面臨企業網路環境的事件記錄數量不斷膨脹,同時,又要快速因應各種網路威脅攻擊侵襲,資安維運中心(SOC)必須變得更自動化,因此,市面上,開始出現資安事件自動化調度與回應系統(Security Orchestration Automation and Response,SOAR),訴求藉由人工智慧分類,自動執行重複性質的工作,讓資安維運中心可處理更多資安事件。

像是Splunk在併購新創公司Phantom後,於2018年10月推出的同名系統,就是屬於前述型態的產品。他們在今年臺灣資安大會上,特別主打Phantom這套事件分析與回應系統,到了6月的時候,原廠推出4.5新版,加入更多讓管理者能容易判讀的資訊。

那麼,企業的資安維運中心要如何運用Phantom呢?簡單來說,這套系統一共提供2大類型事件調度工具,分別是:安排事件處理流程的自動化劇本(Playbook Automation),以及回應和協作的資源調度管理機制。而Phantom主打的功能,在於自動化劇本的應用。

在Phantom內建的自動化劇本裡,Splunk提供了圖像化的流程編輯器,IT人員可藉由拖曳功能區塊和連接器,就能自定企業專屬的事件分析流程,Phantom便能依照其中的判斷依據,執行自動化調查工作。

而對於具有開發能力的資訊人員,這款編輯器也提供進階模式,可使用Python程式語言撰寫,以便進行最佳化調查和除錯之用。

有了安排自動化執行的工具後,資安事件管理與資源調度,也是Phantom的重要能力,資訊人員可藉由任務指派中心,統整資安維運中心平臺的工具與事件資料。這個指派中心同時內建了多種輔助機制,包含了任務指南助理、劇本活動消息來源、案件管理工具,以及工作簿(Workbook)範本等,讓資訊人員更容易上手,進行事件後續調查。

產品資訊

Splunk Phantom 4.5

●代理商:零壹科技(02)2656-5656
●建議售價:廠商未提供
●作業環境需求:Red Hat Enterprise Linux 6.10或7.6、CentOS 6.10或7.6
●系統資源需求:4個處理器核心、16GB記憶體、500GB儲存空間
●部署型式:純軟體、OVA虛擬設備

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】


Advertisement

更多 iThome相關內容