产品功能详细信息

Splunk SOAR

更加智能的工作方式,更快的响应速度,并通过安全编排、自动化和响应实现 SOC 的更新换代
*前称 Splunk Phantom

Splunk SOAR 功能

splunk-soar-features splunk-soar-features

主仪表板

Splunk SOAR 的主仪表盘可提供所有数据和活动、值得注意的事件、行动手册、与其他安全工具的连接、工作负载、ROI 等信息的概览。

应用程序

Splunk SOAR 应用是 Splunk SOAR 和其他安全软件之间的集成点。Splunk SOAR 可通过此应用程序指导您的其他安全工具执行操作,比如指导 VirusTotal 检查文件信誉,或指导 Cisco Firewall 阻止某个 IP 地址。Splunk SOAR 的应用模型支持与 300 多种工具和 2000 多种不同操作的集成。查看可用应用。

行动手册

Splunk SOAR 行动手册可以机器速度实现安全和 IT 操作的自动化。行动手册可在数秒内在您的工具上执行一系列操作,如果手动执行操作,则需要几个小时甚至更长时间。Splunk SOAR 带有 100 个预先制作的现成行动手册,所以您可以立即开始实现安全任务的自动化。Splunk SOAR 的可视化行动手册编辑器可以让创建、编辑、实现和扩展自动化行动手册变得比以往任何时候都更加轻松,以帮助您的企业消除安全分析师的繁重工作。

*用户可以在原有水平可视化行动手册编辑器或 2021 年 8 月推出的垂直可视化行动手册编辑器中构建和编辑行动手册。

案例管理

Splunk SOAR 内置案例管理功能。您可以使用工作簿将标准操作过程编码为可重用模板。Splunk SOAR 支持自定义和行业标准工作簿,如用于事件响应的 NIST-800 模板。您可以将任务划分为多个阶段,将任务分配给团队成员,并记录您的工作。

事件管理

分析人员经常因为大量的安全事件苦不堪言。Splunk SOAR 可将多个来源的所有事件合并到一个位置,让事件管理变得轻松异常。分析人员可以对事件进行排序和筛选,以识别高保真度的突出事件,并对相应的操作进行优先排序。

移动设备

Splunk SOAR 的编排、自动化、响应、协作和案例管理功能还可以在移动设备上使用。

自定义功能

Splunk SOAR 的自定义功能允许在多个行动手册中共享自定义代码。

上下文操作启动

Splunk SOAR 应用程序有一个用于操作输入和输出的参数,叫做“contains”。该参数用于在 Splunk SOAR 用户界面中启用上下文操作。一个常见的例子是 contains 类型"ip"。这是平台提供的一个强大的功能,因为它允许用户将一个操作的输出作为输入链接到另一个操作。

安装/更新应用

Splunk SOAR 平台上一个常见的任务是安装一个新的应用,或更新现有应用。应用可通过整合第三方安全产品和工具对 Splunk SOAR 平台进行扩展。目前,我们可提供 350 多个可以立即访问的预制应用。

调查命令行

在 Splunk SOAR 调查页面上进行操作时,有几种运行操作的方法。 最简单的一种方法就是使用命令行,您可以在命令行中的事件中填写注释。 如果您以斜杠 (/) 开始,即可得到想要选择的操作的提示。

创建手动事件

如果尚未在 Splunk SOAR 实例上进行任何操作,您将在我们所说的 ROI 摘要的顶部位置看到零的现实。那么如何开始在 Splunk SOAR 中创建事件呢?您可以手动创建。

配置第三方工具

要开始使用 Splunk SOAR,您需要配置一个资产。资产是与 Splunk SOAR 平台集成的安全和基础设施资产,比如防火墙和端点产品。Splunk SOAR 可通过应用连接到这些资产。应用可通过集成第三方安全产品和工具对平台进行扩展。

Splunk SOAR 行动手册

splunk-soar-playbooks splunk-soar-playbooks

Crowdstrike 恶意软件分类

本行动手册将详细介绍 Splunk SOAR 自动执行的步骤,以便对从 Crowdstrike 摄取的文件哈希进行分类,并对可能受感染的设备进行隔离。

查找和禁用 AWS 上的非活动用户

Splunk SOAR 的编排、自动化、响应、协作和案例管理功能还可以在移动设备上使用。

Azure 新用户统计

了解如何使用 Splunk SOAR 实现帐户监控的自动化,以确保威胁实施者不会利用漏洞通过经过身份验证的帐户访问敏感信息。

可疑电子邮件域名扩充

本行动手册可使用 Cisco Umbrella Investigate 将风险得分、风险状态和域名类别添加到 Spunk SOAR 中的安全事件。将事件分配给分析人员时,它允许您更快地识别电子邮件的目的,域名扩充还将提供一个连接点,以便对输出内容采取进一步的操作。

您能使用 Splunk SOAR 做什么?