Хабрахабр

Зачем вам нужен Splunk? Аналитика событий безопасности

Какие внутренние угрозы есть у организации? Было ли нарушение информационной безопасности предприятия? В этой статье мы расскажем, как вам может помочь Splunk в поиске ответов на эти вопросы.
Этой статьей мы продолжаем цикл статей о том, для решения каких задач можно использовать Splunk и сегодня мы будем подробнее разбираться с тем, как можно использовать Splunk для аналитики событий безопасности. Как и насколько быстро мы можем обнаружить, заблокировать или остановить атаку?

В реалиях сегодняшнего дня предприятиям уже недостаточно простого мониторинга традиционных событий, им нужны решения, способные адаптироваться к современным угрозам, ускоряющие скорость реагирования на инциденты и дающие возможность выявлять и устранять известные и неизвестные угрозы.

Давайте разберемся подробнее, какие задачи решает Splunk для обеспечения безопасности:

Мониторинг в реальном времени

Splunk позволяет получать четкое и наглядное представления о состоянии безопасности организации в текущий момент, а также содержит удобную настройку представлений и детализацию данных вплоть до базовых событий. Ускорение реакции является сложной задачей в современных сложных ИТ-средах. А также Splunk предоставляет аналитикам инструменты для определения приоритетов для более быстрого реагирования на угрозы с более высоким приоритетом. Использование непрерывного мониторинга, статических и динамических поисков или визуальных корреляций для определения вредоносной активности сокращает время реагирования.

Обнаружение сложных угроз

Взаимосвязи определяются по любому полю, любым данным и на любом временном интервале. С помощью Splunk можно отслеживать разные стадии сложной угрозы и объединять взаимосвязанные события. Splunk позволяет аналитикам безопасности применять расширенный статистический анализ и методы машинного обучения для выявления выбросов и аномалий, которые позволяют выявить неизвестные и сложные угрозы.

Внутренние угрозы

С помощью Splunk можно определить неправильное использование разрешений, аномальное поведение, даже в случае использования законных учетных записей, уровней доступа или источников. Splunk служит для выявления злонамеренных действий сотрудников и других внутренних угроз до того, как произойдет кража конфиденциальных данных, их повреждение или злоупотребление полномочиями. А накапливаемые данные о различных действиях пользователя позволяют основывать исследования на исторических данных. Например, чрезмерно длительные сеансы, нестандартное время или входа. В Splunk возможна интеграция с Active Directory или базами данных HR для получения информации о сотрудниках.

Расследование инцидентов

Это достигается с помощью поиска и нахождения корреляций по ключевым словам, терминам или значениям для различных сетевых устройств, хостов, считывателей и т.д. Splunk позволяет анализировать инциденты для определения обстоятельств и масштабов инцидента. Для аналитиков безопасности это дает широкий контекст инцидента, что помогает быстрее и лучше оценивать уровень угрозы, определять причины и следствия.

Автоматизация гетерогенных систем

Как правило, они не предназначены для совместной работы и содержат пробелы в вопросах работы специалистов по безопасности по установке связей между разными доменами. Архитектуры безопасности обычно включают в себя различные уровни инструментов и продуктов. Splunk устраняет эти пробелы, обеспечивая единый интерфейс для автоматического извлечения данных, что позволяет строить комплексную аналитику и реагировать на угрозы в средах с продуктами разных поставщиков.

Обнаружение мошенничества

С помощью поиска и анализа данных в реальном времени, обнаружения и исследования выбросов и аномалий на основе исторических данных можно выявить мошеннические действия, определить влияние и масштаб мошенничества.

Обзор основных готовых решений:

Splunk Enterprise Security

Security and information event management, SIEM), которая формирует подробную картину машинных данных, создаваемых различными технологиями безопасности (сеть, конечные точки, доступ, вредоносные программы, уязвимость). Splunk Enterprise Security (ES) — система управления информационной безопасностью и событиями (англ. Это позволяет упростить операции по защите от угроз, минимизировать риск и обеспечить безопасность бизнеса. Благодаря Splunk Enterprise Security специалисты по безопасности могут быстро обнаруживать внутренние и внешние атаки и принимать ответные меры. Splunk Enterprise Security оптимизирует все аспекты защиты и подходит для организаций любого масштаба и профессионального уровня.

Видео-обзор можно посмотреть тут

Организации по всему миру используют Splunk Enterprise Security (ES) в качестве SIEM для мониторинга безопасности, расширенного обнаружения угроз, реагирования на инциденты и использования широкого спектра аналитических приложений для анализа безопасности.

Осенью 2017 года Gartner опубликовал свой магический квадрант по рынку решений по управлению информационной безопасности и событиями безопасности, где Splunk был назван одним из лидеров на этом рынке.

Splunk User Behavior Analytics

Таким образом организации могут обнаруживать постоянные угрозы повышенной сложности (advanced persistent threat, APT), заражения вредоносными программами и внутренние угрозы. Splunk User Behavior Analytics (Splunk UBA) помогает компаниям находить скрытые угрозы и аномальное поведение пользователей, устройств и приложений с помощью алгоритмов машинного самообучения, аналитики базовых линий поведения пользователей и одноранговых групп. Splunk UBA обеспечивает рабочие процессы аналитиков и разработчиков процедур безопасности, требует минимума администрирования и интегрируется с существующей инфраструктурой для обнаружения скрытых угроз.

Видео–обзор по этой ссылке

PCI Compliance

2. Приложение Splunk для PCI Compliance (для Splunk Enterprise) — это разработанное и поддерживаемое Splunk приложение, призванное помочь организациям удовлетворить требованиям PCI DSS 3. Оно также может определять и устанавливать приоритеты в любых областях управления, которые могут потребоваться, и вы также можете быстро обратиться к любому отчету или запросу данных. С помощью приложения анализируются и измеряются эффективность и статус соответствия PCI в режиме реального времени.

Приложение предоставляет готовые поисковые запросы, информационные панели, отчеты, инфраструктуру реагирования на инциденты и интеграцию с информацией о сотрудниках и устройствах, чтобы обеспечить вам видимость активности системы, приложений и устройств, относящихся к соблюдению PCI.

Видео-обзор можно посмотреть тут

А если у вас есть вопросы или проблемы со Splunk — вы можете задать их нам, а мы поможем. Если вы все еще не пробовали Splunk, то самое время начать, бесплатная версия до 500Мб в сутки доступна всем желающим.

Мы являемся официальным Premier Партнером Splunk.

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть