使用 Splunk 发现并阻止新兴威胁
Splunk Enterprise Security 帮助客户减少警报疲劳,加快安全成果,显著降低风险,并为代理 AI 时代增强弹性。
通过领先的 AI 驱动的 SecOps 平台缓解分析师的疲劳
解锁数据的全保真可见性
Enterprise Security 帮助您管理、搜索和分析每个域、云和设备中的数据,无论数据位于何处。凭借广泛的可见性、AI 驱动的检测和 AI 驱动的警报优先级排序,SOC 团队可以专注于真正的正面结果并快速响应高保真警报。
将 TDIR 整合为一个安全平台
通过集成了检测、调查和响应的端到端平台,消除信息孤岛和上下文切换。Enterprise Security 集中管理 SOC 工作流程,简化了从检测到修复的每个阶段——所有这些都在一个直观的工作区内完成。
使用 UEBA 检测内部威胁和零日攻击
Enterprise Security 使用机器学习驱动的用户和实体行为分析(UEBA)来识别异常和行为变化,从而帮助您的团队减少受损账户和资产。
实现整个 SOC 的自动化和上下文丰富化
通过安全编排、自动化和响应(SOAR)以及自动威胁丰富,使每个 SOC 成员都能利用自动化。简化调查,使用响应计划消除猜测,并确保响应的一致性。
利用 AI 驱动的工作流程帮助每位分析师大幅提升效率
为每位分析师配备人工智能,利用自然语言查询、引导式工作流、即时摘要和自动报告,最大限度地减少人工操作,加快调查速度,并更快地做出反应。
部署检测,可望缩短平均检测时间
Detection Studio* 提供完整的检测生命周期体验,使工程师能够无缝测试、部署和监控检测。衡量并增强与 MITRE ATT&CK® 框架相匹配的覆盖范围——这样,您的团队就能跟上不断变化的 TTP,并迅速采取行动以弥补检测漏洞。
*在 Alpha 可用时
深入了解 Enterprise Security 更多功能
基于风险的警报 (RBA)
加速威胁检测并优先响应
通过高保真威胁检测提升 SOC 的生产力,将警报量减少高达 90%。RBA 提高了真实阳性率,确保您的团队能够专注于最重要的威胁。
SOAR
通过自动化 TDIR 工作流程提升效率
Splunk SOAR 自动化安全工作流,减少人工操作、警报疲劳和响应时间。它与 Splunk Enterprise Security 无缝集成,赋能大规模 TDIR 自动化。
UEBA 风险和检测调优
定制机器学习模型和用户为中心的工作流程
调整机器学习和用户行为模型,以反映您的特定流程、政策、资产、用户角色和操作功能,从而增强检测和缓解内部及高级威胁的能力。
AI 助手
利用即时 AI 提供指导、查询、摘要和报告
获取即时、定制的调查指导、简化的查询创建、清晰的总结和自动化报告,为每位分析师提供工作流集成的 AI 助手。*
*在可行的情况下控制可用性
数据管理和联邦
简化安全团队的数据管理和访问
通过联合搜索和联合分析等高级管理功能实现无边界数据可见性,同时优化安全用例的成本,使 SOC 能够比以往更快地检测、调查和响应威胁。
| ES Essentials | ES Premier | |
|---|---|---|
| 包含的功能 | ||
| 安全监控 实时监控本地、混合云和多云环境,及早发现威胁并降低风险。 |
✓ | ✓ |
威胁检测 *在 Alpha 中可用时 |
✓ | ✓ |
| 威胁调查 使用集成平台结合高级搜索、关联和分析,揭示任何威胁的详细信息,以促进协作和高效的工作流程。 |
✓ | ✓ |
| 威胁搜寻 利用强大的搜索、关联、分析和威胁情报丰富功能来揭示隐藏和新出现的威胁。 |
✓ | ✓ |
| 自动化 通过每个分析师可用的 SOAR,自动执行任务、编排工作流程并运行可定制的剧本。 |
✓ | |
| 内部威胁检测 通过实时监控和高级机器学习,及早发现内部威胁,标记异常并触发高保真警报。 |
✓ | |
数据管理和联合* *可能会产生额外费用 |
✓ | ✓ |
常见问题
Splunk Enterprise Security (ES) 是一个集成的威胁检测、调查和响应(TDIR)平台,将安全工作流程简化为统一的体验。它集成了安全信息和事件管理(SIEM)、用于自动化的代理 AI 和 SOAR、UEBA 和 AI/ML 等功能,以提高检测准确性和响应速度。
Enterprise Security 通过将这些功能整合到统一界面,减少了低效率工作,消除了工具孤岛,并确保 SOC 团队能够更有效地检测、调查和应对威胁。
切换到 ES Premier 为现有的 Splunk 客户带来立竿见影的实质性好处。这些效益包括:
- 工具整合:将各种安全工具整合到一个统一的 TDIR 平台中,能够简化工作流程,并显著减少团队在管理事件时所面临的时间和复杂性。通过将不同的工具集成到统一的界面,客户可以消除上下文切换,减少手动步骤,并获得威胁和警报的集中视图。
- 集成的机器学习驱动 UEBA:客户可以深入了解异常用户和实体行为,以识别内部威胁、受损账户和高级方法(如零日攻击)。
- 为整个 SOC 提供 SOAR 功能:ES Premier 消除了以往对谁可以使用安全编排、自动化和响应(SOAR)的限制,使所有团队成员都可以使用自动化功能,无论其角色或资历如何。这确保每个 SOC 角色能够简化工作流程、丰富警报,并执行响应操作。
通过现在采用 ES Premier,客户可以减少运营低效、扩展其安全运营能力,并利用最新的 AI 驱动功能。
*在可行的情况下控制可用性。
截至今天,Enterprise Security 目前有两个版本供客户选择:Essentials 和 Premier。ES Essentials 不仅提供众所周知的 SIEM,还提供 AI Assistant for Security (AIA) 和 Detection Studio(如有)。
Splunk Enterprise Security Essentials 是一个安全信息和事件管理 (SIEM) 解决方案,十多年来一直处于市场领先地位。同时,Splunk Enterprise Security Premier 提供了远超 SIEM 的功能。ES Premier 是一个全新的统一平台,用于威胁检测、调查和响应,将 SIEM、UEBA、SOAR 和 AI 功能集成到一个平台中,以应对当今快速变化的安全环境。
Splunk Enterprise Security (ES) 利用代理 AI,通过逐步自主地自动化常规、低复杂度的任务,从而提高安全运营中心 (SOC) 团队的效率。这种方法允许 SOC 团队逐步增加 AI 的作用——从完全自动化的操作到需要批准的 AI 建议——同时保持人工监督。
ES 包含高级功能,例如恶意软件逆向分析,它可以自动逐行分解恶意脚本,提取入侵指标,标记规避技术,并对重复行为进行分组以加快分析速度。此外,还有一个分类代理,它评估、确定优先级并解释警报,帮助 SOC 团队专注于最关键的威胁。
借助自然语言命令,SOC 团队无需高级技术技能即可快速构建和定制自动化剧本和检测规则。通过简化警报丰富、分类、调查和恶意软件分析,ES 减轻了运营负担,使 SOC 分析师能够专注于高影响力的安全任务。
© 2005 - 2025 Splunk LLC All rights reserved.
© 2005 - 2025 Splunk LLC All rights reserved.