基於Splunk這套大數據軟體的加值應用平臺Splunk Enterprise Security(ES),在2016年底推出了4.5版,最新的版本是2月份剛推出的4.5.2。ES 4.5主要新增自動因應措施(Adaptive Response Actions),加速企業對資安事件調查的效率。

近期的Splunk ES改版,主要強調與使用者行為分析系統Splunk UBA整合更加緊密,提供這個平臺更多可分析的資料。新版本首度納入了自動化因應措施,在關聯性分析之後,提供管理者相關的資料。這項功能偏重於初步通報事件給其他管理者的能力,例如,發現可疑的事件記錄,自動建立重大事件專案(Notable Event),供多個管理者進行處理。

透過自動回應機制,企業可經由Splunk ES寄送電子郵件通知管理者,或是找尋這臺疑似異常的電腦,包含使用PING指令得知這臺電腦的網路連線狀態,或是取得它的IP位址、電腦與網域名稱的能力。

在關連調查的部分,新版的Splunk ES可直接將相關分析結果,傳送到Splunk UBA,使其取得已經歸納出的異常事件。

管理者在關連性調查中,下達搜尋指令與設定時間範圍後,還能指定初步的因應措施,包含像是列為重大事件進行後續追蹤,或是立即通報給所有管理者等。此外,其結果也能交由UBA連行內部威脅分析之用。

此外,管理者可根據資料來源,針對資產或是使用者身分,在Splunk ES進行關連性分析,也能透過已經儲存的搜尋結果,將資產與所有人的使用者帳號加以連結。

在新版Splunk ES中,擁有專屬的資產中心,管理者可藉此管理公司內所有的設備。這個儀表板提供資產分類統計圖表,以及相關明細,包含裝置的MAC位址、電腦名稱,或是所在地點等資料。

在Splunk ES中,以往都是以Security Posture儀表板,提供企業內部資安情勢的狀態總覽,而新版本則增加了透視儀表板(Glass Table),管理者可在其中納入自己的工作流程、公司內部的網路架構,或是因應事件的處理程序。以公司的整體網路狀況而言,透視儀表板可呈現整個內部的拓撲圖,並在主要設備上顯示重要數據,例如,防火牆封鎖的流量,或是郵件伺服器收到的信件數量等。

Splunk ES 4.5首度推出透視儀表板(Glass Table),其特色主要是透過提供各式的小元件(Widget),供管理者建立自訂儀表版,圖中是原廠管理Buttercup Go!遊戲所建立的透視儀表板,大致上區分成3個區魂,分別是針對使用者帳號、遊戲的各項服務,以及硬體設施的安全性監控。以使用者的帳號而言,透過這個功能,管理者就能快速得知帳號遭到停用,與疑似異常的遊戲處理程序數量等資訊。

透視儀表板不只可以提供事件數量的走勢資料,管理者也可將其企業的網路架構統合在其中。以圖中的BOQ公司為例,它從與外部網路連接的路由器設備、防火牆,到內部的端點裝置、電子 郵件、資料庫等設施,繪製出主要的網路架構樣貌,並顯示重要的資安數據,例如防火牆阻擋了60,000 Bytes的流量。

而針對效能的部分,Splunk ES 4.5則可利用排程的區間,定期執行分析,藉此更有效利用硬體資源。

其實,ES最新的版本是針對Splunk Cloud服務推出的4.6版,企業若是在公司內部建置,還是要安裝4.5.2版。4.6版主要新增的功能,在於針對雲端服務,額外提供匯入STIX、OpenIOC與CSV格式威脅情資的功能,並可透過API新增、修改,或是刪除。原廠表示,4.6版與4.5.2的功能幾乎相同,

產品資訊

Splunk Enterprise Security 4.5.2

●代理商:零壹科技(02)2656-5656
●建議售價:廠商未提供
●主程式需求:Splunk 6.4.4版以上
●處理器需求:16個處理器核心
●記憶體需求:32GB
●儲存空間需求:2個10,000轉300GB硬碟,並以RAID 1部署

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】


Advertisement

更多 iThome相關內容