SIEM для обеспечения безопасности на основе аналитики

Splunk Enterprise Security (ES) — система управления информационной безопасностью и событиями (англ. Security and information event management, SIEM), которая формирует подробную картину машинных данных, создаваемых различными технологиями безопасности (сеть, конечные точки, доступ, вредоносные программы, уязвимость и удостоверения). Благодаря Splunk Enterprise Security специалисты по безопасности смогут быстро обнаруживать внутренние и внешние атаки и принимать ответные меры. Это позволяет упростить операции по защите от угроз, минимизировать риск и обеспечить безопасность вашего бизнеса. Splunk Enterprise Security оптимизирует все аспекты защиты и подходит для организаций любого масштаба и профессионального уровня.

Используется Splunk ES для постоянного мониторинга в реальном времени, быстрого реагирования на инциденты, в качестве операционного центра защиты или для руководителей, которым требуются сведения о деловых рисках, это решение позволяет настроить поиск корреляций, оповещения, отчеты и панели мониторинга с учетом ваших потребностей.

Splunk Enterprise Security помогает организациям в следующем.

  • Мониторинг в реальном времени — получение четкого и наглядного представления о состоянии безопасности организации, удобная настройка представлений и детализация данных вплоть до базовых событий.
  • Назначение приоритетов и принятие мер — представление данных в контексте безопасности для расширения возможностей обнаружения угроз и оптимизации реагирования на инциденты.
  • Быстрое расследование — использование ситуативного поиска, а также статических, динамических и визуальных корреляций для обнаружения вредоносных действий.
  • Многоэтапные расследования — анализ нарушений и следственный анализ для выявления динамических действий, связанных со сложными угрозами.
  • Решение Splunk ES может быть развернуто в виде программы или облачной службы, в общедоступном или частном облаке, а также в гибридной программно-облачной среде
Начало работы
  • Возможности продукта Splunk Enterprise Security
  • Краткий обзор продукта Splunk Enterprise Security
  • Вебинар Не надо действовать вслепую. Как компания Illumina использует Splunk в качестве SIEM
  • Официальная публикация Использование Threat Intelligence с помощью Splunk Enterprise Security
  • Демонстрация
    Threat Intelligence
  • Бесплатная онлайн-песочница Splunk Enterprise Security
 
Логотип cedarcrestoneБыстрое повышение уровня безопасности

«Выбрав Splunk в качестве решения SIEM, мы легко собираем данные и быстро получаем результаты. Splunk Enterprise Security оперативно собирает ценные данные для принятия решений, которых раньше у нас просто не было».

– Кристофер Лаксдаль (Kristofer Laxdal), начальник управления информационной безопасностью, компания CanDeal

Ознакомиться с практическим примером

Splunk Enterprise Security

Splunk Enterprise Security запускается в среде Splunk® Enterprise или Splunk Cloud. Решение Splunk ES может быть развернуто в виде программы или облачной службы, в общедоступном или частном облаке, а также в гибридной программно-облачной среде.

значок ускоренного импорта данных

Улучшение операций по обеспечению безопасности

Ускоренное реагирование на инциденты и демонстрация соответствия требованиям с помощью обширного набора встроенных панелей мониторинга, визуальных таблиц, отчетов и процессов реагирования на инциденты, включая оценки рисков, быстрый поиск, аналитику, корреляции и индикаторы безопасности.
значок упрощенной аналитики

Повышение уровня безопасности

Оптимизация процессов мониторинга безопасности, расстановки приоритетов, реагирования, сдерживания и восстановления путем анализа всех машинных данных для оценки воздействия оповещений или инцидентов.
значок проверенной масштабируемости

Назначение приоритетов событиям безопасности и расследованиям

Улучшение процесса принятия решений и разработка стратегии устранения рисков с учетом требований бизнеса путем применения оценок рисков к любому событию, активу, поведению или пользователю в зависимости от их относительной важности или ценности для бизнеса.
значок централизованного управления

Выявление внутренних и сложных угроз

Проверка привилегированного доступа и обнаружение необычной деятельности путем использования данных об отклонениях, выявленных приложением UBA, а также применения пользовательского контекста и контекста активов ко всем машинным данным для мониторинга пользователей и активов.
значок мошенничества

Принятие более обоснованных решений

Более эффективное расследование инцидентов и нарушений защиты, оценка их масштаба на основе данных об угрозах из разных источников, включая бесплатные каналы анализа угроз, подписки на услуги сторонних поставщиков, правоохранительные органы, FS-ISAC, STIX/TAXII, Facebook ThreatExchange, а также другие внутренние и общедоступные источники.
значок ускоренного импорта данных

Использование Threat Intelligence

Аналитические данные по угрозам из нескольких источников можно объединять, дедуплицировать и назначать им веса. Это позволяет использовать широкий спектр индикаторов компрометации для всех аспектов мониторинга, оповещений, отчетности, расследований и криминалистического анализа.
значок упрощенной аналитики

Мониторинг в реальном времени

Выявление необычных действий, которые могут быть признаками сложных угроз, с помощью статистического анализа, отклонений, выявленных приложением UBA, поиска корреляций, динамических пороговых условий и средств обнаружения отклонений от нормы.
значок удобного развертывания

Оптимизация реагирования на инциденты

Оптимизация расследований динамических, многоэтапных атак благодаря возможности визуализировать информацию об атаках и, следовательно, лучше понять ситуацию, а также выстроить последовательную цепочку различных событий для быстрого определения дальнейших действий.
Значок операционной эффективности

Повышение операционной эффективности

Автоматическое и полуавтоматическое принятие решений поможет клиентам ускорить расследование и принятие мер с полным контекстом в программе Adaptive Response.
Значок понимания показателей безопасности

Понимание значения показателей безопасности

Упрощение анализа благодаря логическим или физическим представлениям визуальных таблиц, позволяющим лучше понять влияние основных показателей безопасности, включая доступ, DNS, идентификацию, электронную почту, IDS, лицензирование, вредоносное ПО, важные события, производительность, риски, SSL, вредоносные действия, трафик, UBA, обновления, уязвимости и сетевая активность.

Спросите эксперта

 

Гириш Бхат (Girish Bhat)

 

Специализация: Использование Splunk в сфере безопасности, примеры использования Splunk Enterprise Security, Splunk как технология SIEM, технология SIEM в облаке.

 

Свяжитесь с нами
Специалист по безопасности предприятий