产品公告
Exposure Analytics 是 Splunk Enterprise Security 中的一项功能
Splunk Enterprise Security (ES) 可通过与代理式 AI、SOAR、UEBA 和 SIEM 无缝集成的统一 SecOps 平台为客户带来全新体验。
Splunk Enterprise Security
Exposure Analytics
自动发现实体,通过实时上下文加速调查。
工作原理
获得各实体的可见性和见解
通过自主实体发现实现最大的可见性
消除盲点。利用现有的 Splunk 数据,自动维护当前的实体清单。消除过时、不准确或不完整的实体信息,获得资产攻击面的实时可见性。
通过即时的实体感知调查加快响应速度
从数据收集转向决策。通过自动丰富每个警报的历史归因和实体关系,逐步将用户与设备关联起来,从而弥合识别差距。通过在警报触发的瞬间提供“何人、何事、何时、何地”的背景信息,分析师可以消除手动研究循环,并缩短平均解决时间 (MTTR)。
通过战略性风险智能掌控攻击面
在关键风险暴露升级为安全事件之前识别并强化这些关键风险敞口,进而打破被动安全业务循环。通过将动态实体风险评分与深度攻击面可见性相结合,您的团队可以通过 Exposure Analytics 精准定位安全漏洞并实时修复漏洞,从而确保您可以主动弥补覆盖范围的不足,并增强您的环境抵御下一代威胁的韧性。
功能
深入了解 Exposure Analytics 各项功能
为分析人员提供所需的上下文信息,帮助他们更快地了解事件,并从容不迫地迅速采取行动。
自主发现实体
停止手动跟踪。使用 Splunk 中已摄取的安全数据,自动构建每个工作站、服务器和云资产的实时清单。
跟踪实体历史和归因
阅读完整案例。对资产变动和用户行动保持具有时间戳的连续记录,以识别异常情况并了解实体的状态演变情况。
映射短期资产和影子资产
快速识别当前安全管理工具或扫描工具未覆盖的短期云资产和影子设备。加强威胁检测,最大限度地减少攻击面,确保整个环境的全面可见性和丰富上下文。
探索攻击面
发现整个环境中不断变化发展的实体驱动连接。通过可视化工具显示并发现资产与用户之间的关系,以及相关发现和风险敞口。
通过战略见解加强安全状态
利用全新“实体发现和实体分析”视图中的可操作情报,并发现安全管理方面的差距,以应对新出现的风险并修复暴露或漏洞。
常见问题 (FAQ)
Exposure Analytics 可自动收集和关联来自现有数据源的数据,以持续发现和了解整个环境中的所有资产、用户及其关系。然后,它可以提供实时可见性、详细分析和易于使用的可视化功能,使安全团队能够快速识别风险并调查事件。开始使用时,客户可在 Splunk Enterprise Security 配置管理中的 Exposure Analytics 部分下找到实体发现,然后开始添加发现数据源。
Exposure Analytics 会(通过逻辑)收集并评估与资产和身份相关的字段值,如 IP 地址、MAC 地址、资产类型、用户名、职位和电子邮件。它还会对不同时间的发现活动进行跟踪,以记录归因的变化(例如,在不同的时间,一个 IP 地址可能与不同的资产或用户相关联)。重要的是,它不收集有效负载数据或敏感沟通信息;只收集确定每个实体身份和背景信息所需的必要元数据。
Exposure Analytics 可为发现、检测、UEBA 和 SOAR 工作流提供丰富的实体上下文,进而增强并支持 Splunk Enterprise Security (ES) 的关键功能。它还有助于将原始安全事件日志数据转换为实体感知情报,从而提升您从 Splunk ES 获得的价值。它能够在安全运维工作中帮助您获得更加深入的见解,实现有效的自动化,并提高调查的准确性。
它是 Splunk Enterprise Security 的一项核心功能。所有 Enterprise Security 客户的许可证均包含此功能,无需额外付费。
