувати, дедупліціровать і призначати їм ваги. Це дозволяє використовувати широкий спектр індикаторів компрометації для всіх аспектів моніторингу, оповіщення, звітності, розслідувань і криміналістичного аналізу.

Моніторинг в реальному часі

Виявлення незвичайних дій, які можуть бути ознаками складних загроз, за допомогою статистичного аналізу, відхилень, виявлених додатком UBA, пошуку кореляцій, динамічних граничних умов і засобів виявлення відхилень від норми.

Оптимізація реагування на інциденти

Оптимізація розслідувань динамічних, багатоетапних атак завдяки можливості візуалізувати інформацію про атаки і, отже, краще розуміти ситуацію, а також вибудувати послідовний ланцюжок різних подій для швидкого визначення подальших дій.

Підвищення операційної ефективності

Автоматичне і напівавтоматичне прийняття рішень допоможе клієнтам прискорити розслідування і вжиття заходів з повним контекстом в програмі Adaptive Response.

Розуміння значення показників безпеки

Спрощення аналізу завдяки логічним або фізичним уявленням візуальних таблиць, що дозволяє краще зрозуміти вплив основних показників безпеки, включаючи доступ, DNS, ідентифікацію, електронну пошту, IDS, ліцензування, шкідливе ПЗ, важливі події, продуктивність, ризики, SSL, шкідливі дії, трафік, UBA , поновлення, вразливості і мережеву активність.

Огляд Splunk Enterprise Security

Панель моніторингу безпеки

Панель моніторингу безпеки забезпечує постійний моніторинг і швидку оцінку ситуації, відстежуючи основні індикатори та метрики безпеки за даними з різних джерел (посвідчення, доступ, шкідливі програми, кінцеві точки і аналіз загроз). Всі аспекти джерел даних, основні індикатори та візуальні уявлення налаштовуються і адаптуються з урахуванням робочих процедур організації. За допомогою інтерфейсу типу «вкажи і клацни» можна використовувати вбудовані процеси і дії прямо з графічного дисплея.

Аналіз інцидентів

Швидко классифицируйте події, розставляйте пріоритети незвичайних подій і реагуйте на них, визначаючи пріоритет інциденту і порушені вузли. Отримуйте дані про контекст інциденту та використовуйте будь-який атрибут інциденту для пошуку додаткових індикаторів і відповідних подій. Фахівці з безпеки можуть співпрацювати і використовувати єдине уявлення про всі дії, пов’язані з  інцидентом, а також аналізувати вихідні дані і переглядати журнал дій, пов’язаних з інцидентом.

Аналізатор активів

Аналізатор активів дає можливість візуально корелювати дії на пристроях, що використовують різні технології. Можна задати тимчасові рамки і скласти сценарій на основі подій, а потім створити пошукові запити для виявлення цих подій або поділитися сценарієм з іншим членом групи.

Дії загроз

Панель моніторингу дій загроз забезпечує прямий доступ до подій, які корелюються з усіма джерелами аналітичних даних по загрозам: підписки на послуги сторонніх постачальників, правоохоронні органи, внутрішні і загальнодоступні джерела. Ця панель показує тенденції, дії користувачів і події для вузлів, пов’язані з аналітичними даними за загрозам. Використовуйте аналіз загроз в якості відправної точки робочого процесу або для різних аспектів моніторингу, звітності та розслідування.

Засоби для розслідування

Журнал аналізатора спрощує багатоетапні процеси аналізу і розслідування, дозволяючи зосередитися на відстеженні атак, в той час як система реєструє ваші пошукові запити, дії і нотатки, зроблені в ході розслідування. Всі важливі події, дії і замітки можна додати на тимчасову шкалу атак і розслідувань. Це дозволяє візуалізувати інформацію про атаки і краще зрозуміти ситуацію, а також вибудувати послідовний ланцюжок різних подій для швидкого визначення.

Аналіз даних протоколів

Protocol Intelligence забезпечує швидкий доступ до мережних даних і включає панелі з найважливішими полями з найбільш поширених протоколів. Дані надаються додатком Splunk App for Stream або засобами мережного розслідування. Вбудовані звіти з ключовими полями з мережними даними спрощують створення профілів для виявлення ознак незвичайної активності. Аналіз загроз застосовується до електронної пошти, DNS-запитів і відповідей, а також сертифікатів SSL для прискореного виявлення інцидентів і реагування.

Візуальні таблиці

Візуальні таблиці забезпечують призначену для користувача візуалізацію даних, яка відображає топологію, робочі процеси, послідовності виявлення, розслідування і реагування. Використовуйте панелі моніторингу та зведені уявлення у відповідному контексті з урахуванням Ваших вимог. Для створення візуальних таблиць доступний вибір з більш ніж 100 показників безпеки, включаючи важливі події.

Adaptive Response

Програма Adaptive Response підвищує ефективність експлуатації, а також оптимізує виявлення загроз та вжиття заходів завдяки використанню контексту робочого процесу для прийняття рішень – автоматичного і напівавтоматичного. Аналітики можуть як обробляти дії реагування автоматично, так і аналізувати їх індивідуально, щоб можна було отримати додатковий контекст або вжити необхідних заходів в системі безпеки, де наявні продукти різних постачальників.

Ви можете замовити консультацію або тестування будь-якого рішення від компанії Splunk:

Замовити рішення

Пишіть нам, і ми проконсультуємо Вас, проведемо у Вас пілотний проект, надамо Вам інформацію про всі ціни і терміни виконання робіт та захистимо Вашу інформацію!

Отримати додаткову інформацію Ви можете також за номерами +380 50 705 8224 та +380 67 589 42 70 або по електронній пошті sales@mogroup.com.ua

Даний матеріал підготовлений спеціалістами MO Group на базі публікацій закордонної преси.

Об авторе: Anastasia

оставьте ответ

Ваш электронный адрес не будет опубликован.