Splunk Security Enterprise - Linux Polska Open Source Company
Home / Blog / Splunk Enterprise Security

Splunk

Splunk Enterprise Security

30/11/2016
Podziel się

Splunk Enterprise Security (ES) obok Splunk IT Service Intelligence (ITSI) i Splunk User Behavior Analytics (UBA) należy do rodziny produktów Splunk premium. ES jest rozwiązaniem Security Information and Event Management (SIEM) dedykowanym wszystkim zespołom bezpieczeństwa IT, w szczególności jednostkom Security Opetration Center (SOC) oraz zespołom reagowania na incydenty bezpieczeństwa (CERT/CSIRT). ES może być wykorzystywany w czterech głównych obszarach:

  • monitorowanie i detekcja;
  • analiza wykrytych anomalii i incydentów;
  • definiowanie działań naprawczych;
  • raportowanie i weryfikacja zgodności z normami, np. PCI DSS.

W poniższym tekście zostaną przedstawione tylko niektóre z wielu funkcjonalności, którymi dysponuje ES. Produkt zawiera ponad 100 gotowych dashboardów znakomicie odzwierciedlających poziom bezpieczeństwa IT organizacji oraz prawie 350 raportów, które oprócz prezentowania danych mogą służyć do definiowania alarmów.

Splunk Enterprise a Splunk Enterprise Security

Splunk Enterprise stanowi platformę do operacji związanych z danymi maszynowymi i jest wymagany przez Enterprise Security. Splunk Enterprise odpowiada za zbieranie (indexowanie) logów ze źródeł danych, ich przechowywanie i przeszukiwanie ad-hoc. Splunk Enterprise jest platformą, na której uruchamiane są pozostałe aplikacje. ES jest właśnie jedną z nich.

Enterprise Security jest dedykowaną platformą SIEM, która zawiera:

  • predefiniowane modele prezentacji danych (dashboardy) i raporty
  • wspomaganie reagowania na incydenty i zarządzanie nimi
  • szacowanie poziomu ryzyka/zagrożenia
  • identyfikacja anomalii w oparciu o statystykę
  • zarządzanie tożsamością oraz elementami infrastruktury

ES może być wykorzystywany do wykrywania istotnych zdarzeń z punktu widzenia bezpieczeństwa IT, dostarczać informacji o nowych zagrożeniach (threat intelligence), wykonywać szacowanie ryzyka monitorowanych zasobów i pełnić rolę źródła informacji o elementach infrastruktury w organizacji.

W najnowszej wersji Splunk Enterprise Security została wprowadzona funkcjonalność Adaptive Response, czyli możliwość dynamicznych zmian w infrastrukturze w oparciu o monitoring, np. zablokowanie ruchu sieciowego ze stacji roboczej na której zostało wykryte szkodliwe oprogramowanie. Dzięki temu możliwe jest znaczące usprawnienie procesu reagowania na incydenty.

Poniżej prezentujemy niektóre z możliwości Splunk Enterprise Security i zachęcamy do wypróbowania Splunk Enterprise Security w wersji sandbox: RejestracjaFAQ

Informacje o monitorowanej infrastrukturze
Wykryta aktywność malware
Centrum wykorzystania protokołów sieciowych
Zobacz również
Autor

Linux Polska

Linux® Polska – jesteśmy polską spółką IT, której misją jest wspieranie klientów w pokonywaniu barier technologicznych i transformacji IT. Koncentrujemy się na innowacyjności, rozwoju kompetencji własnych oraz transferze wiedzy do zespołów klienta. Projektujemy i tworzymy rozwiązania open source w obszarach: migracja do open source, konteneryzacja aplikacji, hybrid cloud, DevOps, bazy danych, middleware, automatyzacja. Prowadzimy działalność badawczo-rozwojową i rozwijamy produkty własne w obszarze data science. W zakresie naszej aktywności znajdują się usługi konsultingowe, wdrożeniowe i utrzymaniowe w wymienionych dziedzinach. Współpracujemy ze światowymi liderami IT takimi jak: Red Hat, IBM, EnterpriseDB, Splunk, Docker, Hortonworks (Cloudera), DXC Technology, Microsoft, Puppet, Suse, Oracle, DataStax, Zabbix czy Canonical. Uzupełnieniem naszej działalności są szkolenia i warsztaty techniczne – zarówno autoryzowane, jak i autorskie. Zespół posiada ponad 500 indywidualnych certyfikacji.

Podziel się

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

    Skontaktuj się z nami