產品通知
風險暴露分析是 Splunk Enterprise Security 的功能之一
Splunk Enterprise Security (ES) 透過統一的 SecOps 平台為客戶帶來全新體驗,順暢整合了代理式 AI、SOAR、UEBA 與 SIEM。
Splunk Enterprise Security
風險暴露分析
自動探索實體,並利用即時背景資訊加速調查。
運作方式
全面掌握實體的可見度與見解分析
透過自主實體探索,大幅提升能見度
消除盲點。利用現有的 Splunk 資料,自動維護目前的實體清單。消除過時、不準確或不完整的實體資訊,並即時掌握資產攻擊面的全貌。
經由即時、實體感知的調查加速回應
從資料收集轉向決策制定。透過自動為每個警示補充歷史歸屬關係和實體關係,將使用者和裝置長時間連結起來,進而縮小辨識差距。在警示觸發的瞬間即提供「誰、什麼、在哪裡」的背景資訊,讓分析師省去手動查找的流程,並縮短平均修復時間 (MTTR)。
利用策略性風險情報掌控攻擊面
在關鍵風險升級為事件之前,先行辨識並加強安全性,打破被動安全性作法的循環。風險暴露分析將動態實體風險評分與深入的攻擊面解析資訊相結合,讓團隊能夠即時找出安全性漏洞並修復弱點,確保您可以主動彌補防禦漏洞,並強化環境韌性,以抵禦新一代威脅。
功能
深入瞭解風險暴露分析功能
為分析師提供所需的背景資訊,使他們能更快理解事件,並有信心地迅速採取行動。
自主探索實體
告別手動追蹤。利用已流入 Splunk 的安全資料,自動為每台工作站、伺服器和雲端資產建立即時清單。
追蹤實體歷程記錄和屬性
掌握完整背景資訊。持續維護具時間戳記的資產變更與使用者動向記錄,藉此辨識異常狀況,並了解實體狀態的演變過程。
標識暫時資產和影子資產
立即辨識現有安全性控制措施或掃描工具未涵蓋的短期雲端資產和影子裝置。加強威脅偵測並縮小攻擊面,確保環境具備完整的可見度與充足的背景資訊。
探索攻擊面
發掘環境中由實體驅動且不斷演變的關聯性。將資產和使用者之間的關係視覺化並加以探索,同時掌握相關發現和風險暴露情況。
策略性見解可強化資訊安全狀態
利用全新的「實體探索」與「實體分析」視圖掌握可執行的情報,並找出安全性控制措施缺口,以因應新出現的風險,並修復風險暴露或漏洞。
常見問題 (FAQ)
風險暴露分析可自動從現有來源收集和關聯資料,以持續探索並對應整個環境中的所有資產、使用者及其關係。此外也有即時可見度、詳細分析和易於使用的視覺化功能,協助安全團隊快速辨識風險並調查事件。客戶可前往 Splunk Enterprise Security 設定管理中的「風險暴露分析」區段,並進入「實體探索」新增探索來源,即可開始使用。
風險暴露分析會收集與資產和身分相關的欄位值,並透過邏輯進行評估,例如 IP 位址、MAC 位址、資產類型、使用者名稱、頭銜和電子郵件。同時也會持續追蹤探索活動,以記錄歸屬變更 (例如同一個 IP 位址可能在不同時間連結到不同資產或使用者)。重要的是,風險曝露分析不會收集負載資料或敏感通訊內容;僅收集辨識各個實體並建立背景資訊所需的中繼資料。
風險暴露分析可為調查結果、偵測、UEBA 及 SOAR 工作流程提供豐富的實體背景資訊,進而強化並提升 Splunk Enterprise Security (ES) 的主要功能。這項功能還可將原始安全性事件記錄檔資料轉換為實體感知的情報,大幅提升您從 Splunk ES 獲得的價值。因此您在執行安全營運工作時,能獲得更深入的見解、採用有效的自動化功能,並進行更快速、更準確的調查。
這是 Splunk Enterprise Security 的核心功能。均已包含在所有 Enterprise Security 客戶的授權方案中,無需額外付費。
