近期出現了不少訴求事件回應的新型態資安產品,像是XDR、網路偵測與回應系統(NDR),以及資安事件的自動化調度與回應系統(SOAR)等。其中,較早推出SOAR的Splunk,他們買下了Phantom公司並提供同名的解決方案,我們曾經介紹過4.5版,當時的新增功能偏重於資訊更容易判讀,這套系統發展至今,原廠陸續增加多種運用這套系統的方式,包含提供命令列執行介面(CLI),而且能透過行動裝置App來存取。

基本上,Phantom具備2大類型的應用功能,分別是安排事件處理流程的自動化腳本(Playbook Automation),以及回應和協作的資源調度管理機制。因此,企業運用這套系統,很大的比例與這種自動化執行的工作流程有關。而在這次的新版本中,管理者能運用Unix系統的殼層指令,來操作Phantom,像是手動執行腳本的工作,或是其中的特定行動。同時,這項CLI也支援編輯與更新Phantom的容器,還有加上註解的能力,管理者也藉此能得知資料的所在路徑,來做為下達其他行動指令之用。

另一項在Phantom裡的重要模組,就是自4.6版開始,支援資安人員能透過行動裝置App來存取這套系統,以免他們臨時要在公司外部使用SOAR的時候,必須要找到電腦才能登入的現象。不過,這項存取管道預設為關閉,管理者開啟了之後,資安人員可藉由列管裝置上的Splunk Mobile App,檢視Phantom的儀表板與事件詳細資料,並且啟動腳本來執行回應行動。一般來說,資安人員存取SOAR,通常需要透過電腦的網頁瀏覽器,若是使用行動裝置版本的瀏覽器,很可能難以操作這種系統,而Phantom支援行動裝置的做法,在SOAR類型的解決方案仍是少見。

利用行動裝置也能使用Phantom!這套系統允許資安人員藉由Splunk Mobile App來存取,主要提供3大功能,分別是資安態勢的儀表板、警示通知清單,以及事件詳細資料等。

值得一提的是,假如企業想要開發Phantom的延伸應用,這套系統原本支援Python 2程式語言,在新版本則增加3版的支援,以便開發人員運用新舊版本Python,同時原廠也提供移轉工具,讓原本以Python 2開發的Phantom應用程式,能改以新版Python來維護。

對於這套系統的災難復原機制,原廠也改良了內建的備份工具,管理者可指定要備份的範圍,像是組態、資料庫,以及自動化回應工作腳本內容等,並且支援增量備份,同時也無須在Phantom停機的狀態下,就能執行相關工作。

產品資訊

Splunk Phantom 4.8

●代理商:零壹科技
●建議售價:廠商未提供
●部署型式:OVA虛擬設備
●虛擬化環境需求:VMware vSphere ESXi 5
●作業系統需求:Red Hat Enterprise Linux或CentOS,版本6.10和7.6
●系統資源需求:4個至8個處理器核心、16GB至32GB記憶體、1.5TB儲存空間(PostgreSQL資料庫、嵌入版Splunk Enterprise、檔案共用空間各需500GB)

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】


Advertisement

更多 iThome相關內容