基於Splunk這套大數據軟體,想要管理企業內部的資安事件,企業可搭配該公司提供的加值應用Splunk Enterprise Security(ES),快速收集相關資訊。在4月推出的4.1新版本中,強化ES與使用者異常存取行為分析(Splunk UBA)主機的整合,能呈現更多內部威脅的情資。

針對內部攻擊事件的發掘,Splunk以往主要是經由UBA收集來自ES的網路流量,在UBA儀表板中,執行分析,現在也能在ES的儀表板顯示,並且直接調查這類事件,因此管理者無須再切換到UBA檢視。

在新版ES中,原本必須在Splunk UBA操作的調查工作,現在越來越多可在ES上直接執行,圖中就是在ES中,檢視UBA系統分析使用者行為中的可疑事件(UEBA Anomalies),對於同時擁有這兩套系統的用戶,便能在減少在兩者之間的切換次數。

繼TAXII情資交換平臺之後,新增Facebook ThreatExchange支援

而在情資收集的來源中,則加入了Facebook ThreatExchange這項新工具的支援,這是一個由Facebook發起的社群平臺,目的在提供企業分享安全威脅資訊,推出時就有Bitly、Dropbox、Pinterest、Tumblr、Twitter,以及Yahoo等網路公司響應。

而ES並非首次支援這類型的情報接收,在4.0.1版時,就能接收TAXII提供的資安威脅訊息,足見這種安全情報的交換,日益受到企業的重視。

Facebook ThreatExchange目前在Splunk ES的規畫中,是以附加功能的形式推出,而且必須使用最新的ES 4.1版才能安裝、使用。這個附加軟體後,可顯示由各家參與ThreatExchange計畫的公司,他們所分享的情報,並且能依據內容的嚴重程度、狀態等條件,檢視有關的統計。

在事件回顧儀表板中,新增分數並排序

想要了解應該優先處理那些問題,管理者可從事件回顧(Incident Review)儀表板中,進行檢視。除了既有依據嚴重程度分級之外,在新版ES的儀表板中,每一個事件都會標示風險分數,並加以排序,對於同樣等級的問題,提供更細致且直覺的判所指標。

在事件回顧儀表板中,以往可以檢視的,就是不同等級的事件統計,新版本加入了分數指標,因此同樣歸類為重大事件的類別,仍可由分數細分嚴重的程度不同。而這些事件在ES中也能稽核,觀看最近48小時的值得關注事件(Notable Events)統計,以及檢視這類情資的人員,與他們有關的活動。

調查時間軸支援以附件註記,並提供協同偵察機制

而對於事件的調查,ES提供了可自訂的儀表板、時間軸,以及工具列等,供管理者應用。在ES 4.1版中,調查時間軸更新的幅度最大,管理者以這種模式檢視事件時,開始支援加入多種附件,解決原先只能使用文字註解的限制,也可請其他管理員協同調查,而在調查日誌中,ES會記錄所有搜尋過的字串,以及使用者標記為應關注的事件、瀏覽過的儀表板等資訊,藉此提供更好的搜尋結果。

調查時間軸最大的改進之一,就是支援加入附件,這個功能解決以往採用日誌或是註解的時候,註記的資訊可能因此受到限制,而透過附件,可以夾帶指定格式的文件或是圖片,也能將調查工具列搜尋的結果,進行儲存。

調查工具列是在ES所有儀表板底部提供的功能,可快速開啟新的調查,或檢視與這個事件有關的記錄,而在新版本的工具列中,加入了快速搜尋的功能,不需要手動切換到搜尋儀表板,就能查找指定記錄,也能將結果輸出為CSV檔案,或是當作調查時間軸裡的附件。

產品資訊

●代理商:零壹科技(02)2656-5656

●建議售價:廠商未提供

●主程式需求:Splunk 6.3.3版以上

●處理器需求:16個64位元、2.0 GHz處理器核心

●記憶體需求:32GB

●儲存空間需求:2個10,000轉300GB硬碟,並以RAID 1部署


Advertisement

更多 iThome相關內容