基於Splunk這套大數據軟體的加值應用平臺Splunk Enterprise Security(ES),在2016年底推出了4.5版,最新的版本是2月份剛推出的4.5.2。ES 4.5主要新增自動因應措施(Adaptive Response Actions),加速企業對資安事件調查的效率。

近期的Splunk ES改版,主要強調與使用者行為分析系統Splunk UBA整合更加緊密,提供這個平臺更多可分析的資料。新版本首度納入了自動化因應措施,在關聯性分析之後,提供管理者相關的資料。這項功能偏重於初步通報事件給其他管理者的能力,例如,發現可疑的事件記錄,自動建立重大事件專案(Notable Event),供多個管理者進行處理。

透過自動回應機制,企業可經由Splunk ES寄送電子郵件通知管理者,或是找尋這臺疑似異常的電腦,包含使用PING指令得知這臺電腦的網路連線狀態,或是取得它的IP位址、電腦與網域名稱的能力。

在關連調查的部分,新版的Splunk ES可直接將相關分析結果,傳送到Splunk UBA,使其取得已經歸納出的異常事件。

此外,管理者可根據資料來源,針對資產或是使用者身分,在Splunk ES進行關連性分析,也能透過已經儲存的搜尋結果,將資產與所有人的使用者帳號加以連結。

在Splunk ES中,以往都是以Security Posture儀表板,提供企業內部資安情勢的狀態總覽,而新版本則增加了透視儀表板(Glass Table),管理者可在其中納入自己的工作流程、公司內部的網路架構,或是因應事件的處理程序。以公司的整體網路狀況而言,透視儀表板可呈現整個內部的拓撲圖,並在主要設備上顯示重要數據,例如,防火牆封鎖的流量,或是郵件伺服器收到的信件數量等。

而針對效能的部分,Splunk ES 4.5則可利用排程的區間,定期執行分析,藉此更有效利用硬體資源。

其實,ES最新的版本是針對Splunk Cloud服務推出的4.6版,企業若是在公司內部建置,還是要安裝4.5.2版。4.6版主要新增的功能,在於針對雲端服務,額外提供匯入STIX、OpenIOC與CSV格式威脅情資的功能,並可透過API新增、修改,或是刪除。原廠表示,4.6版與4.5.2的功能幾乎相同,

產品資訊

Splunk Enterprise Security 4.5.2

●代理商:零壹科技(02)2656-5656
●建議售價:廠商未提供
●主程式需求:Splunk 6.4.4版以上
●處理器需求:16個處理器核心
●記憶體需求:32GB
●儲存空間需求:2個10,000轉300GB硬碟,並以RAID 1部署

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】


Advertisement

更多 iThome相關內容