Splunk企业安全套件(ESS)
ESS支持安全、合规和运维的集中化。可以确保实现先进的安全报告、基于搜索的事件关联,有助于监测、响应、预防相关安全问题的事件处理。企业可以实现全面的安全和合规控制监测及报告,减少安全运营的成本。
Splunk可以索引由任何应用程序、服务器、网络或安全设备所产生的日志数据、配置文件、事件和其他所有数据。无需复杂的转换系统,无需自定义分析程序或部署昂贵的数据库。
ESS可从以下几个方面提供优于传统安全信息和事件管理(SIEM)系统的处理方法:
- 灵活的安全信息分类
- 易于实施与管理
- 服务器上的线性、有效成本的可扩展性
- 支持所有数据源和数据类型
- 快速特定搜索能力
- 符合成本效益,仅需支付许可费用
什么是ESS
Splunk企业安全套件是一个安全应用程序的集成套件,包括了预定义搜索、报告、告警及仪表板等,支持广泛的安全使用案例,包括:
- 安全事件监测
- 安全信息管理
- 事件调查
- 管理控制
- 日志管理
Splunk企业安全套件应用服务
Splunk ESS是一个完整解决方案,其中包括六种应用程序服务,即指定域的仪表板、搜索、报告、告警、以及数以百计的与安全相关的事件类型和相关事件。
安全状况
及时获取安全事件和事故的介绍和告警。从安全状况仪表板中挖掘具体安全事件的原因。通过位置、主机、数据源类型和地理方位查看显著的安全事件。关键的统计数字可以提供关于安全状况的实时监测,包括漏洞、过期的或多于软件、存在恶意软件的系统、或认可了非安全认证的主机。整体的安全策略阈值可由系统管理员控制。
访问控制
简化了用于整个企业中应用程序、操作系统和身份管理系统的访问控制监测、异常事件分析和流程审计。可以把LDAP目录、Microsoft活动目录以及RSA认证管理事件与操作系统、应用程序活动以及物理访问设备关联在一起。可定义用户访问和资源访问策略,并发现、报告异常现象。在符合规范的前提下,追踪用户和系统登录控制,甄别Windows,Linux和Solaris环境以及在这些环境下使用的重要应用程序。
保护终端
Splunk可以提高终端保护软件的效率,如Symantec Endpoint Protection,IBM Proventia Desktop,和Mcafee Endpoint Protection。Splunk可实现威胁的优先级划分,并降低误报信息事件,观察期长期趋势。设置非法侵入的准则,发现并报告例外事件。Splunk终端保护组件包括搜索、报告,以及对于恶意软件、不常发生活动、资源利用和实用性的告警。
事件响应
Splunk事件响应组件增加了事件动作和仪表板,用于管理重要事件和情况。扩展的动作可以自动控制重要事件的轨迹,并自动将工作流导入第三方事件管理和故障工单中,例如BMC Remedy, Cisco Works, HP Service Desk and IBM Tivoli.
网络保护
集成企业内网络和安全设备的事件和日志数据。定义网络登录规则,发现并报告通过防火墙、路由器、DHCP、无线登陆点、负载均衡器、侵入探测器和数据损失预防装置的异常情况。设置关联,使事件遵循网络活动流程。Splunk网络保护组件包括用于监测的关联、搜索、报告和仪表板组件,侵入监测的告警和报告系统,易损性管理和信息包过滤系统等。
管理
Splunk管理组件开发了基于记分卡的系统功能,管理规则和流程内容的踪迹,报告ISO27002规范的状态。ISO控制用于辅助Splunk企业安全套件的搜索、报告和告警能力的提高。管理仪表板直接显示IT安全和日志管理相关的信息状态。安全规则的设置要和数据保存、日志回顾、事件侦测、审计追踪和规则报告等相一致,并符合这些工作的要求。
审计和数据保护
审计系统的安全和保护事件及日志数据免受篡改和未授权的登录的影响,是ISO管理系统最为重要的需求之一。Splunk审计和数据保护组件可以提供所有Splunk ESS用户和系统活动的报告,从而实现完整的审计追踪。
