Splunk Enterprise Security (ES) obok Splunk IT Service Intelligence (ITSI) i Splunk User Behavior Analytics (UBA) należy do rodziny produktów Splunk premium. ES jest rozwiązaniem Security Information and Event Management (SIEM) dedykowanym wszystkim zespołom bezpieczeństwa IT, w szczególności jednostkom Security Opetration Center (SOC) oraz zespołom reagowania na incydenty bezpieczeństwa (CERT/CSIRT). ES może być wykorzystywany w czterech głównych obszarach:
- monitorowanie i detekcja;
- analiza wykrytych anomalii i incydentów;
- definiowanie działań naprawczych;
- raportowanie i weryfikacja zgodności z normami, np. PCI DSS.
W poniższym tekście zostaną przedstawione tylko niektóre z wielu funkcjonalności, którymi dysponuje ES. Produkt zawiera ponad 100 gotowych dashboardów znakomicie odzwierciedlających poziom bezpieczeństwa IT organizacji oraz prawie 350 raportów, które oprócz prezentowania danych mogą służyć do definiowania alarmów.
Splunk Enterprise a Splunk Enterprise Security
Splunk Enterprise stanowi platformę do operacji związanych z danymi maszynowymi i jest wymagany przez Enterprise Security. Splunk Enterprise odpowiada za zbieranie (indexowanie) logów ze źródeł danych, ich przechowywanie i przeszukiwanie ad-hoc. Splunk Enterprise jest platformą, na której uruchamiane są pozostałe aplikacje. ES jest właśnie jedną z nich.
Enterprise Security jest dedykowaną platformą SIEM, która zawiera:
- predefiniowane modele prezentacji danych (dashboardy) i raporty
- wspomaganie reagowania na incydenty i zarządzanie nimi
- szacowanie poziomu ryzyka/zagrożenia
- identyfikacja anomalii w oparciu o statystykę
- zarządzanie tożsamością oraz elementami infrastruktury
ES może być wykorzystywany do wykrywania istotnych zdarzeń z punktu widzenia bezpieczeństwa IT, dostarczać informacji o nowych zagrożeniach (threat intelligence), wykonywać szacowanie ryzyka monitorowanych zasobów i pełnić rolę źródła informacji o elementach infrastruktury w organizacji.
W najnowszej wersji Splunk Enterprise Security została wprowadzona funkcjonalność Adaptive Response, czyli możliwość dynamicznych zmian w infrastrukturze w oparciu o monitoring, np. zablokowanie ruchu sieciowego ze stacji roboczej na której zostało wykryte szkodliwe oprogramowanie. Dzięki temu możliwe jest znaczące usprawnienie procesu reagowania na incydenty.
Poniżej prezentujemy niektóre z możliwości Splunk Enterprise Security i zachęcamy do wypróbowania Splunk Enterprise Security w wersji sandbox: Rejestracja, FAQ