基於大數據分析跨足到資安領域的Splunk,旗下已有SIEM平臺Splunk Enterprise Security(ES),以及內部使用者威脅分析Splunk UBA等加值應用。但在這兩款主力產品之外,今年初,他們也開始推出訴求更為簡單、易上手的輕量級分析應用Splunk Security Essentials, Splunk用戶只要透過Splunkbase市集取得,就能免費使用。

這款Splunk加值應用套件,主要的功能在於,針對使用者身分、網路、端點設備、資料存取,以及資料外洩等5種領域,提供超過40種使用情境的資料分析類型樣板,管理者只要透過點選,就能執行搜尋,而不需自行下達指令。相較於ES和UBA平臺,Security Essentials的特點是幾乎沒有上手的門檻,更容易操作,對於企業規模較小,或是尚未導入ES和UBA平臺的公司,提供了能快速找出疑似異常事件記錄的管道。

對於即使已經採用了ES與UBA的用戶而言,原廠也強調,用戶還是可以建置Security Essentials,並將其執行搜尋的結果,傳送到這些平臺,能夠通報為需要進一步調查的重大事件(Notable Event),或是向管理者發出警示通知。

強調極為容易使用的特性,使得Security Essentials得到用戶高度認同,從今年1月推出以來,這款套件在Splunkbase加值應用市集中,得到了5顆星的滿分。原廠更在今年的9月,另外針對勒索軟體與詐欺攻擊等新興威脅,推出2款專屬的Security Essentials應用套件,並且同樣採取免費提供的做法。不過,企業若要基於Splunk來檢視企業整體的威脅,還是發展超過半年的Security Essentials,所涵蓋的層面較為廣泛。

基本上,經過2個月多次增加新功能的重大改版後,在3月推出的Security Essentials 1.4.0版,功能大致已經固定。最近一次的修正,是9月底上線的1.4.6版,主要是支援新的Splunk Enterprise 7.0版主程式,修正不相容的臭蟲。

產品資訊

Splunk Security Essentials 1.4.6

●原廠:Splunk
●建議售價:免費
●主程式需求:Splunk Enterprise或Splunk Cloud 6.4~7.0
●可調查異常事件類型:使用者身分驗證、網路、端點設備、資料存取、資料外洩
●分析事件記錄來源:AD網域控制器、防火牆、第三方端點代理程式(Carbon Black、Sysmon)、Windows系統等

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】


Advertisement

更多 iThome相關內容