产品功能详细信息

Splunk Phantom

利用安全协调、自动化和响应来驾驭您的安全投资。

剧本自动化

可视化剧本编辑器

Phantom 可视化剧本编辑器 (VPE) 允许开发人员和非开发人员轻松构建和定制复杂的 Phantom 剧本。当以图形方式构建剧本时,VPE 会在幕后实时生成所有支持代码。高级用户可以使用 VPE 界面启动新的剧本,然后过渡到集成的 Python 剧本编辑器和调试器来对其进行微调。

剧本画布和功能块

VPE 允许您使用描述操作顺序的功能块和连接器创建剧本。创建新功能块时,您会看到所有可能的功能块类型,这是剧本中的下一步。您可以:定义安全操作来执行、过滤数据、使用编码逻辑做出决策、提示用户输入或确认、调用另一个剧本等等。

协作、响应和管理

任务控制

任务控制将事件数据和 SOC 工具整合到一个统一的视图中。作为 Phantom 平台事件和案例管理功能的一部分,任务控制使分析师能够有效理解、调查、决定和处理事件。通过该界面,可以访问所有事件活动历史记录、上下文和交互式数据视图、附件的数字保险库,以及完全集成的自动化和案例管理控件。任务控制旨在使您能够快速围绕事件数据旋转,消除不同屏幕和工具之间的不断切换。

任务指导

任务指导是一个智能助手,完全集成到任务控制中。它提供相关建议来帮助调查、控制、消除安全事件并从安全事件中恢复,从而支持安全运营分析师工作。它通过将安全事件数据映射到您当前配置的 SOC 工具和剧本来工作。任务指导建议有助于指导经验尚浅的分析师采取步骤,并验证较有经验的分析师的选择。

活动提要

任务控制界面中的活动提要显示了对当前显示的事件采取行动的所有当前和历史行动以及剧本活动。这允许您快速查看事件的所有自动化操作的成功、持续执行和结果。活动提要还提供团队协作功能,这些功能与自动化详细信息和其他数据集成在一起,形成所有相关事件信息的记录。

案例管理

案例管理完全集成到任务控制中,使您可以轻松地将经过验证的事件提升到案例。它还允许继续访问任务控制中可用的所有工具、功能和数据。案例管理通过添加映射到您定义的标准操作过程 (SOP) 的案例任务来扩展任务控制。此外,案例管理可以完全访问 Phantom 自动化引擎,允许您在任务中启动操作和剧本。

案例模板

案例模板允许您将 SOP 编入案例管理工作流程。Phantom 支持自定义和行业标准模板,例如用于事件响应的 NIST-800-61 模板。您可以将任务分为几个阶段(例如,检测、分析、控制、根除和恢复),将任务分配给团队成员,记录工作等。您还可以将自动化操作和剧本直接嵌入到您定义的模板中。

--

工作原理

关键概念

了解与 Phantom 平台上的安全编排、自动化和响应相关的关键概念。

数据源

使用任何类型和来源的安全数据来触发 Phantom 的操作,例如事件、威胁指示、漏洞、电子邮件等。Phantom 使您可以完全访问安全数据的内容,以便自动制定决策。

您可以将数据推送到 Phantom,也可以从许多外部支持的 SIEM 或分析工具中提取数据。

剧本

剧本是您的安全运营团队 (SecOps) 工作计划的代码化编纂。在实践中,它们是 Phantom 为执行您的任务而解释的高级 Python 脚本。剧本与 Phantom 平台及其所有功能挂钩,以便执行操作,确保围绕安全操作进行可重复和可审计的流程。

剧本

操作是 Phantom 在剧本中使用的高级原语。Phantom 集成了 225 多个应用程序和 1200 多个 API。示例包括:

  • 引导文件
    在受支持的沙箱中引导文件
  • 地理定位 IP
    对给定的 IP 地址执行地理定位查找
  • 寻找文件
    在端点上查找特定文件
  • 阻止 URL
    在边界设备上阻止URL
  • 隔离设备
    通过 NAC 断开设备与网络的连接

资产

资产是您与 Phantom 平台集成的安全和基础架构资产。示例包括:防火墙、端点产品、信誉服务、沙箱、目录服务和 SIEM。

--

应用程序

与流行的看法相反,Lor em Ipsum 不仅仅是随机文本。它源于经典之作。LOL

Phantom 应用程序通过集成第三方安全产品和工具来扩展平台。大多数安全技术都具有 RESTful API、命令行界面或其他管理界面,允许 Phantom 应用程序连接和执行动作。应用程序将它们支持的一组动作公开给 Phantom 平台。

SIEM

将安全情报和事件管理 (SIEM) 工具中的高保真事件摄取到 Phantom 平台,以触发自动化和分析师驱动的工作流程。示例包括:Splunk Enterprise Security、 IBM QRadar Arcsight ESM

威胁情报服务

以编程方式或手动查询威胁情报服务以获取上下文信息,从而帮助制定决策。示例包括:VirusTotal、Recorded Future Palo Alto Networks AutoFocus

端点检测和响应

通过将 Phantom 与端点检测和响应 (EDR) 工具集成,实施您的安全策略决策。示例包括:Carbon Black、Crowdstrike、McAfeeSymantec

--